casa → Mondo Stiamo sviluppando uno script virale per reclutare abbonati gratuiti. Malware e virus (macrovirus, virus stealth e polimorfici)

Stiamo sviluppando uno script virale per reclutare abbonati gratuiti. Malware e virus (macrovirus, virus stealth e polimorfici)

La storia dell'emergere della scrittura dei virus è estremamente interessante: sta ancora aspettando il suo meticoloso ricercatore! Non c'è ancora consenso sul momento che possa essere considerato il giorno ufficiale della comparsa del virus, così come non esistevano criteri in base ai quali questo o quel software potesse essere sussunto e distinto tra esperimenti di ricerca e un programma scritto appositamente con funzioni dannose.

Nel 1949, John von Naumann, un eminente matematico americano di origine ungherese che diede importanti contributi alla fisica quantistica, alla logica quantistica, all'analisi funzionale, alla teoria degli insiemi, all'informatica, all'economia e ad altri rami della scienza, sviluppò una teoria matematica per la creazione del sé -replicare i programmi. Questo fu il primo tentativo di creare una teoria di un simile fenomeno, ma non suscitò molto interesse nella comunità scientifica, poiché non aveva alcun significato pratico apparente.

Non c’è accordo nemmeno sull’origine del nome “virus informatico”. Secondo una versione, ciò accadde il 10 novembre 1983, quando Fred Cohen, studente laureato dell'Università della California del Sud, durante un seminario sulla sicurezza presso la Lehigh University (Pennsylvania, USA) dimostrò un programma su un sistema VAX 11/750 in grado di essere incorporato in altri oggetti software. Questo programma può essere giustamente considerato uno dei primi prototipi di un virus informatico.

Cohen ha implementato il codice che ha scritto in uno dei comandi Unix e, dopo cinque minuti dall'esecuzione sul computer, ha acquisito il controllo del sistema. In altre quattro manifestazioni, l’accesso completo è stato ottenuto in mezz’ora, lasciando vanificati tutti i meccanismi di difesa esistenti in quel momento.

Esiste una versione in cui il termine “virus” veniva utilizzato per descrivere un programma che copia se stesso consulente scientifico Freda, uno dei creatori dell'algoritmo crittografico RSA, Leonard Adleman.

Un anno dopo, alla 7a Conferenza sulla sicurezza informatica, F. Cohen dà una definizione scientifica del termine “virus informatico” come un programma capace di “infettare” altri programmi modificandoli per introdurre copie di se stesso ed eseguire azioni specifiche . Notiamo che F. Cohen non è stato sicuramente un innovatore in questo settore. Discussioni teoriche sui programmi distribuiti mediante copia da computer a computer e sull'implementazione pratica sono state condotte con successo in precedenza. Tuttavia, è stata la presentazione di F. Cohen a costringere gli esperti a parlare seriamente dei potenziali danni derivanti da attacchi deliberati. Appena quindici anni dopo, la diffusione del software dannoso ha raggiunto proporzioni allarmanti che non possono essere ridotte radicalmente.

In un certo senso, lo scolaro quindicenne della Pennsylvania Rich Skrenta era davanti a F. Cohen. Il suo passatempo preferito era fare scherzi ai suoi amici modificando il codice dei giochi dell'Apple II, causando lo spegnimento improvviso dei computer o l'esecuzione di altre azioni. Nel 1982 scrisse Elk Cloner, un virus di avvio autoreplicante che infettava l'Apple II tramite un floppy disk. Ogni cinquantesimo riavvio del PC, appariva un messaggio che diceva: "Prenderà il controllo dei tuoi dischi, prenderà il controllo dei tuoi chip. Sì, è Cloner! Ti attaccherà come colla, si insinuerà nella tua memoria. Cloner ti dà il benvenuto! "

Il programma di R. Skrent non si estendeva molto oltre la sua cerchia di amici. Gli allori sono andati al “capolavoro” del pensiero programmatore, apparso pochi anni dopo. Il programma Brain è stato creato nel 1988 da due fratelli pakistani, a cui viene attribuito il merito di aver infettato i PC tramite copie illegali di un programma di monitoraggio cardiaco da loro creato. Il virus conteneva un avviso di copyright con i nomi e i numeri di telefono dei fratelli, quindi gli utenti di macchine infette potevano contattare direttamente gli autori del virus per un “vaccino”. Alla prima versione di Brain seguirono numerose modifiche di interesse puramente commerciale.

