Вирусы | VIRUS. Виды и чего стоит опасаться - Форум для web мастеров

Manfred · 14.05.2008, 14:10

в этой теме обсуждаем виды вирусов на все ОСи

Коротко о них.
Компьютерные вирусы — разновидность вредоносных программ, отличительной особенностью которых является способность к размножению (саморепликации). В дополнение к этому они могут повреждать или полностью уничтожать данные, подконтрольные пользователю, от имени которого была запущена заражённая программа.

Неспециалисты иногда к компьютерным вирусам причисляют все вредоносные программы, такие как троянские кони, программы-шпионы.

Вероятно последнее предложение цитаты было обусловлено предположением, что переход к ОС с разграничением доступа (каковой MS-DOS не является) сделает существование вирусов невозможным. Вирусы распространялись, внедряя себя в исполняемый код других программ, или же заменяя собой другие программы.

Из-за внедрения исполняемого кода — например, макросов — в документы, появились макровирусы, поражающие такие документы (например Microsoft Word и Excel).

До недавнего времени считалось, что являясь программой вирус может заразить только программу — какое угодно изменение непрограммы является не заражением, а просто повреждением данных. Подразумевалось, что такие копии вируса не получают управления, будучи информацией, не использующейся процессором в качестве инструкций. Так, например неформатированный текст (*.txt — plain/text (см. MIME)) не мог бы быть переносчиком вируса.

Некоторое время спустя появились вирусы, использующие уязвимости в популярном программном обеспечении (например, Adobe Photoshop, Internet Explorer, Outlook), в общем случае обрабатывающем данные. Вирусы стали распространяться посредством внедрения в последовательности данных (например, картинки, тексты, и т. д.) специального кода, использующего уязвимости программного обеспечения. Можно сказать, что именно с этого периода пользователь компьютера стал наименее защищён от вирусов.

Происхождение термина
Компьютерный вирус был назван по аналогии с вирусами биологическими. По всей видимости, впервые слово вирус по отношению к программе было употреблено Грегори Бенфордом (Gregory Benford), в фантастическом рассказе «Человек в шрамах» (The Scarred Man), опубликованном в журнале Venture в мае 1970. Термин компьютерный вирус впоследствии не раз открывался и переоткрывался — так переменная в программе PERVADE (1975), от значения которой зависело будет ли программа ANIMAL распространяться по диску, называлась VIRUS, так же вирусом назвал свои программы Джо Деллиндер, и, вероятно, — это и был первый вирус, названный «вирусом».

Классификация
В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, сетевые черви), по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, GNU/Linux, Java и другие), по технологиям используемым вирусом (полиморфные вирусы, стелс-вирусы), по языку на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.).

Канал распространения
Сейчас основной канал распространения вирусов — электронная почта. Так же распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и другим IM, и по электронной почте. Возможно так же заражение через странички интернет. В этом случае используются уязвимости ПО установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (это опаснее всего, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей). Хакеры и спамеры используют зараженные компьютеры пользователей для рассылки спама или DDoS-атак.

Экономика
Некоторые производители антивирусов утверждают, что сейчас создание вирусов превратилось из одиночного хулиганского занятия в серьёзный бизнес имеющий тесные связи с бизнесом спама и другими видами противозаконной деятельности. Также называются миллионные и даже миллиардные суммы ущерба от действий вирусов и червей. К подобным утверждениям и оценкам следует относиться предельно скептически, так, например, суммы ущерба по оценкам различных аналитиков различаются (иногда на три-четыре порядка), а методики подсчёта не приводятся.

Devil · 14.05.2008, 18:14

кстати да, очень интересная тема

Манфи, тыс сам кажется не столь давно был под "заразой" что поймал тогда и как лечил не помнишь?

Manfred · 14.05.2008, 20:11

антивирь + прямые руки -__-

тут довече антивирем проверялся, выдал он мне Rootkit, с ним раньше не сталкивался

Rootkit
Rootkit (руткит, от англ. root kit, то есть «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, сниферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов а также самого присутствия руткита в системе.

