สปายแวร์โทรจัน Spy Trojans และมัลแวร์รัฐบาลในยุคของเรา

สปายแวร์ - สปายแวร์ สปายแวร์ ( ชื่อทางเลือก- Spy, SpyWare, Spy-Ware, Spy Trojan) โดยทั่วไปเรียกว่าซอฟต์แวร์ที่รวบรวมและส่งข้อมูลเกี่ยวกับผู้ใช้ไปยังบุคคลอื่นโดยไม่ได้รับความยินยอมจากเขา ข้อมูลเกี่ยวกับผู้ใช้อาจรวมถึงข้อมูลส่วนบุคคล ข้อมูลเกี่ยวกับบัญชีเงิน การกำหนดค่าคอมพิวเตอร์ และ ระบบปฏิบัติการสถิติการทำงานบนอินเทอร์เน็ต และอื่นๆ

สปายแวร์ถูกใช้เพื่อวัตถุประสงค์หลายประการ จุดประสงค์หลักคือการวิจัยทางการตลาดและการโฆษณาที่กำหนดเป้าหมาย ในกรณีนี้ ข้อมูลเกี่ยวกับการกำหนดค่าคอมพิวเตอร์ของผู้ใช้ ซอฟต์แวร์ที่ใช้ ไซต์ที่เข้าชม สถิติคำขอ เครื่องมือค้นหาและสถิติของคำที่ป้อนจากแป้นพิมพ์ช่วยให้คุณระบุประเภทของกิจกรรมและช่วงความสนใจของผู้ใช้ได้อย่างแม่นยำมาก ดังนั้น บ่อยครั้งที่คุณสังเกตเห็นสปายแวร์ - แอดแวร์จำนวนมาก เช่น "Spy" - "โมดูลการแสดงโฆษณา" ส่วนสายลับรวบรวมข้อมูลเกี่ยวกับผู้ใช้และโอนไปยังเซิร์ฟเวอร์ของบริษัทโฆษณา มีการวิเคราะห์ข้อมูลและตอบกลับข้อมูลโฆษณาที่เหมาะสมที่สุดสำหรับ ผู้ใช้รายนี้. ที่ดีที่สุด โฆษณาจะแสดงในหน้าต่างป๊อปอัปแยกต่างหาก แย่ที่สุด โฆษณาจะฝังอยู่ในหน้าที่โหลดและส่งทางอีเมล อีเมล. อันตรายที่เกิดจากการขโมยข้อมูลส่วนบุคคลถือเป็นความผิดทางอาญาในประเทศที่พัฒนาแล้วส่วนใหญ่

อย่างไรก็ตาม ข้อมูลที่รวบรวมได้ไม่เพียงแต่ใช้เพื่อวัตถุประสงค์ในการโฆษณาเท่านั้น ตัวอย่างเช่น การได้รับข้อมูลเกี่ยวกับพีซีของผู้ใช้สามารถลดความซับซ้อนในการโจมตีของแฮ็กเกอร์และแฮ็กคอมพิวเตอร์ของผู้ใช้ได้อย่างมาก และหากโปรแกรมอัปเดตตัวเองเป็นระยะ ๆ ผ่านทางอินเทอร์เน็ตจะทำให้คอมพิวเตอร์มีความเสี่ยงสูง - การโจมตีเบื้องต้นบน DNS สามารถแทนที่ที่อยู่ของแหล่งที่มาของการอัปเดตด้วยที่อยู่ของเซิร์ฟเวอร์ของแฮ็กเกอร์ - การ "อัปเดต" ดังกล่าวจะนำไปสู่ การแนะนำบุคคลภายนอกในพีซีของผู้ใช้ ซอฟต์แวร์.

สปายแวร์สามารถเข้าสู่คอมพิวเตอร์ของผู้ใช้ได้สองวิธีหลัก:

1. ขณะเยี่ยมชมเว็บไซต์อินเทอร์เน็ต การแทรกซึมของสปายแวร์ที่พบบ่อยที่สุดเกิดขึ้นเมื่อผู้ใช้เยี่ยมชมไซต์ของแฮ็กเกอร์และ Warez ซึ่งเป็นไซต์ที่มีเพลงฟรีและไซต์ลามกอนาจาร ตามกฎแล้ว ส่วนประกอบ ActiveX หรือโทรจันของหมวดหมู่ TrojanDownloader ตามการจัดประเภทของ Kaspersky Lab http://www.kaspersky.ru/ จะใช้ในการติดตั้งสปายแวร์ ไซต์แฮ็กเกอร์หลายแห่งอาจออกโปรแกรมแคร็ก A เพื่อถอดรหัสซอฟต์แวร์ลิขสิทธิ์ (แคร็ก) ที่มีสปายแวร์หรือโทรจันดาวน์โหลดเพื่อดาวน์โหลด

2. อันเป็นผลมาจากการติดตั้งโปรแกรมฟรีหรือแชร์แวร์ สิ่งที่เลวร้ายที่สุดคือมีโปรแกรมดังกล่าวจำนวนมากเผยแพร่ทางอินเทอร์เน็ตหรือในซีดีละเมิดลิขสิทธิ์

ไม่มีเกณฑ์ที่แน่นอนสำหรับการเพิ่มโปรแกรมในหมวดหมู่ "สปายแวร์" และบ่อยครั้งที่ผู้สร้างแพ็คเกจป้องกันไวรัสรวมโปรแกรมในหมวดหมู่ "แอดแวร์" (แอปพลิเคชันที่ออกแบบมาเพื่อดาวน์โหลดข้อมูลโฆษณาไปยังพีซีของผู้ใช้เพื่อการสาธิตในภายหลัง ) และ "Hijacker" (ยูทิลิตี้ที่เปลี่ยนการตั้งค่าเบราว์เซอร์โดยที่ผู้ใช้ไม่ทราบ) เป็นหมวดหมู่ "SpyWare" และในทางกลับกัน

เพื่อความชัดเจน มีการเสนอกฎและเงื่อนไขจำนวนหนึ่งซึ่งโปรแกรมสามารถจัดประเภทเป็นสปายแวร์ได้ การจัดประเภทจะขึ้นอยู่กับโปรแกรม SpyWare ที่พบมากที่สุด:

1. โปรแกรมแอบติดตั้งบนเครื่องคอมพิวเตอร์ของผู้ใช้ ความหมายของย่อหน้านี้คือตัวติดตั้งโปรแกรมปกติต้องแจ้งให้ผู้ใช้ทราบเกี่ยวกับการติดตั้งโปรแกรม (โดยมีความเป็นไปได้ที่จะปฏิเสธการติดตั้ง) แนะนำให้เลือกไดเร็กทอรีสำหรับการติดตั้งและกำหนดค่า นอกจากนี้ หลังการติดตั้ง โปรแกรมติดตั้งจะต้องสร้างรายการในรายการ "เพิ่ม/เอาโปรแกรมออก" ซึ่งการเรียกใช้จะดำเนินการตามกระบวนการถอนการติดตั้งและสร้างรายการที่เกี่ยวข้องในไฟล์รีจิสตรีของระบบปฏิบัติการ สปายแวร์มักจะถูกติดตั้งด้วยวิธีที่แปลกใหม่ (มักจะใช้โมดูลโทรจันของหมวดหมู่ Trojan-Downloader) ที่ซ่อนจากผู้ใช้ ในขณะที่การถอนการติดตั้งเป็นไปไม่ได้ในกรณีส่วนใหญ่ วิธีที่สองในการติดตั้ง SpyWare คือการติดตั้งแบบซ่อนที่มาพร้อมกับโปรแกรมยอดนิยมบางโปรแกรม

2. โปรแกรมถูกโหลดอย่างลับๆ เข้าไปในหน่วยความจำระหว่างกระบวนการบู๊ตของคอมพิวเตอร์ เป็นที่น่าสังเกตว่าผู้พัฒนา SpyWare สมัยใหม่ได้เริ่มใช้ Rootkit B ระบบวินโดวส์รูทคิทมักจะเข้าใจว่าเป็นโปรแกรมที่นำเข้าสู่ระบบและสกัดกั้น ฟังก์ชั่นระบบ(วินโดวส์เอพีไอ). ประการแรก การสกัดกั้นและการแก้ไขฟังก์ชัน API ระดับต่ำทำให้โปรแกรมดังกล่าวสามารถปกปิดการมีอยู่ในระบบด้วยคุณภาพที่เพียงพอ นอกจากนี้ ตามกฎแล้วรูทคิทสามารถปกปิดการมีอยู่ในระบบของกระบวนการใด ๆ ที่อธิบายไว้ในการกำหนดค่า ไดเร็กทอรีและไฟล์บนดิสก์ คีย์ในรีจิสตรี เทคโนโลยีสำหรับการปิดบังกระบวนการในหน่วยความจำและไฟล์บนดิสก์ นอกจากนี้ การสร้างกระบวนการที่ "ทำลายไม่ได้" กำลังเป็นที่นิยม เช่น เริ่มต้นสองกระบวนการที่เริ่มต้นใหม่หากหยุดทำงาน เทคโนโลยีดังกล่าวถูกนำมาใช้โดยเฉพาะใน SpyWare.WinAd;

3. โปรแกรมดำเนินการบางอย่างโดยไม่ระบุผู้ใช้ - ตัวอย่างเช่น รับหรือส่งข้อมูลใด ๆ จากอินเทอร์เน็ต

4. โปรแกรมดาวน์โหลดและติดตั้งการอัปเดต ส่วนเสริม ส่วนเสริมหรือซอฟต์แวร์อื่น ๆ โดยไม่ได้รับความรู้และความยินยอมจากผู้ใช้ คุณสมบัตินี้มีอยู่ในสปายแวร์จำนวนมากและเป็นอันตรายอย่างยิ่งเพราะ การดาวน์โหลดและติดตั้งการอัปเดตและโมดูลเพิ่มเติมเป็นความลับและมักนำไปสู่ความไม่เสถียรของระบบ นอกจากนี้ ผู้โจมตีสามารถใช้กลไกการอัปเดตอัตโนมัติเพื่อฉีดโมดูลโทรจันบนพีซีของผู้ใช้

5. โปรแกรมแก้ไข การตั้งค่าระบบหรือรบกวนการทำงานของโปรแกรมอื่นโดยที่ผู้ใช้ไม่ทราบ ตัวอย่างเช่น สปายแวร์สามารถเปลี่ยนระดับความปลอดภัยในการตั้งค่าเบราว์เซอร์หรือเปลี่ยนแปลงการตั้งค่าเครือข่าย

6. โปรแกรมแก้ไขข้อมูลหรือการไหลของข้อมูล ตัวอย่างทั่วไปคือส่วนขยายต่างๆ ของโปรแกรม เอาท์ลุค เอ็กซ์เพรสซึ่งเมื่อส่งจดหมายให้ระบุข้อมูลของพวกเขา ตัวอย่างทั่วไปประการที่สองคือการแก้ไขหน้าเว็บที่ดาวน์โหลดจากอินเทอร์เน็ต (ข้อมูลโฆษณารวมอยู่ในหน้าเว็บ คำหรือวลีบางคำเปลี่ยนเป็นไฮเปอร์ลิงก์)

ในการจำแนกประเภทนี้เราควรสังเกตเป็นพิเศษว่าโปรแกรมประเภท SpyWare ไม่อนุญาตให้คุณควบคุมคอมพิวเตอร์จากระยะไกลและไม่ถ่ายโอนรหัสผ่านและข้อมูลที่คล้ายกันไปยังผู้สร้าง - การกระทำดังกล่าวเฉพาะกับโปรแกรมประเภทอื่น - "Trojan " และ "ประตูหลัง" อย่างไรก็ตาม ในหลาย ๆ ด้าน โปรแกรมในหมวดสปายแวร์เกี่ยวข้องกับโทรจัน

การจัดกลุ่มไฟล์ตามการจัดประเภทของ "Kaspersky Lab" และเปอร์เซ็นต์ของสปายแวร์จะแสดงในรูปที่ 1.