Nel 1988, lo studente laureato della Cornell University Robert Tappan Morris Jr., figlio dello scienziato capo dell'Agenzia, sicurezza nazionale Gli Stati Uniti (National Security Agency) hanno diffuso il primo worm informatico diffuso, sebbene già dalla fine degli anni '70 fossero stati condotti lavori sperimentali in questo settore. Questo tipo di programma molto spesso non esegue alcuna manipolazione distruttiva con i file dell'utente e mira a diffondersi il più rapidamente e ampiamente possibile, riducendo l'efficienza delle reti.

Secondo alcune stime, tra il 5% e il 10% delle macchine allora connesse alla Rete, la maggior parte delle quali appartenenti ad università ed enti di ricerca, furono attaccate da essa. Il worm sfruttava le vulnerabilità di diversi programmi, compreso Sendmail. R. T. Morris è diventata la prima persona condannata per crimini informatici e ha ricevuto una pena sospesa di 3 anni. Tuttavia, ciò non gli ha impedito di diventare successivamente professore presso il Massachusetts Institute of Technology (MIT).

Il malware ha compiuto il grande passo successivo negli anni '90 con la crescita della domanda di personal computer e del numero di utenti E-mail. Le comunicazioni elettroniche hanno fornito molto di più modo effettivo infezione di un PC che attraverso i supporti di memorizzazione. Un esempio della velocità di diffusione è stato il virus Melissa nel 1999, che si è infiltrato in 250mila sistemi. Tuttavia, era innocuo, tranne per il fatto che ogni volta che l'ora e la data corrispondevano, ad esempio le 5:20 e il 20 maggio, sullo schermo appariva una citazione dei Simpson.

Un anno dopo apparve Love Bug, noto anche come LoveLetter. In breve tempo il virus si diffuse in tutto il mondo! È stato scritto da uno studente filippino ed è arrivato tramite email con oggetto "Ti amo". Non appena l'utente ha tentato di aprire l'allegato, il virus si è inviato tramite Microsoft Outlook a tutti gli indirizzi presenti nella lista dei contatti. Poi ha scaricato un programma trojan per raccogliere informazioni di interesse per il filippino. LoveLetter ha attaccato circa 55 milioni di PC e ne ha infettati tra i 2,5 e i 3 milioni. L'importo dei danni da lui causati è stato stimato in 10 miliardi, ma lo studente è sfuggito alla punizione perché le Filippine all'epoca non disponevano di un quadro legislativo per combattere i criminali informatici [Born Denis, http://www.wired.com].

La diffusione a valanga di virus è diventata un grosso problema per la maggior parte delle aziende e agenzie governative. Attualmente si conoscono più di un milione di virus informatici e ogni mese compaiono più di 3.000 nuove varietà ["Enciclopedia dei virus", http://www.viruslist.com/ru/viruses/encyclopedia.].

Un virus informatico è un programma appositamente scritto che può “attribuirsi” ad altri programmi, ad es. "infettarli" per eseguire varie azioni indesiderate su un computer, computer o sistema informativo e in linea.

Quando un programma di questo tipo inizia a funzionare, solitamente il virus prende il controllo per primo. Il virus può agire in modo indipendente, eseguendo determinate azioni dannose (modifica di file o della tabella di allocazione dei file sul disco, intasamento della RAM, modifica dell'indirizzamento delle chiamate a dispositivi esterni, generazione di un'applicazione dannosa, furto di password e dati, ecc.), oppure " infettare” altri programmi. I programmi infetti possono essere trasferiti su un altro computer tramite dischetti o una rete locale.