Классификация руткитов

По уровню привилегий
- Уровня пользователя (user-mode)
- Уровня ядра (kernel-mode)

По принципу действия
- изменяющие алгоритмы выполнения системных функций (Modify execution path)
- изменяющие системные структуры данных (Direct kernel object manupulation)

Основные методы реализации

В UNIX
реализуемые подменой основных системных утилит;
реализованные в виде модуля ядра и основанные на патчинге VFS или перехвате таблицы системных вызовов (sys_call_table);
основанные на модификации физической памяти ядра.

В Windows
В Windows из-за Windows File Protection переписывание системных файлов затруднено (хотя и его можно обойти!), поэтому основные способы внедрения в систему — модификация памяти.
перехват системных функций Windows API (API hooking) на уровне пользователя
то же на уровне ядра (перехват Native API)
изменение системных структур данных

Кроме того, руткиту нужно как-то поставить себя на автозапуск. «К счастью», в Windows для этого существует множество способов помимо «стандартных».

Дополнительные возможности

Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).

Легальные руткиты

Руткиты могут «подкидывать» не только злоумышленники. Небезызвестен случай, когда корпорация Sony встраивала подобие руткита в свои лицензионные аудиодиски (см. Защита от несанкционированного копирования#Защита аудио компакт-дисков). Руткитами по сути является большинство программных средств защиты от копирования (и средств обхода этих защит — например, эмуляторы CD и DVD приводов). От «нелегальных» они отличаются только тем, что ставятся с ведома пользователя.

Антируткиты

Это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого - как коммерческих, так и бесплатных, но все они используют сходные принципы действия:
Поиск расхождений

Против MEP-руткитов. Одна и та же информация получается несколькими способами с использованием API и "напрямую" и ищутся расхождения. В частности, обычно сканируются таблицы импорта, таблица Native API, файловая система.

(с) википедия

Devil · 14.05.2008, 23:50

Manfred, и регульрное бэкпанье нужной инфы на болванки

@$_terr_X · 15.05.2008, 00:38

Цитата: Сообщение от Manfred

антивирь + прямые руки -__-

вот эта фраза радует

))

zuziken · 30.06.2008, 21:03

Недавно подцепил вирус. Заразился от заражённого компьютера.

Характерные черты и проявления:
Создаёт в корне всех дисков файл NewFolder.exe autorun.inf и ещё какой-то, со скрытыми атрибутами.
Автоматом копирует себя в любой вставленный в PC накопитель.
Грузит сеть и чего-то отправляет.

Решил проверить антивирусной утилитой AVZ

Вот информация по программе:

Является инструментом для исследования и восстановления системы, и предназначена для автоматического или ручного поиска и удаления:
· SpyWare, AdvWare программ и модулей (это одно из основных назначений утилиты);
· Руткитов и вредоносных программ, маскирующих свои процессы
· Сетевых и почтовых червей;
· Троянских программ (включая все их разновидности, в частности Trojan-PSW, Trojan-Downloader, Trojan-Spy) и Backdoor (программ для скрытного удаленного управления компьютером);
· Троянских программ-звонилок (Dialer, Trojan.Dialer, Porn-Dialer);
· Клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем

Нашёл он эти вирусы, тока суть в том, что вирус привязался к системный службам.
Так вот этот AVZ удалил все службы вместе с вирусом!!!

Обидно система обрушилась почти полностью, пришлось переустанавливать.

Вот так вот иногда бывает! Ох уж эти вирусы!

Manfred · 01.07.2008, 08:45

autorun.inf - терпеть его ненавижу. он скрыт, без антивирей удалите его через FAR

zuziken · 01.07.2008, 10:44

Цитата: Сообщение от Manfred

autorun.inf - терпеть его ненавижу. он скрыт, без антивирей удалите его через FAR

Ок

Но, шанс что вирус будет ещё работать очень большой, т.к они подцепляются к реестру, автозагрузке, системным файлам, службам и т.д

Так, что от удаления ауторана будет мало толку.

Manfred · 01.07.2008, 13:52

опять же, через ФАР его можно удалить, если найдёшь

Donskoy · 01.07.2008, 18:59

можно утилиткой специальной авторан-вирус убивать
на себе потестил, успешно