จากแผนภาพต่อไปนี้ 38% ของจำนวนตัวอย่างคือ AdWare และ SpyWare (ควรสังเกตว่า SpyWare ไม่รวมอยู่ในการจัดประเภทของ PA - ตัวแทน AdWare ที่เป็นอันตรายที่สุดรวมอยู่ในหมวดหมู่นี้) ตัวอย่าง Trojan-Downloader ส่วนใหญ่ในคอลเลกชั่นนี้เป็นโปรแกรมสำหรับแอบดาวน์โหลดและติดตั้งมัลแวร์ที่นำเสนอในคอลเลกชั่นนี้ Trojan-Spy เป็นสปายแวร์บริสุทธิ์ที่ส่งข้อมูลสำคัญเกี่ยวกับผู้ใช้: รหัสผ่าน ตัวเลข บัตรเครดิต, ข้อความที่ป้อนจากแป้นพิมพ์ โปรแกรมต่อไปนี้ถูกเลือกในหมวดโทรจัน: Trojan-Dialer (โปรแกรมสำหรับการปรับเปลี่ยนการตั้งค่าแอบแฝงสำหรับการโทรออกหรือโทรออก จ่ายโทรศัพท์), Trojan.StartPage (แก้ไข หน้าแรกและตัวเลือกการค้นหา อินเทอร์เน็ต เอ็กซ์พลอเรอร์โปรแกรมเหล่านี้เรียกอีกอย่างว่า Hijackers)

องค์ประกอบของสปายแวร์เป็นเปอร์เซ็นต์ดำเนินการตามการจัดประเภทของ "Kaspersky Lab"

จากแผนภาพ AdWare และ SpyWare คิดเป็น 38% ของจำนวนตัวอย่าง ตัวอย่าง Trojan-Downloader ส่วนใหญ่เป็นโปรแกรมสำหรับดาวน์โหลดและติดตั้งมัลแวร์อย่างลับๆ โทรจันสปายเป็นสปายแวร์แท้ที่ส่งข้อมูลสำคัญเกี่ยวกับผู้ใช้: รหัสผ่าน หมายเลขบัตรเครดิต ข้อความที่ป้อนจากแป้นพิมพ์ โปรแกรมประเภทต่อไปนี้ถูกเลือกในหมวดหมู่โทรจัน: โทรจัน-Dialer (โปรแกรมสำหรับแก้ไขพารามิเตอร์ของการโทรเลขหมายโทรศัพท์หรือโทรศัพท์สาธารณะแบบแอบแฝง), Trojan.StartPage (แก้ไขหน้าเริ่มต้นและพารามิเตอร์ ค้นหาทางอินเทอร์เน็ต Explorer, โปรแกรมเหล่านี้เรียกอีกอย่างว่า Hijackers), Trojan.LowZones (ซึ่งปรับเปลี่ยนการตั้งค่าความปลอดภัยของ Internet Explorer) ในหมวดหมู่ "อื่นๆ" ได้แก่ มัลแวร์คลาสอื่นๆ - มีเวิร์มเครือข่ายและเมลประเภททั่วไปประมาณ 50 รายการ ช่องโหว่ 12 รายการสำหรับ Internet Explorer (ใช้เพื่อเรียกใช้โปรแกรมติดตั้ง SpyWare) และโทรจันพิเศษ 70 รายการ (TrojanPSW และ Trojan-Proxy) ประตูหลัง - จุดประสงค์หลักคือการควบคุมคอมพิวเตอร์ที่เป็นความลับโดยไม่ได้รับอนุญาต

http://www.computermaster.ru/articles/secur2.html

สิ่งที่คุณต้องรู้เกี่ยวกับไวรัสคอมพิวเตอร์

(ค) อเล็กซานเดอร์ โฟรลอฟ, กริกอรี โฟรอลอฟ, 2545

[ป้องกันอีเมล]; http://www.frolov.pp.ru, http://www.datarecovery.ru

นับตั้งแต่มีการสร้างคอมพิวเตอร์ส่วนบุคคลสำหรับมืออาชีพและประชาชนทั่วไป ประวัติศาสตร์ของไวรัสคอมพิวเตอร์ก็ได้เริ่มต้นขึ้น ปรากฎว่าคอมพิวเตอร์ส่วนบุคคลและโปรแกรมที่แจกจ่ายบนฟล็อปปี้ดิสก์เป็น "สารอาหาร" ที่ไวรัสคอมพิวเตอร์เกิดขึ้นและใช้ชีวิตอย่างประมาท ตำนานและตำนานที่เกิดขึ้นเกี่ยวกับความสามารถของไวรัสคอมพิวเตอร์ในการแทรกซึมได้ทุกที่และทุกที่ ห่อหุ้มสิ่งมีชีวิตที่เป็นอันตรายเหล่านี้ไว้ในหมอกของสิ่งที่เข้าใจยากและไม่รู้จัก

น่าเสียดายที่แม้แต่ผู้ดูแลระบบที่มีประสบการณ์ (ไม่ต้องพูดถึง ผู้ใช้ทั่วไป) ไม่เคยเข้าใจว่าไวรัสคอมพิวเตอร์คืออะไร เจาะเข้าไปในคอมพิวเตอร์ได้อย่างไร และ เครือข่ายคอมพิวเตอร์และทำอันตรายอะไรได้บ้าง ในเวลาเดียวกันหากไม่เข้าใจกลไกการทำงานและการแพร่กระจายของไวรัสก็เป็นไปไม่ได้ที่จะจัดระเบียบการป้องกันไวรัสที่มีประสิทธิภาพ แม้แต่โปรแกรมป้องกันไวรัสที่ดีที่สุดก็ไร้ประสิทธิภาพหากใช้อย่างไม่ถูกต้อง

หลักสูตรระยะสั้นในประวัติศาสตร์ของไวรัสคอมพิวเตอร์

ไวรัสคอมพิวเตอร์คืออะไร?

คำจำกัดความทั่วไปของไวรัสคอมพิวเตอร์สามารถระบุได้ว่าเป็นรหัสโปรแกรมที่แพร่กระจายตัวเองในสภาพแวดล้อมข้อมูลของคอมพิวเตอร์ สามารถฝังอยู่ในไฟล์ปฏิบัติการและไฟล์คำสั่งของโปรแกรม กระจายผ่านบูตเซกเตอร์ของฟล็อปปี้ดิสก์ และ ฮาร์ดไดรฟ์,เอกสารสมัครงานสำนักงาน ,ทางอีเมล์ ,เว็บไซต์ ตลอดจนช่องทางอิเล็กทรอนิกส์อื่นๆ

เมื่อเข้าสู่ระบบคอมพิวเตอร์ ไวรัสอาจถูกจำกัดให้มีเอฟเฟ็กต์ภาพหรือเสียงที่ไม่เป็นอันตราย หรืออาจทำให้ข้อมูลสูญหายหรือเสียหาย ตลอดจนการรั่วไหลของข้อมูลส่วนบุคคลและข้อมูลลับ ในกรณีที่เลวร้ายที่สุด ระบบคอมพิวเตอร์ที่ได้รับผลกระทบจากไวรัสอาจอยู่ภายใต้การควบคุมโดยสมบูรณ์ของผู้โจมตี

ทุกวันนี้ ผู้คนไว้วางใจให้คอมพิวเตอร์แก้ปัญหางานที่สำคัญหลายอย่าง ดังนั้นความล้มเหลว ระบบคอมพิวเตอร์อาจส่งผลร้ายแรงถึงขั้นเสียชีวิตได้ (ลองนึกภาพไวรัสในระบบคอมพิวเตอร์ของบริการสนามบิน) ผู้พัฒนาระบบคอมพิวเตอร์สารสนเทศและผู้ดูแลระบบไม่ควรลืมเรื่องนี้

จนถึงปัจจุบัน รู้จักไวรัสที่แตกต่างกันนับหมื่นชนิด แม้จะมีมากมายเช่นนี้ แต่ก็มีไวรัสจำนวน จำกัด ที่แตกต่างกันในกลไกการกระจายและหลักการทำงาน นอกจากนี้ยังมีไวรัสรวมกันซึ่งสามารถนำมาประกอบกับหลายประเภทพร้อมกันได้ เราจะพูดถึงไวรัสประเภทต่าง ๆ โดยยึดตามลำดับเวลาของลักษณะที่ปรากฏให้มากที่สุด

ไฟล์ไวรัส

ในอดีต ไวรัสไฟล์ปรากฏก่อนไวรัสประเภทอื่นๆ และเดิมทีแพร่กระจายในสภาพแวดล้อมของระบบปฏิบัติการ MS-DOS การแทรกซึมเข้าไปในเนื้อความของไฟล์โปรแกรม COM และ EXE ไวรัสจะเปลี่ยนแปลงในลักษณะที่เมื่อเปิดใช้ การควบคุมจะไม่ถ่ายโอนไปยังโปรแกรมที่ติดไวรัส แต่ไปยังไวรัส ไวรัสสามารถเขียนโค้ดไปที่ส่วนท้าย ต้น หรือตรงกลางของไฟล์ (รูปที่ 1) ไวรัสยังสามารถแบ่งรหัสออกเป็นบล็อก ๆ โดยวางไว้ในที่ต่าง ๆ ในโปรแกรมที่ติดไวรัส