Le forme di organizzazione degli attacchi virali sono molto diverse, ma in generale possono essere praticamente “sparpagliate” nelle seguenti categorie:

penetrazione remota in un computer - programmi che ottengono l'accesso non autorizzato a un altro computer tramite Internet (o rete locale);
penetrazione nel computer locale: programmi che ottengono l'accesso non autorizzato al computer su cui successivamente operano;
blocco del computer remoto: programmi che, tramite Internet (o rete), bloccano il funzionamento di un intero computer remoto o di un programma separato su di esso;
blocco del computer locale: programmi che bloccano il funzionamento del computer su cui sono in esecuzione;
scanner di rete: programmi che raccolgono informazioni sulla rete per determinare quali computer e programmi in esecuzione su di essi sono potenzialmente vulnerabili agli attacchi;
scanner vulnerabilità programmi - programmi, controlla grandi gruppi computer su Internet alla ricerca di computer vulnerabili all'uno o all'altro tipo specifico di attacco;
cracker di password: programmi che rilevano password facilmente indovinabili in file di password crittografati;
analizzatori di rete (sniffer) - programmi che ascoltano il traffico di rete; spesso hanno la capacità di evidenziare automaticamente nomi utente, password e numeri carte di credito dal traffico;
modifica dei dati trasmessi o sostituzione delle informazioni;
sostituire un oggetto fidato con uno distribuito rete di computer(lavorare per suo conto) o un falso oggetto di un aereo distribuito (DBC).
L'"ingegneria sociale" è l'accesso non autorizzato a informazioni diverse dall'hacking del software. L'obiettivo è ingannare i dipendenti (amministratori di rete o di sistema, utenti, manager) al fine di ottenere password di sistema o altre informazioni che possano contribuire a compromettere la sicurezza del sistema.

Il software dannoso include worm di rete, virus di file classici, cavalli di Troia, utilità degli hacker e altri programmi che causano deliberatamente danni al computer su cui vengono eseguiti o ad altri computer della rete.

Worm di rete

La principale differenza tra i tipi di worm è il metodo di propagazione del worm, ovvero il modo in cui trasmette la sua copia ai computer remoti. Altri segni che i CP differiscono l'uno dall'altro sono i metodi di lancio di una copia del worm sul computer infetto, i metodi di introduzione nel sistema, nonché il polimorfismo, la furtività e altre caratteristiche inerenti ad altri tipi di software dannoso (virus e trojan ).

Esempio - E-mail-Worm - worm di posta elettronica. Questa categoria di worm comprende quelli che utilizzano la posta elettronica per diffondersi. In questo caso, il worm invia una copia di se stesso come allegato a un'e-mail o un collegamento al proprio file situato su qualche risorsa di rete (ad esempio, un URL a un file infetto situato su un sito Web compromesso o di hacker). Nel primo caso, il codice del worm viene attivato quando viene aperto (avviato) un allegato infetto, nel secondo quando viene aperto un collegamento a un file infetto. In entrambi i casi l'effetto è lo stesso: il codice del worm viene attivato.

I worm di posta utilizzano vari metodi per inviare messaggi infetti. Il più comune:

connessione diretta al server SMTP utilizzando la libreria di posta integrata nel codice del worm;
utilizzo dei servizi MS Outlook;
utilizzando le funzioni MAPI di Windows.

I worm di posta elettronica utilizzano vari metodi per cercare gli indirizzi e-mail a cui verranno inviati i messaggi infetti. Worm di posta:

inviarsi a tutti gli indirizzi presenti nella rubrica di MS Outlook;
legge gli indirizzi dal database degli indirizzi WAB;
esegue la scansione dei file "adatti" sul disco e seleziona le righe in essi che sono indirizzi e-mail;
si inviano a tutti gli indirizzi trovati nelle lettere nella casella di posta (mentre alcuni worm di posta "rispondono" alle lettere trovate nella casella di posta).