ข้าว. 1. ไวรัสในไฟล์ MOUSE.COM

เมื่อควบคุมได้แล้ว ไวรัสสามารถติดโปรแกรมอื่นๆ แทรกซึมเข้าไปใน RAM ของคอมพิวเตอร์ และทำงานที่เป็นอันตรายอื่นๆ ได้ จากนั้นไวรัสจะถ่ายโอนการควบคุมไปยังโปรแกรมที่ติดไวรัส และมันจะถูกดำเนินการตามปกติ เป็นผลให้ผู้ใช้ที่เรียกใช้โปรแกรมไม่สงสัยว่าเป็น "ป่วย"

โปรดทราบว่าไวรัสไฟล์สามารถแพร่เชื้อได้ไม่เพียงเท่านั้น โปรแกรมคอมและ EXE แต่ยังรวมถึงไฟล์โปรแกรมประเภทอื่นๆ เช่น MS-DOS overlays (OVL, OVI, OVR และอื่นๆ), ไดรเวอร์ SYS, DLL และไฟล์ใดๆ ที่มีรหัสโปรแกรม ไวรัสไฟล์ได้รับการพัฒนาไม่เพียง แต่สำหรับ MS-DOS เท่านั้น แต่ยังรวมถึงระบบปฏิบัติการอื่น ๆ เช่น ไมโครซอฟท์ วินโดวส์, ลินุกซ์, ไอบีเอ็ม โอเอส/2. อย่างไรก็ตาม ไวรัสส่วนใหญ่ ประเภทนี้อาศัยอยู่ในสภาพแวดล้อมของ MS-DOS และ Microsoft Windows

ในสมัยของ MS-DOS ไฟล์ไวรัสใช้ชีวิตอย่างมีความสุขตลอดไปด้วยการแลกเปลี่ยนซอฟต์แวร์ เกม และธุรกิจอย่างเสรี ในสมัยนั้น ไฟล์โปรแกรมมีขนาดค่อนข้างเล็กและกระจายอยู่ในฟล็อปปี้ดิสก์ โปรแกรมที่ติดไวรัสอาจถูกดาวน์โหลดโดยไม่ตั้งใจจากกระดานข่าว BBS หรือจากอินเทอร์เน็ต และพร้อมกับโปรแกรมเหล่านี้ ไวรัสไฟล์ก็แพร่กระจายเช่นกัน

โปรแกรมสมัยใหม่ครอบครองจำนวนมากและแจกจ่ายตามกฎในซีดี การแลกเปลี่ยนโปรแกรมบนฟล็อปปี้ดิสก์เป็นเรื่องในอดีต โดยการติดตั้งโปรแกรมจากแผ่นซีดีลิขสิทธิ์ โดยปกติคุณจะไม่เสี่ยงต่อการติดไวรัสในคอมพิวเตอร์ของคุณ อีกอย่างคือซีดีเถื่อน คุณไม่สามารถรับรองสิ่งใดได้ที่นี่ (แม้ว่าเราจะทราบตัวอย่างไวรัสที่แพร่กระจายในซีดีลิขสิทธิ์)

เป็นผลให้วันนี้ไวรัสไฟล์ได้หลีกทางให้กับไวรัสประเภทอื่น ๆ ที่เป็นที่นิยมซึ่งเราจะพูดถึงในภายหลัง

บูตไวรัส

ไวรัสสำหรับบู๊ตถูกควบคุมในขั้นตอนของการเริ่มต้นคอมพิวเตอร์ ก่อนที่ระบบปฏิบัติการจะเริ่มโหลด เพื่อให้เข้าใจถึงวิธีการทำงาน คุณต้องจำลำดับการเริ่มต้นคอมพิวเตอร์และการโหลดระบบปฏิบัติการ

ทันทีที่เปิดเครื่องคอมพิวเตอร์ ขั้นตอนการตรวจสอบ POST (การทดสอบตัวเองเมื่อเปิดเครื่อง) ที่บันทึกไว้ใน BIOS จะเริ่มทำงาน ในระหว่างการทดสอบ จะมีการกำหนดค่าคอมพิวเตอร์และตรวจสอบความสามารถในการทำงานของระบบย่อยหลัก ขั้นตอน POST จะตรวจสอบว่าฟล็อปปี้ดิสก์อยู่ในไดรฟ์ A: หรือไม่ หากใส่ดิสเก็ตต์ การโหลดระบบปฏิบัติการเพิ่มเติมจะเกิดขึ้นจากดิสเก็ตต์ มิฉะนั้นจะทำการบูทจากฮาร์ดไดรฟ์

เมื่อบูตจากฟล็อปปี้ดิสก์ ขั้นตอน POST จะอ่านจากฟล็อปปี้ดิสก์ บันทึกการบูต(บันทึกการบูต, BR) ไปยัง RAM รายการนี้จะอยู่ในเซกเตอร์แรกของฟล็อปปี้เสมอและเป็นโปรแกรมขนาดเล็ก นอกจากโปรแกรม BR แล้ว ยังมีโครงสร้างข้อมูลที่กำหนดรูปแบบฟล็อปปี้ดิสก์และลักษณะอื่นๆ อีกบางประการ จากนั้นขั้นตอน POST จะถ่ายโอนการควบคุมไปยัง BR หลังจากได้รับการควบคุมแล้ว BR จะดำเนินการโหลดระบบปฏิบัติการโดยตรง

เมื่อดาวน์โหลดจาก ฮาร์ดไดรฟ์ขั้นตอน POST จะอ่าน Master Boot Record (MBR) และเขียนลงใน RAM ของคอมพิวเตอร์ รายการนี้ประกอบด้วยโปรแกรมสำหรับบู๊ตและตารางพาร์ติชัน ซึ่งอธิบายถึงพาร์ติชันทั้งหมดในฮาร์ดดิสก์ มันถูกเก็บไว้ในเซกเตอร์แรกของฮาร์ดไดรฟ์

หลังจากอ่าน MBR แล้ว การควบคุมจะถูกถ่ายโอนไปยัง bootloader ที่เพิ่งอ่านจากดิสก์ โดยจะแยกวิเคราะห์เนื้อหาของตารางพาร์ติชัน เลือกพาร์ติชันที่ใช้งานอยู่ และอ่าน BR ของพาร์ติชันที่ใช้งานอยู่ รายการนี้คล้ายกับรายการ BR บนฟล็อปปี้ดิสก์ระบบและทำหน้าที่เดียวกัน

ตอนนี้เกี่ยวกับวิธีที่ไวรัสบูต "ทำงาน"

เมื่อติดฟล็อปปี้ดิสก์หรือฮาร์ดไดรฟ์ของคอมพิวเตอร์ ไวรัสสำหรับบูตจะแทนที่บันทึกการบูต BR หรือ MBR (รูปที่ 2) บันทึก BR หรือ MBR ดั้งเดิมมักจะไม่หายไป (แม้ว่าจะไม่เป็นเช่นนั้นเสมอไป) ไวรัสคัดลอกไปยังหนึ่งในเซกเตอร์ว่างของดิสก์

ข้าว. 2. ไวรัสในบันทึกการบูต

ดังนั้น ไวรัสจึงเข้าควบคุมทันทีหลังจากขั้นตอน POST เสร็จสิ้น จากนั้นเขาก็ทำตามอัลกอริทึมมาตรฐาน ไวรัสคัดลอกตัวเองไปยังจุดสิ้นสุด หน่วยความจำเข้าถึงโดยสุ่มในขณะที่ลดปริมาณที่มีอยู่ หลังจากนั้นจะสกัดกั้นฟังก์ชั่น BIOS หลายอย่างเพื่อให้การเข้าถึงถ่ายโอนการควบคุมไปยังไวรัส ในตอนท้ายของขั้นตอนการติดไวรัส ไวรัสจะโหลดเซกเตอร์สำหรับบูตจริงลงใน RAM ของคอมพิวเตอร์และถ่ายโอนการควบคุมไปยังมัน จากนั้นคอมพิวเตอร์จะบู๊ตตามปกติ แต่ไวรัสอยู่ในหน่วยความจำแล้วและสามารถควบคุมการทำงานของโปรแกรมและไดรเวอร์ทั้งหมดได้

ไวรัสรวม

บ่อยครั้งที่มีไวรัสรวมกันซึ่งรวมคุณสมบัติของไฟล์และไวรัสสำหรับบูต

ตัวอย่างหนึ่งคือไฟล์บูตไวรัส OneHalf ซึ่งแพร่หลายในอดีต เจาะเข้าไปในคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ MS-DOS ไวรัสนี้ติดมาสเตอร์บูตเรคคอร์ด ในขณะที่คอมพิวเตอร์กำลังบูท ไวรัสจะค่อยๆ เข้ารหัสเซกเตอร์ของฮาร์ดดิสก์ โดยเริ่มจากเซกเตอร์ล่าสุด เมื่อโมดูลประจำถิ่นของไวรัสอยู่ในหน่วยความจำ มันจะตรวจสอบการเข้าถึงเซกเตอร์ที่เข้ารหัสทั้งหมดและถอดรหัสเพื่อให้ซอฟต์แวร์คอมพิวเตอร์ทั้งหมดทำงานได้ตามปกติ หากเพียงลบ OneHalf ออกจาก RAM และบูตเซกเตอร์ ก็จะไม่สามารถอ่านข้อมูลที่บันทึกไว้ในเซกเตอร์เข้ารหัสของดิสก์ได้อย่างถูกต้อง

เมื่อไวรัสเข้ารหัสฮาร์ดไดรฟ์ครึ่งหนึ่ง จะแสดงข้อความต่อไปนี้บนหน้าจอ:

Dis คือครึ่งหนึ่ง กดปุ่มใดก็ได้เพื่อดำเนินการต่อ ...

หลังจากนั้นไวรัสจะรอให้ผู้ใช้กดปุ่มใดก็ได้และทำงานต่อไป

ไวรัส OneHalf ใช้กลไกต่างๆ เพื่ออำพรางตัวเอง เป็นไวรัสล่องหนและใช้อัลกอริทึมแบบโพลีมอร์ฟิคในการแพร่กระจาย การตรวจจับและลบไวรัส OneHalf เป็นงานค่อนข้างยาก ซึ่งโปรแกรมป้องกันไวรัสทั้งหมดไม่สามารถใช้งานได้

ไวรัสสหาย

ดังที่คุณทราบในระบบปฏิบัติการ MS-DOS และ Microsoft Windows ต่างๆเวอร์ชัน มีไฟล์สามประเภทที่ผู้ใช้สามารถเรียกใช้ได้ มันเป็นคำสั่งหรือแบทช์ ไฟล์ BATเช่นเดียวกับไฟล์ COM และ EXE ที่ปฏิบัติการได้ ในเวลาเดียวกัน ไฟล์เรียกทำงานหลายไฟล์ที่มีชื่อเดียวกันแต่นามสกุลต่างกันสามารถอยู่ในไดเร็กทอรีเดียวกันได้ในเวลาเดียวกัน

เมื่อผู้ใช้เริ่มโปรแกรมแล้วป้อนชื่อที่พร้อมต์ระบบของระบบปฏิบัติการ โดยปกติแล้วผู้ใช้จะไม่ระบุนามสกุลไฟล์ ไฟล์ใดที่จะถูกเรียกใช้งานหากมีหลายโปรแกรมในไดเร็กทอรีที่มีชื่อเดียวกันแต่มีนามสกุลต่างกัน

ปรากฎว่าในกรณีนี้ ไฟล์ COM จะทำงาน หากอยู่ในไดเร็กทอรีปัจจุบันหรือในไดเร็กทอรีที่ระบุใน ตัวแปรสภาพแวดล้อม PATH มีเพียงไฟล์ EXE และ BAT เท่านั้นที่มีอยู่ ไฟล์ EXE.

เมื่อไวรัสดาวเทียมติดไฟล์ EXE หรือ BAT มันจะสร้างไฟล์อื่นในไดเร็กทอรีเดียวกันโดยใช้ชื่อเดียวกัน แต่มีนามสกุล COM ไวรัสเขียนตัวเองลงในไฟล์ COM นี้ ดังนั้น เมื่อเปิดตัวโปรแกรม ไวรัสดาวเทียมจะเป็นตัวแรกที่ได้รับการควบคุม ซึ่งสามารถเปิดโปรแกรมนี้ แต่อยู่ภายใต้การควบคุมของมันแล้ว

ไวรัสในแบตช์ไฟล์

มีไวรัสหลายตัวที่สามารถติดไฟล์แบตช์ BAT ได้ ในการทำเช่นนี้ พวกเขาใช้วิธีการที่ซับซ้อนมาก เราจะพิจารณาโดยใช้ไวรัส BAT.Batman เป็นตัวอย่าง เมื่อติดเชื้อ ไฟล์ชุดข้อความต่อไปนี้ถูกแทรกที่จุดเริ่มต้น:

@ECHO OFF REM [...] คัดลอก %0 b.com>nul b.com del b.com rem [...]

ในวงเล็บเหลี่ยม [...] ที่นี่แสดงตำแหน่งของไบต์ซึ่งเป็นคำสั่งตัวประมวลผลหรือข้อมูลของไวรัส คำสั่ง @ECHO OFF ปิดการแสดงชื่อคำสั่งที่กำลังดำเนินการ บรรทัดที่ขึ้นต้นด้วยคำสั่ง REM คือความคิดเห็นและไม่ถูกตีความในทางใดทางหนึ่ง

คำสั่ง copy %0 b.com>nul คัดลอกแบตช์ไฟล์ที่ติดไวรัสไปยังไฟล์ B.COM ไฟล์นี้จะถูกเรียกใช้และลบออกจากดิสก์ด้วยคำสั่ง del b.com

สิ่งที่น่าสนใจที่สุดคือไฟล์ B.COM ที่สร้างโดยไวรัสนั้นตรงกับไบต์เดียวกับไฟล์แบตช์ที่ติดไวรัส กลายเป็นว่าถ้าคุณตีความสองบรรทัดแรกของไฟล์ BAT ที่ติดไวรัสเป็นโปรแกรม มันจะประกอบด้วยคำสั่งของ CPU ที่ไม่ได้ทำอะไรเลย CPU ดำเนินการคำสั่งเหล่านี้ จากนั้นเริ่มดำเนินการรหัสไวรัสจริงที่เขียนหลังจากคำสั่งข้อคิดเห็น REM เมื่อได้รับการควบคุมแล้ว ไวรัสจะสกัดกั้นการขัดจังหวะระบบปฏิบัติการและเปิดใช้งาน

ในกระบวนการแพร่กระจาย ไวรัสจะตรวจสอบการเขียนข้อมูลลงในไฟล์ หากบรรทัดแรกที่เขียนไปยังไฟล์มีคำสั่ง @echo ไวรัสจะคิดว่ากำลังเขียนอยู่ ไฟล์ชุดและทำให้เขาติดเชื้อ

การเข้ารหัสและไวรัส polymorphic

เพื่อให้การตรวจหายากขึ้น ไวรัสบางตัวเข้ารหัสรหัสของตน ทุกครั้งที่ไวรัสติดโปรแกรมใหม่ มันจะเข้ารหัสรหัสของมันเองโดยใช้รหัสใหม่ เป็นผลให้ไวรัสสองตัวอย่างสามารถแตกต่างกันอย่างมีนัยสำคัญจากกัน แม้ว่าจะมีความยาวต่างกันก็ตาม การเข้ารหัสรหัสไวรัสทำให้กระบวนการวิจัยมีความซับซ้อนอย่างมาก โปรแกรมปกติจะไม่สามารถแยกไวรัสดังกล่าวได้

โดยธรรมชาติแล้วไวรัสสามารถทำงานได้ก็ต่อเมื่อมีการถอดรหัสรหัสที่ปฏิบัติการได้เท่านั้น เมื่อโปรแกรมที่ติดไวรัสเริ่มทำงาน (หรือเริ่มโหลดจาก BR ที่ติดไวรัส) และไวรัสเข้าควบคุม โปรแกรมจะต้องถอดรหัสรหัสของมัน

เพื่อให้ยากต่อการตรวจหาไวรัส ไม่เพียงแต่ใช้การเข้ารหัสเท่านั้น คีย์ที่แตกต่างกันแต่ยังรวมถึงขั้นตอนการเข้ารหัสที่แตกต่างกันด้วย ไวรัสสองตัวดังกล่าวไม่มีลำดับรหัสที่ตรงกัน ไวรัสดังกล่าวที่สามารถเปลี่ยนรหัสได้อย่างสมบูรณ์เรียกว่าไวรัสโพลีมอร์ฟิค

ไวรัสล่องหน

ไวรัสล่องหนพยายามซ่อนสถานะบนคอมพิวเตอร์ พวกเขามีโมดูลที่อยู่อาศัยอย่างถาวรใน RAM ของคอมพิวเตอร์ โมดูลนี้ถูกติดตั้งเมื่อเปิดโปรแกรมที่ติดไวรัสหรือเมื่อบู๊ตจากดิสก์ที่ติดไวรัสบู๊ต

โมดูลประจำถิ่นของไวรัสสกัดกั้นการเรียกไปยังระบบย่อยดิสก์ของคอมพิวเตอร์ หากระบบปฏิบัติการหรือโปรแกรมอื่นอ่านไฟล์โปรแกรมที่ติดไวรัส ไวรัสจะแทนที่ไฟล์โปรแกรมจริงที่ไม่ติดเชื้อ ในการทำเช่นนี้ โมดูลประจำถิ่นของไวรัสสามารถลบไวรัสออกจากไฟล์ที่ติดไวรัสได้ชั่วคราว หลังจากสิ้นสุดการทำงานไฟล์ก็จะติดไวรัสอีกครั้ง

ไวรัส Boot Stealth ทำงานในลักษณะเดียวกัน เมื่อโปรแกรมอ่านข้อมูลจากบูตเซกเตอร์ บูตเซกเตอร์จริงจะถูกแทนที่ด้วยเซกเตอร์ที่ติดไวรัส

การพรางตัวของไวรัสซ่อนตัวจะทำงานก็ต่อเมื่อไวรัสมีโมดูลประจำอยู่ใน RAM ของคอมพิวเตอร์ หากคอมพิวเตอร์บูตจากฟล็อปปี้ดิสก์ระบบที่สะอาดและไม่ติดไวรัส ไวรัสจะไม่มีโอกาสเข้าควบคุม ดังนั้นกลไกการซ่อนตัวจะไม่ทำงาน

ไวรัสมาโครคอมมานด์

จนถึงตอนนี้เราได้พูดคุยเกี่ยวกับไวรัสที่อาศัยอยู่ในไฟล์ปฏิบัติการของโปรแกรมและ ภาคบูตดิสก์ การกระจายอย่างกว้างขวางของชุดสำนักงาน ไมโครซอฟต์ออฟฟิศทำให้เกิดไวรัสประเภทใหม่อย่างถล่มทลายซึ่งไม่ได้แพร่กระจายด้วยโปรแกรมแต่แพร่กระจายด้วยไฟล์เอกสาร

เมื่อมองแวบแรกอาจดูเหมือนเป็นไปไม่ได้ อันที่จริงแล้วไวรัสสามารถซ่อนอยู่ที่ไหนในเอกสารข้อความ Microsoft Word หรือในเซลล์ในสเปรดชีต Microsoft Excel

อย่างไรก็ตาม ในความเป็นจริง ไฟล์เอกสาร Microsoft Office อาจมีโปรแกรมขนาดเล็กสำหรับประมวลผลเอกสารเหล่านี้ ซึ่งเขียนด้วยภาษาโปรแกรม Visual Basic for Applications สิ่งนี้ไม่เพียงใช้กับเอกสาร Word และ Excel เท่านั้น แต่ยังรวมถึงฐานข้อมูล Access และไฟล์งานนำเสนอ Power Point โปรแกรมดังกล่าวสร้างขึ้นโดยใช้มาโคร ดังนั้นไวรัสที่อาศัยอยู่ในเอกสารสำนักงานจึงเรียกว่ามาโคร

ไวรัส macrocommand แพร่กระจายอย่างไร?

พร้อมกับไฟล์เอกสาร. ผู้ใช้แชร์ไฟล์ผ่านฟล็อปปี้ดิสก์ ไดเรกทอรีเครือข่ายเซิร์ฟเวอร์ไฟล์อินทราเน็ตขององค์กร อีเมล และช่องทางอื่นๆ หากต้องการติดไวรัส Macrocommand ให้เปิดไฟล์เอกสารในไฟล์ที่เหมาะสม ใบสมัครสำนักงาน- เสร็จแล้ว!

ขณะนี้ไวรัสคำสั่งมาโครเป็นเรื่องธรรมดามาก ซึ่งสาเหตุหลักมาจากความนิยมของ Microsoft Office พวกมันสามารถทำอันตรายได้มาก และในบางกรณีอาจมากกว่าไวรัส "ธรรมดา" ที่ทำให้ไฟล์ปฏิบัติการและบูตเซกเตอร์ของดิสก์และฟล็อปปี้ดิสก์ติดไวรัส ในความเห็นของเราอันตรายที่ยิ่งใหญ่ที่สุดของไวรัสมาโครคือความจริงที่ว่าพวกเขาสามารถแก้ไขเอกสารที่ติดไวรัสโดยไม่มีใครสังเกตเห็นเป็นเวลานาน

เราได้ยินมาตั้งแต่เด็กว่า คนดีคือลูกเสือ เขาทำงานให้เรา และคนเลวคือสายลับ คนเหล่านี้คือคนแปลกหน้า คนเหล่านี้สวมแว่นตาดำ สวมเสื้อแมคอินทอช ติดกระดุมทุกเม็ด และมีเงินอยู่ในกระเป๋าเป็นปึกๆ ศตวรรษที่ 21 มาถึงแล้วและตอนนี้ไม่ใช่เสื้อกันฝนที่ทำจากยางที่เรียกว่า mackintosh แม้ว่าสายลับจะยังคงเปิดใช้งาน ... พบกันวันนี้ในที่เกิดเหตุ: สปายแวร์จาก "ดี" และ "ชั่ว" (อย่างไร ไปดูฮะ?) ด้านข้างของแรง

หน่วยสอดแนม: มัลแวร์สำหรับความต้องการของรัฐบาล

ในฤดูร้อนปี 2555 พนักงาน ห้องปฏิบัติการป้องกันไวรัส Kaspersky ค้นพบมัลแวร์ชื่อ Morcut มันถูกนำไปใช้กับกลุ่มนักข่าวอิสระจากโมร็อกโกที่รายงานข่าวเหตุการณ์ในช่วงฤดูใบไม้ผลิอาหรับ คอมพิวเตอร์ของพวกเขาจงใจให้ติดไวรัสผ่านบริการอีเมล

ในการจำแนกประเภทของบริษัทแอนตี้ไวรัสอื่นๆ มัลแวร์มีชื่อว่า Crisis (Symantec) และ DaVinci (Dr.Web) ในระหว่างการสืบสวนที่ดำเนินการโดย Dr.Web พบว่า Morcut เป็นส่วนประกอบของระบบ รีโมท DaVinci พัฒนาและทำการตลาดโดยทีมแฮ็ค

ดาวินชี่

ระบบ DaVinci อยู่ในตำแหน่งโดยผู้พัฒนาเป็น SORM (ระบบ วิธีการทางเทคนิคเพื่อให้แน่ใจว่าการทำงานของกิจกรรมการค้นหาปฏิบัติการ) สำหรับใช้โดยหน่วยงานของรัฐและหน่วยงานบังคับใช้กฎหมาย นอกจากทีมแฮ็กแล้ว ยังมีบริษัทอื่นๆ อีกหลายแห่งกำลังพัฒนา SORM ที่คล้ายกัน ตามกฎแล้ว นี่เป็นโปรแกรมที่ซับซ้อนซึ่งประกอบด้วยเซิร์ฟเวอร์ควบคุมและไคลเอนต์-เอเจนต์ เอเจนต์ถูกติดตั้งโดยไม่ได้ตั้งใจบนคอมพิวเตอร์และมีฟังก์ชันต่อไปนี้:

  • ค้นหาและสร้างรายการไฟล์ที่ตรงตามเกณฑ์ที่ระบุ
  • การส่งไฟล์โดยพลการรวมถึง เอกสารอิเล็กทรอนิกส์ไปยังเซิร์ฟเวอร์ระยะไกล
  • การสกัดกั้นรหัสผ่านจากบริการอีเมลและโซเชียลเน็ตเวิร์ก
  • การรวบรวมข้อมูลเกี่ยวกับแหล่งข้อมูลทางอินเทอร์เน็ตที่เข้าชม
  • การสกัดกั้นกระแสข้อมูลของระบบสื่อสารด้วยเสียงอิเล็กทรอนิกส์ (Skype)
  • การสกัดกั้นข้อมูลการส่งข้อความโต้ตอบแบบทันที (ICQ);
  • การรวบรวมข้อมูลการติดต่อ โทรศัพท์มือถือเชื่อมต่อกับคอมพิวเตอร์
  • บันทึกข้อมูลเสียงและวิดีโอ (หากเชื่อมต่อเว็บแคมและไมโครโฟน)

จากรายงานของ Wall Street Journal บริษัทในยุโรปจำนวนหนึ่งได้จัดหาซอฟต์แวร์ SORM ที่ใช้ซอฟต์แวร์โอเพ่นซอร์สซึ่งมีฟังก์ชันการทำงานดังกล่าวให้กับประเทศต่างๆ ในตะวันออกกลาง ซึ่งรัฐบาลใช้ซอฟต์แวร์เหล่านี้เพื่อต่อสู้กับกลุ่มประชากรที่มีแนวคิดต่อต้าน


Privacy International (บริเตนใหญ่) องค์กรพัฒนาเอกชนที่มีส่วนร่วมในการระบุข้อเท็จจริงของการละเมิดสิทธิมนุษยชน ตรวจสอบตลาด SORM ระหว่างประเทศอย่างต่อเนื่อง และดูแลรายชื่อบริษัทที่พัฒนาโซลูชันในด้านนี้ รายชื่อนี้รวบรวมจากการวิเคราะห์ของบริษัทที่เข้าร่วมในการประชุมพิเศษ ISS World (ระบบสนับสนุนข่าวกรอง - ระบบสำหรับรับรองการรวบรวมข้อมูล) ในงานนี้ซึ่งจัดขึ้นเป็นประจำปีละหลายครั้ง ผู้ซื้อที่มีศักยภาพและผู้พัฒนา SORM จะมาพบกัน นี่คือบางส่วนของบริษัทที่พัฒนามัลแวร์ภายใต้หน้ากากของ SORM

FinFisher (finfisher.com) แผนกหนึ่งของ Gamma International (สหราชอาณาจักร)

ตามรายงานบางฉบับ หลังจากการลาออกของ Hosni Mubarak หลังเหตุการณ์ปี 2554 ในอียิปต์ พบเอกสาร (ดูรูปที่ 3, 4) ระบุว่า FinFisher ให้บริการติดตามพลเมืองอียิปต์โดยใช้ FinSpy complex ความจริงในการซื้อใบอนุญาตห้าเดือนให้กับระบอบมูบารัคในอียิปต์ในราคา 287,000 ยูโร บริษัท ปฏิเสธอย่างดื้อรั้น FinSpy สามารถสกัดกั้น โทรศัพท์ Skype ขโมยรหัสผ่านและบันทึกข้อมูลเสียงและวิดีโอ FinSpy ได้รับการติดตั้งบนคอมพิวเตอร์ของผู้ใช้ด้วยวิธีต่อไปนี้: ข้อความจะถูกส่งทางอีเมลพร้อมลิงก์ไปยังไซต์ที่เป็นอันตราย เมื่อผู้ใช้เปิดลิงก์ พวกเขาจะได้รับแจ้งให้อัปเดตซอฟต์แวร์ ในความเป็นจริง แทนที่จะอัปเดต มัลแวร์จะถูกติดตั้ง วิธีการเผยแพร่ FinSpy ทางอีเมลได้รับการบันทึกไว้ในฤดูร้อนปี 2555 เกี่ยวกับนักเคลื่อนไหวเพื่อประชาธิปไตยในบาห์เรน



ทีมแฮ็ค (hackingteam.it), อิตาลี

ผู้พัฒนาระบบการควบคุมระยะไกล DaVinci ซึ่งวางตำแหน่งให้เป็นเครื่องมือติดตามที่ออกแบบมาเพื่อใช้งานโดยรัฐบาลและหน่วยงานบังคับใช้กฎหมายของรัฐต่างๆ การทำงานของ DaVinci คล้ายกับ FinSpy - เป็นการสกัดกั้น Skype อีเมลรหัสผ่าน ข้อมูลข้อความโต้ตอบแบบทันที (ICQ) ตลอดจนข้อมูลเสียงและวิดีโอที่บันทึก ส่วนไคลเอ็นต์ของ DaVinci สามารถทำงานได้ทั้งในสภาพแวดล้อมของระบบปฏิบัติการ ตระกูล Windows(เวอร์ชัน XP, Vista, Seven) และในสภาพแวดล้อมของระบบปฏิบัติการของตระกูล Mac OS (เวอร์ชัน Snow Leopard, Lion) ราคาของระบบ DaVinci อยู่ที่ประมาณ 200,000 ยูโร มีข้อผูกมัดในการปรับปรุงและบำรุงรักษาผลิตภัณฑ์อย่างต่อเนื่องจนกว่าจะบรรลุเป้าหมายสูงสุดของการโจมตี (ได้รับข้อมูลที่จำเป็น)

พื้นที่ SpA (area.it), อิตาลี

ในเดือนพฤศจิกายน 2554 เป็นที่ทราบกันดีว่าพนักงานของบริษัทนี้ได้ติดตั้งระบบตรวจสอบสำหรับรัฐบาลซีเรีย ซึ่งสามารถสกัดกั้น สแกน และจัดเก็บข้อความอีเมลเกือบทั้งหมดในประเทศได้ หนึ่งเดือนหลังจากข้อเท็จจริงนี้ถูกเปิดเผย สหภาพยุโรปได้ห้ามการส่งออกอุปกรณ์สอดแนมทางเทคนิคไปยังซีเรียและการบำรุงรักษาอุปกรณ์เหล่านั้น ระบบดังกล่าวถูกปรับใช้บนพื้นฐานของข้อตกลงกับบริษัทโทรคมนาคมของซีเรีย STE (Syrian Telecommunications Establishment) ซึ่งเป็นผู้ดำเนินการหลัก การสื่อสารคงที่ในซีเรีย สำหรับการติดตั้งจะใช้วิธีการที่มีประสิทธิภาพหากมีการเข้าถึงเครือข่ายโทรคมนาคม (บริการพิเศษของรัฐและ การบังคับใช้กฎหมายมีการเข้าถึงดังกล่าว) - การทดแทนข้อมูล ตัวอย่างเช่น เมื่อค้นหาข้อมูลบน google.com ผู้ใช้ได้รับลิงก์ที่นำไปสู่ไซต์ที่เป็นอันตรายและติดไวรัสภายใต้หน้ากากของการติดตั้งส่วนประกอบของเบราว์เซอร์ที่จำเป็นในการแสดงเนื้อหาของไซต์อย่างถูกต้อง

Amesys (amesys.fr) แผนกหนึ่งของ Bull SA ประเทศฝรั่งเศส

นักข่าว Wall Street Journal ในศูนย์ตรวจสอบทางอินเทอร์เน็ตแห่งหนึ่งที่ผู้สนับสนุน Gaddafi ทิ้งไว้ในตริโปลี (ลิเบีย) ค้นพบการใช้ระบบติดตามของ Amesys จากคำให้การของพวกเขา ทางการลิเบียสามารถอ่านอีเมล รับรหัสผ่าน อ่านข้อความโต้ตอบแบบทันที และเชื่อมโยงความสัมพันธ์ระหว่างผู้คนได้ เอกสารที่โพสต์บนแหล่งข้อมูล WikiLeaks แสดงให้เห็นว่าระบบที่ Amesys ใช้งานทำให้สามารถตรวจสอบผู้คัดค้านและผู้ต่อต้านได้แม้ในต่างประเทศ เช่น อาศัยอยู่ในสหราชอาณาจักร

สายลับ

โทรจันที่ใช้ในการโจมตีทางไซเบอร์ในปี 2556 ส่วนใหญ่ไม่มีอะไรผิดปกติ หากปี 2012 เป็นปีแห่งการประชาสัมพันธ์ของ Kaspersky Lab ในหัวข้ออาวุธไซเบอร์ไฮเทค ในปี 2013 เทรนด์ใหม่ก็ปรากฏขึ้น นั่นคือการใช้มัลแวร์ที่แพร่หลายในการโจมตีแบบกำหนดเป้าหมาย ตรงข้ามกับที่เขียนโดยทีมงานมืออาชีพอย่างชัดเจนเพื่อวัตถุประสงค์เฉพาะ . และสัญญาณที่โดดเดี่ยวมากขึ้นเรื่อยๆ บ่งชี้ว่าอาจมีผู้โจมตี เช่น จีนและเกาหลีเหนือ ดังนั้นเราจึงสามารถพูดคุยเกี่ยวกับสิ่งที่เรียกว่า "โรงเรียนตะวันตก" และ "โรงเรียนในเอเชีย" ของการเขียนโทรจันที่ใช้ในการโจมตีระดับ APT ลักษณะของ "โรงเรียนแบบตะวันตก" คืออะไร?

  1. มีการลงทุนทรัพยากรทางการเงินที่สำคัญ
  2. รหัสที่เป็นอันตรายได้รับการเซ็นชื่อแบบดิจิทัลโดยบริษัทที่ถูกต้อง ใบรับรองสำหรับรหัสมักจะถูกขโมยจากเซิร์ฟเวอร์ที่ถูกแฮ็ก ซึ่งต้องมีการเตรียมงาน ทรัพยากรบุคคล และท้ายที่สุดคือจุดที่ 1 ลายเซ็นช่วยให้คุณติดตั้งไดรเวอร์เพื่อสลับไปยังโหมดเคอร์เนลได้อย่างง่ายดาย ซึ่งทำให้ เป็นไปได้ที่จะใช้รูทคิท - ฟังก์ชั่นและในบางกรณีข้ามการป้องกันเครื่องมือป้องกันไวรัส
  3. ช่องโหว่ Zero-day ถูกใช้อย่างกว้างขวางสำหรับการเปิดใช้แบบซ่อนและการเพิ่มระดับสิทธิ์ในระบบ ช่องโหว่ดังกล่าวมีค่าใช้จ่ายสูง ดังนั้นโปรดดูจุดที่ 1 อีกครั้ง

ตั้งแต่ปี 2010 เป็นต้นมา มัลแวร์ต่อไปนี้ถูกค้นพบโดยมีป้ายกำกับติดปากว่า “อาวุธไซเบอร์” (ดูรูปที่ 2) ในบทความนี้ เราจะไม่อธิบายถึงการโจมตีของพวกมันทั้งหมด - เราเคยทำมาก่อนแล้ว - แต่เพียงแค่พิจารณาสิ่งที่น่าสนใจที่สุดเท่านั้น คุณสมบัติ.

สทักซ์เน็ต

มันโดดเด่นเหนือพื้นหลังทั่วไปด้วยข้อเท็จจริงที่ว่ามันเป็นตัวแทนเดียวของมัลแวร์ที่สามารถสร้างความเสียหายทางร่างกายให้กับวัตถุขององค์กรบางอย่าง ดังนั้น ในความเป็นจริงแล้ว มันสามารถนำมาประกอบกับคลาสของอาวุธไซเบอร์เท่านั้น สิ่งที่น่าสนใจก็คือช่องโหว่ซีโร่เดย์สี่ช่องโหว่ที่แพร่กระจายไปยัง USB ไม่ใช่ผ่าน autorun.inf เล็กน้อย แต่ผ่านช่องโหว่การจัดการทางลัด MS10-046 เมื่อทำการโหลดอัตโนมัติจากแฟลชไดรฟ์ผ่านทางลัดที่เป็นอันตราย คอมโพเนนต์รูทคิทจะทำงาน หลังจากนั้นคอมโพเนนต์ Stuxnet ที่เป็นอันตรายจะอยู่บน ยูเอสบีแฟลชกลายเป็นมองไม่เห็น มีการทำงานของเวิร์ม เช่น Conficker (MS08-067) รวมถึงวิธีการแพร่กระจายผ่านเครือข่ายผ่านช่องโหว่ของระบบย่อยการพิมพ์ (MS10-061) ไดรเวอร์ถูกเซ็นชื่อด้วยใบรับรองที่ถูกขโมย

ดูคู

ใช้เป็นคอนเทนเนอร์ขนส่ง เอกสารคำ(เปิดตัวผ่านช่องโหว่ในการจัดการฟอนต์ MS11-087, Zero-day) ส่งผ่านอีเมล มีการลงชื่อไดรเวอร์เช่นเดียวกับ Stuxnet ซึ่งเป็นสาเหตุที่นักวิเคราะห์โปรแกรมป้องกันไวรัสบางคนยังคงพยายามพิสูจน์การเชื่อมต่อระหว่าง Stuxnet และ Duqu

เปลวไฟ

เป็นที่น่าสนใจว่าลายเซ็นของส่วนประกอบเป็นของ Microsoft ซึ่งสร้างขึ้นโดยการเลือกการชนกันของ MD5 แหล่งที่มาขนาดใหญ่เกินจริงประมาณ 20 MB การใช้รหัสของบุคคลที่สามจำนวนมาก มีโมดูลที่ใช้ Bluetooth เพื่อดักข้อมูลจาก อุปกรณ์เคลื่อนที่.

เกาส์

มีโครงสร้างแบบโมดูลาร์ โมดูลต่างๆ มีชื่อภายในของนักคณิตศาสตร์ที่มีชื่อเสียง เช่น Gödel, Gauss, Lagrange การใช้งาน สื่อที่ถอดออกได้เพื่อเก็บข้อมูลที่รวบรวมไว้ใน ไฟล์ที่ซ่อนอยู่(สิ่งนี้ทำให้ข้อมูลรั่วไหลผ่านขอบเขตการป้องกันที่ไม่มีอินเทอร์เน็ตในแฟลชไดรฟ์) มีปลั๊กอินที่ออกแบบมาเพื่อขโมยและตรวจสอบข้อมูลที่ส่งโดยผู้ใช้ของธนาคารเลบานอนหลายแห่ง - Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank และ Credit Libanais

มินิเฟลม

โครงการที่เกี่ยวข้องกับเปลวไฟ ระหว่างการวิเคราะห์ เซิร์ฟเวอร์คำสั่งและการควบคุมเฟลมพบว่ามีสี่ตัว ประเภทต่างๆไคลเอนต์ (“มัลแวร์”) ชื่อรหัสว่า SP, SPE, FL และ IP MiniFlame สอดคล้องกับชื่อ SPE, Flame ตามลำดับ - FL ไม่เคยพบมัลแวร์ที่มีชื่อ SP และ IP ในธรรมชาติ

สปุตนิก

สามารถขโมยข้อมูลจากอุปกรณ์พกพา รวบรวมข้อมูลจาก อุปกรณ์เครือข่าย(Cisco) และไฟล์จากไดรฟ์ USB (รวมถึงก่อนหน้านี้ ไฟล์ที่ถูกลบซึ่งใช้เทคโนโลยีการกู้คืนไฟล์ของตัวเอง) ขโมยฐานข้อมูลเมลจากร้านค้า Outlook ภายในเครื่องหรือจากเซิร์ฟเวอร์ POP/IMAP ระยะไกล และแยกไฟล์จากเซิร์ฟเวอร์ FTP ภายในเครื่องบนเครือข่าย

มินิดุ๊ก

เขียนในแอสเซมเบลอร์ซึ่งในยุคของเรานั้นน่าประหลาดใจอยู่แล้ว ที่อยู่ C&C นำมาจาก Twitter หาก Twitter ไม่ได้ผล Google Search จะถูกใช้เพื่อค้นหาลิงก์ที่เข้ารหัสไปยังเซิร์ฟเวอร์ควบคุมใหม่

กลุ่มไซเบอร์ของจีนกำลังพยายามติดตามความคืบหน้า และตัวอย่างเช่น โทรจันอย่าง Winnti ที่ใช้โจมตีบริษัทเกมคอมพิวเตอร์ออนไลน์มีไดรเวอร์ที่ลงนามแล้ว

สายลับโรงเรียนเอเชีย

  • กรกฎาคม 2555 - มาดี;
  • สิงหาคม 2555 - ชามูน;
  • พฤศจิกายน 2555 - นาริลัม

ทั้งหมดนี้เขียนด้วย Delphi (lameware :)) รหัสไม่ส่องแสงด้วยความสามารถในการผลิตแบบพิเศษ ไม่มีอะไรจะพูดเกี่ยวกับซีโร่เดย์และลายเซ็น มีการใช้เทคโนโลยีและวิธีการสาธารณะ แต่อย่างไรก็ตาม - ใช้งานได้! อย่างไรก็ตาม โทรจันที่มีฟังก์ชั่นการทำลายล้างหลังจากการโจมตี APT กลับมาเป็นที่นิยมอีกครั้ง ชามูนและนาริลัมเป็นเพียงหนึ่งในนั้น พวกเขาถูกใช้เพื่อทำให้งานของแต่ละองค์กรเป็นอัมพาตโดยการทำลายข้อมูลในคอมพิวเตอร์

ปัญหาคำศัพท์

คำศัพท์เก่าๆ เช่น "ไวรัส" "เวิร์ม" และ "โทรจัน" ไม่ตรงกับความเป็นจริงอีกต่อไป เป็นเรื่องที่น่าเสียดายอย่างยิ่งที่นักข่าวทางอินเทอร์เน็ตมักสนใจว่าไวรัสแตกต่างจากโทรจันอย่างไร และบุคคลที่เชี่ยวชาญในหัวข้อนี้มากหรือน้อยจะถูกตัดออกด้วยวลีเช่น "stuxnet virus", "kido virus" หรือ "carberp" ไวรัส". สรุปแนวคิดพื้นฐาน:

  • ไวรัส - มีหน้าที่แพร่กระจายตัวเองติดไฟล์ปฏิบัติการ
  • โทรจัน - ไม่มีฟังก์ชั่นการแพร่กระจายด้วยตนเอง
  • เวิร์ม - มีหน้าที่แพร่กระจายตัวเองในความหมายดั้งเดิม - ผ่านการใช้บริการระบบปฏิบัติการที่มีช่องโหว่ผ่านเครือข่าย (มอร์ริสเวิร์ม) ในภายหลัง - ผ่านสบู่และแฟลชไดรฟ์
  • รูทคิท - ใช้ฟังก์ชั่นซ่อนสัญญาณของการมีอยู่ในระบบ

ในทางปฏิบัติ ตัวอย่างมัลแวร์จำนวนมากมีลักษณะหลายอย่างรวมกัน ทุกวันนี้ ถึงเวลาแล้วที่จะต้องจำแนกประเภทมัลแวร์ตามเกณฑ์อื่นๆ ลองคิดดูสิ ประการแรก มัลแวร์ใด ๆ ในยุคของเรานั้นเป็นโครงการเชิงพาณิชย์เป็นหลัก ความแตกต่างอยู่ที่การเงินเริ่มต้นและเป้าหมายสุดท้ายเท่านั้น ตามอัตภาพสามารถจำแนกกลุ่มต่อไปนี้ได้:

  • lameware เป็นคำศัพท์ใหม่ที่หมายถึงมัลแวร์ที่เขียนโดยผู้เริ่มต้นหรือมือสมัครเล่นในสาขานี้ (ในชีวิตประจำวัน - lamers) มักใช้เดลฟี ตามกฎแล้วการพัฒนาไม่ต้องการการลงทุนทางการเงินใด ๆ อย่างไรก็ตามรายได้ในแง่สัมพัทธ์มีน้อย แรงจูงใจหลักในการเขียน lameware คือการทำให้ CSF ของคุณสนุกสนาน
  • มัลแวร์เชิงพาณิชย์คุณภาพสูง - มัลแวร์ที่มีชื่อ "โลก" มีหลายชั่วอายุคนและเป็นผู้นำในประวัติศาสตร์เป็นเวลาหลายปี
  • APT - สปายแวร์ การกระจายและการทำงานที่มีลักษณะเฉพาะโดยมุ่งเน้นที่เป้าหมายเฉพาะ - บริษัท องค์กร

บทสรุป

อินเทอร์เน็ต คอมพิวเตอร์ และโลกาภิวัตน์อื่น ๆ ทำให้ชีวิตของผู้คนง่ายขึ้น ทั้งคุณและฉันและผู้ที่เคยต้องกระโดดด้วยร่มชูชีพ แทะลวดหนาม แอบฟัง สอดแนม บ่อนทำลาย และติดสินบน งานส่วนใหญ่ของคนที่แข็งแกร่งเหล่านี้ทำโดยโปรแกรมเมอร์ที่มีความสามารถในราคาหลายล้านดอลลาร์ซึ่งไร้สาระตามมาตรฐานของงบประมาณที่สอดคล้องกัน ใช่ อย่างไรก็ตาม ชีวิตของบุคลิกอาชญากรที่เคยต้องวิ่งกับ Colt สำหรับรถโค้ชทางไปรษณีย์ก็กลายเป็นเรื่องง่ายเช่นกัน ใส่ใจและระมัดระวัง!

ในความเป็นจริง รักษาไวรัสนี่ไม่ใช่การดำเนินการที่ซับซ้อนมากในการจ่ายเงินจำนวนมากให้กับผู้เชี่ยวชาญสำหรับงานนี้ คุณสามารถป้องกันคอมพิวเตอร์ของคุณจากไวรัส หรือในกรณีที่มีการติดไวรัส ให้คอมพิวเตอร์ของคุณกลับสู่สถานะ "ปกติ" โดยการลบมัลแวร์ โดยเลือกโปรแกรมป้องกันไวรัสที่ดีและปฏิบัติตามกฎบางประการ เลือกสิ่งที่สำคัญที่สุดอย่างน้อยสองข้อ: ประการแรก อัปเดตฐานข้อมูลโปรแกรมป้องกันไวรัสเป็นประจำ ประการที่สองคือการสแกนคอมพิวเตอร์ของคุณเพื่อหาไวรัสเดือนละครั้ง

ด้วยสิ่งนี้ ฉันคิดว่าเป็นที่ชัดเจนว่าการกำจัดมัลแวร์นั้นดำเนินการด้วยความช่วยเหลือของโปรแกรมป้องกันไวรัส พวกเขาจ่ายเงินและฟรี ฉันได้พูดคุยเกี่ยวกับวิธีการฟรีในบทความต่อไปนี้:

และตอนนี้เกี่ยวกับโปรแกรมที่เป็นอันตรายหรือไวรัสในทางอื่นคืออะไร?

ไวรัสคอมพิวเตอร์หรือมัลแวร์- นี่คือโปรแกรมที่มีจุดประสงค์หลักคือ: ทำร้ายคอมพิวเตอร์, ทำลายข้อมูลผู้ใช้, ขโมยหรือลบข้อมูลส่วนบุคคล, ลดประสิทธิภาพของคอมพิวเตอร์ และอื่นๆ อีกมากมาย

จนถึงปัจจุบัน มัลแวร์แบ่งออกได้เป็นหลายประเภทตามผลกระทบที่เกิดขึ้นกับคอมพิวเตอร์

  • ไวรัสคลาสสิก
  • โปรแกรมโทรจัน
  • สายลับ
  • รูทคิท
  • แอดแวร์

เรามาดูรายละเอียดเกี่ยวกับมัลแวร์แต่ละประเภทกันดีกว่า

ไวรัสคลาสสิกเป็นโปรแกรมที่เป็นอันตรายที่สามารถติดคอมพิวเตอร์ เช่น ผ่านทางอินเทอร์เน็ต และสาระสำคัญของไวรัสดังกล่าวอยู่ที่การจำลองตัวเอง ไวรัสดังกล่าวคัดลอกตัวเอง คัดลอกไฟล์ และโฟลเดอร์ที่อยู่ในคอมพิวเตอร์ที่ติดไวรัส พวกเขาทำสิ่งนี้เพื่อทำให้ข้อมูลติดไวรัสและในอนาคตการกู้คืนข้อมูลจะเป็นไปไม่ได้ ไวรัสนี้พยายามสร้างความเสียหายให้กับข้อมูลทั้งหมดในคอมพิวเตอร์โดยการใส่โค้ดลงในไฟล์ทั้งหมด ตั้งแต่ไฟล์ระบบไปจนถึงข้อมูลส่วนตัวของผู้ใช้ บ่อยครั้งที่ความรอดบนคอมพิวเตอร์ที่ติดไวรัสคือ

โทรจันเป็นไวรัสชนิดร้ายแรง โทรจันถูกเขียนโดยผู้โจมตีเพื่อวัตถุประสงค์เฉพาะ เช่น ขโมยข้อมูลจากคอมพิวเตอร์ หรือขโมยรหัสผ่าน เป็นต้น

โทรจันแบ่งออกเป็นสองส่วน ส่วนแรกเรียกว่าเซิร์ฟเวอร์ ถูกจัดเก็บโดยผู้โจมตี และส่วนที่สองคือส่วนไคลเอ็นต์ ถูกกระจายไปยังทุกมุมที่เป็นไปได้ของอินเทอร์เน็ตและในที่อื่นๆ หากส่วนไคลเอ็นต์ของโปรแกรมที่เป็นอันตรายเข้าสู่คอมพิวเตอร์ พีซีเครื่องนี้จะติดไวรัสและโทรจันจะเริ่มส่งข้อมูลต่างๆ ไปยังผู้โจมตีที่ปลอมตัวบนเซิร์ฟเวอร์

นอกจากนี้ โทรจันยังสามารถดำเนินการต่างๆ บนคอมพิวเตอร์ตามคำร้องขอของเซิร์ฟเวอร์ (ผู้บุกรุก) ขโมยรหัสผ่าน ทำให้เอกสารและไฟล์ติดไวรัสด้วยรหัสที่เป็นอันตราย

สายลับค่อนข้างคล้ายกับโทรจัน แต่มีความแตกต่างที่สำคัญและอยู่ในข้อเท็จจริงที่ว่าสายลับไม่เป็นอันตรายต่อระบบและไฟล์ของผู้ใช้ สปายแวร์ นั่งลงอย่างเงียบ ๆ บนคอมพิวเตอร์และสอดแนม พวกเขาสามารถขโมยรหัสผ่านหรือแม้แต่บันทึกทุกอย่างที่คุณป้อนจากแป้นพิมพ์

สปายแวร์เป็นไวรัสประเภทที่ฉลาดที่สุดและสามารถส่งไฟล์จากคอมพิวเตอร์ที่ติดไวรัสได้ สายลับรู้ข้อมูลมากมายเกี่ยวกับพีซีที่ติดไวรัส: ระบบที่ติดตั้งไว้, โปรแกรมป้องกันไวรัสที่คุณใช้, เบราว์เซอร์ใดที่คุณใช้บนอินเทอร์เน็ต, โปรแกรมใดที่ติดตั้งบนคอมพิวเตอร์ และอื่นๆ สปายแวร์เป็นหนึ่งในมัลแวร์ที่อันตรายที่สุด

รูทคิทพวกมันไม่ใช่ไวรัสในตัวเอง แต่รูทคิทเป็นโปรแกรมที่มีวัตถุประสงค์เพื่อซ่อนการมีอยู่ของไวรัสอื่น ๆ ในคอมพิวเตอร์ ตัวอย่างเช่น คอมพิวเตอร์ติดไวรัสสอดแนมพร้อมกับรูทคิท และรูทคิตจะพยายามซ่อนสายลับจากโปรแกรมป้องกันไวรัสและระบบปฏิบัติการของคุณ ดังนั้นการมีรูทคิทในคอมพิวเตอร์จึงไม่เป็นอันตรายเนื่องจากสามารถทำงานได้ค่อนข้างดีและซ่อนไวรัสจำนวนมาก (สปายแวร์, โทรจัน) จากสายตาของโปรแกรมป้องกันไวรัสของเราเป็นเวลานาน!

แอดแวร์เป็นมัลแวร์อีกประเภทหนึ่ง มันน้อยลง โปรแกรมอันตรายและสาระสำคัญของมันคือการเล่นโฆษณาบนคอมพิวเตอร์ของคุณด้วยวิธีต่างๆ ในที่ต่างๆ แอดแวร์ไม่ก่อให้เกิดอันตรายใด ๆ และไม่ทำให้ไฟล์เสียหายหรือเสียหาย แต่คุณต้องป้องกันตัวเองจากไวรัสชนิดนี้ด้วย

เหล่านี้คือประเภท มัลแวร์มีอยู่. เพื่อปกป้องคอมพิวเตอร์ของคุณจากไวรัส เราต้องการ โปรแกรมป้องกันไวรัสที่ดี. ฉันได้พูดคุยเกี่ยวกับเรื่องนี้ในบทความอื่น และตอนนี้เราจะดำเนินการต่อในหัวข้อการอธิบายไวรัสและแผนการป้องกันสำหรับคอมพิวเตอร์ของเรา

ก่อนหน้านี้ไวรัสไม่ได้มีวัตถุประสงค์เฉพาะใด ๆ พวกเขาเขียนขึ้นเพื่อผลประโยชน์และผู้พัฒนาไม่ได้กำหนดเป้าหมายเฉพาะ ตอนนี้ไวรัสเป็นอัลกอริทึมที่ซับซ้อนที่สุดซึ่งส่วนใหญ่มักเป็นการขโมยเงินและข้อมูล โทรจันส่วนใหญ่มักออกแบบมาเพื่อขโมยรหัสผ่านและข้อมูลสำคัญอื่นๆ เท่านั้น

โดยวิธีการที่คอมพิวเตอร์ของคุณถูกโจมตีโดยไวรัสสามารถแยกแยะได้ด้วยสัญญาณบางอย่าง:

  • โปรแกรมทำงานไม่ถูกต้องหรือหยุดทำงานไปเลย
  • คอมพิวเตอร์เริ่มช้าลงทำงานช้าลง
  • ไฟล์บางไฟล์เสียหาย ไม่ยอมเปิด

บ่อยครั้งที่อาการเหล่านี้สามารถเป็นได้ สัญญาณของการติดไวรัสคอมพิวเตอร์แต่โชคดีที่ไม่เสมอไป

ควรสังเกตว่าไวรัสตัวใดตัวหนึ่งสามารถติดเชื้อได้บ่อยที่สุด หลากหลายชนิดไฟล์. ดังนั้นแม้หลังจากการรักษาคอมพิวเตอร์จากการโจมตีของไวรัสที่แข็งแกร่ง การจัดรูปแบบพาร์ติชันจะถูกต้องที่สุด

เพื่อป้องกันตัวเองจากไวรัสดังที่ฉันกล่าวไว้ข้างต้น พวกมันจะช่วยคุณได้ โปรแกรมป้องกันไวรัส. ทุกวันนี้ โปรแกรมป้องกันไวรัสมีคุณสมบัติเพียงพอที่จะสะท้อนถึงโปรแกรมที่เป็นอันตรายเกือบทั้งหมดที่เผยแพร่บนอินเทอร์เน็ต แต่สำหรับสูงสุด การปกป้องจากไวรัสมีบทบาทสำคัญในการเล่นโดยโปรแกรมป้องกันไวรัสที่เลือกและกำหนดค่าอย่างเหมาะสมเพื่อประสิทธิภาพ "การต่อสู้" เต็มรูปแบบ ฉันขอแนะนำให้คุณอ่านบทความเกี่ยวกับ แต่ถ้าคุณไม่มีเวลา ฉันจะตั้งชื่อโปรแกรมป้องกันไวรัสที่ดีที่สุดให้คุณที่นี่ ณ วันนี้ ได้แก่:

  • แคสเปอร์สกี้
  • อวาสต์
  • ดร.เว็บ
  • NOD32

ผมว่ามีให้เลือกเยอะ

ขอให้โชคดีและการป้องกันไวรัสที่ยอดเยี่ยมสำหรับคุณ

มัลแวร์ โทรจัน และภัยคุกคาม

คอมพิวเตอร์ส่วนใหญ่เชื่อมต่อกับเครือข่าย (อินเทอร์เน็ต, เครือข่ายท้องถิ่น) ซึ่งช่วยลดความยุ่งยากในการแจกจ่ายโปรแกรมที่เป็นอันตราย (ตามมาตรฐานของรัสเซียโปรแกรมดังกล่าวเรียกว่า "การทำลายล้าง ซอฟต์แวร์"แต่เพราะว่า แนวคิดนี้ไม่ธรรมดา รีวิวจะใช้แนวคิดของ "โปรแกรมที่เป็นอันตราย"; บน ภาษาอังกฤษเรียกว่ามัลแวร์) โปรแกรมเหล่านี้รวมถึงโทรจัน (หรือที่เรียกว่า ม้าโทรจัน) ไวรัส เวิร์ม สปายแวร์ แอดแวร์ รูทคิท และอื่นๆ อีกหลายประเภท

ข้อดีอีกอย่างคือ MBAM ไม่ค่อยทำให้เกิดความขัดแย้งกับโปรแกรมป้องกันมัลแวร์อื่นๆ

โปรแกรมสแกนโทรจันฟรี SUPERAntiSpyware

. นอกจากสปายแวร์แล้ว โปรแกรมนี้ยังสแกนและลบภัยคุกคามประเภทอื่นๆ เช่น โปรแกรมโทรออก คีย์ล็อกเกอร์ เวิร์ม รูทคิท เป็นต้น

โปรแกรมมีการสแกนสามประเภท: การสแกนระบบอย่างรวดเร็ว แบบเต็มหรือแบบกำหนดเอง ก่อนทำการสแกน โปรแกรมเสนอให้ตรวจสอบการอัปเดตเพื่อปกป้องคุณจากภัยคุกคามล่าสุดทันที SAS มีบัญชีดำของตัวเอง นี่คือรายการ 100 ตัวอย่างของ DLL และ EXE ต่างๆ ที่ไม่ควรอยู่ในคอมพิวเตอร์ เมื่อคุณคลิกที่รายการใด ๆ ในรายการคุณจะได้รับ คำอธิบายแบบเต็มภัยคุกคาม

หนึ่งใน คุณสมบัติที่สำคัญโปรแกรม - นี่คือการมีอยู่ของการป้องกัน Hi-Jack ซึ่งไม่อนุญาตให้แอปพลิเคชันอื่นยุติโปรแกรม (ยกเว้นตัวจัดการงาน)

น่าเสียดายที่เวอร์ชันฟรีของโปรแกรมนี้ไม่รองรับการป้องกันตามเวลาจริง การสแกนตามกำหนดเวลา และคุณลักษณะอื่น ๆ อีกจำนวนหนึ่ง

โปรแกรมเพิ่มเติม

โปรแกรมสแกนโทรจันฟรีอื่น ๆ ที่ไม่รวมอยู่ในการตรวจสอบ:

  • Rising PC Doctor (ไม่สามารถใช้งานได้อีกต่อไป คุณยังสามารถค้นหาเวอร์ชันเก่าบนอินเทอร์เน็ตได้) - โปรแกรมสแกนโทรจันและสปายแวร์ ให้โอกาส การป้องกันอัตโนมัติจากโทรจันจำนวนหนึ่ง นอกจากนี้ยังมีเครื่องมือต่อไปนี้: การจัดการการเริ่มต้น, ผู้จัดการกระบวนการ, ผู้จัดการบริการ, File Shredder (โปรแกรมลบไฟล์โดยไม่สามารถกู้คืนได้) และอื่น ๆ
  • FreeFixer - จะสแกนระบบของคุณและช่วยคุณลบโทรจันและมัลแวร์อื่นๆ แต่ผู้ใช้จำเป็นต้องตีความผลลัพธ์ของโปรแกรมให้ถูกต้อง ต้องใช้ความระมัดระวังเป็นพิเศษเมื่อตัดสินใจลบไฟล์ระบบที่สำคัญ เนื่องจากอาจทำให้ระบบของคุณเสียหายได้ อย่างไรก็ตาม มีฟอรัมที่คุณสามารถปรึกษาได้หากมีข้อสงสัยเกี่ยวกับการตัดสินใจ (ลิงก์ไปยังฟอรัมอยู่ในเว็บไซต์)
  • Ashampoo Anti-Malware (น่าเสียดายที่มันกลายเป็นรุ่นทดลองแล้ว เป็นไปได้ว่ารุ่นก่อนหน้านี้ยังสามารถพบได้บนอินเทอร์เน็ต) - ในตอนแรกผลิตภัณฑ์นี้เป็นเชิงพาณิชย์เท่านั้น เวอร์ชันฟรีให้การป้องกันแบบเรียลไทม์และยังมีเครื่องมือเพิ่มประสิทธิภาพต่างๆ

คู่มือฉบับย่อ (ลิงค์ดาวน์โหลดโปรแกรมสแกนโทรจัน)

Emsisoft ต่อต้านมัลแวร์

สแกนและลบโทรจัน เวิร์ม ไวรัส สปายแวร์ ตัวติดตาม โปรแกรมโทรออก ฯลฯ ง่ายต่อการใช้.
ใน รุ่นฟรีจำกัดอย่างรุนแรง ไม่พร้อมใช้งาน: การอัปเดตอัตโนมัติ การป้องกันไฟล์ตามเวลาจริง การสแกนตามกำหนดเวลา ฯลฯ
น่าเสียดายที่มันกลายเป็นการทดลอง บางทีเวอร์ชันก่อนหน้านี้ยังสามารถพบได้บนอินเทอร์เน็ต
www.emsisoft(.)com

PC Tools ThreatFire

การป้องกันเชิงรุกจากโทรจัน ไวรัส เวิร์ม สปายแวร์ รูทคิท และมัลแวร์อื่นๆ ที่รู้จักและไม่รู้จัก
อัพเดทอัตโนมัติไม่ได้ระบุไว้หากคุณเลือกไม่ใช้ชุมชนของ ThreatFire เวอร์ชัน 4.10 ไม่มีการเปลี่ยนแปลงตั้งแต่เดือนพฤศจิกายน 2554


กำลังโหลด...
สูงสุด