Molti worm utilizzano diversi di questi metodi contemporaneamente. Esistono anche altri modi per trovare indirizzi e-mail. Altri tipi di worm: IM-Worm - worm che utilizzano cercapersone Internet, IRC-Worm - worm nei canali IRC, Net-Worm - altri worm di rete.

Virus informatici classici

Questa categoria include programmi che distribuiscono copie di se stessi attraverso le risorse del computer locale allo scopo di: lanciare successivamente il proprio codice su qualsiasi azione dell'utente o ulteriore implementazione in altre risorse del computer.

A differenza dei worm, i virus non utilizzano i servizi di rete per penetrare in altri computer. Una copia del virus raggiunge i computer remoti solo se l'oggetto infetto, per qualche motivo estraneo alla funzionalità del virus, viene attivato su un altro computer, ad esempio:

durante l'infezione dei dischi accessibili, il virus è penetrato nei file situati su una risorsa di rete;
il virus si è copiato su supporti rimovibili o file infetti al loro interno;
l'utente ha inviato un'e-mail con un allegato infetto.

Alcuni virus contengono proprietà di altri tipi di software dannoso, come una procedura backdoor o un trojan che distrugge le informazioni su un disco.

Molti fogli di calcolo ed editor grafici, sistemi di progettazione ed elaboratori di testo dispongono dei propri linguaggi macro (macro) per automatizzare le azioni ripetitive. Questi macrolinguaggi hanno spesso una struttura complessa e un ricco set di comandi. I virus macro sono programmi in linguaggi macro integrati in tali sistemi di elaborazione dati. Per riprodursi, i virus di questa classe utilizzano le capacità dei macrolinguaggi e, con il loro aiuto, si trasferiscono da un file infetto (documento o tabella) ad altri.

Virus di script

Va inoltre notato che i virus di script sono un sottogruppo di virus di file. Questi virus sono scritti in vari linguaggi di script (VBS, JS, BAT, PHP, ecc.). Infettano altri programmi script (file di comando e di servizio di MS Windows o Linux) o fanno parte di virus multicomponente. Inoltre, questi virus possono infettare file di altri formati (ad esempio HTML), se in essi è possibile eseguire script.

Troiani

Questa categoria include programmi che eseguono varie azioni non autorizzate dall'utente: raccolta di informazioni e trasmissione a un utente malintenzionato, distruzione o modifica dannosa, danneggiamento del computer e utilizzo delle risorse informatiche per scopi indecorosi. Alcune categorie di programmi Trojan causano danni computer remoti e reti senza interrompere il funzionamento del computer infetto (ad esempio, programmi Trojan progettati per massicci attacchi DoS contro risorse di rete remote).

I programmi trojan sono diversi e differiscono tra loro per le azioni che eseguono su un computer infetto:

Backdoor: utilità di amministrazione remota Trojan.
Trojan-PSW: furto di password.
Trojan-AOL è una famiglia di programmi Trojan che “rubano” i codici di accesso alla rete AOL (America Online). Sono assegnati ad un gruppo speciale a causa del loro gran numero.
Trojan-Clicker: clicker su Internet. Famiglia di programmi Trojan la cui funzione principale è organizzare l'accesso non autorizzato alle risorse Internet (solitamente pagine Web). Ciò si ottiene inviando comandi appropriati al browser o sostituendo i file di sistema che contengono indirizzi “standard” di risorse Internet (ad esempio il file host in MS Windows).
Trojan-Downloader: distribuzione di altri programmi dannosi.
Trojan-Dropper: installatori di altri programmi dannosi. I programmi Trojan di questa classe sono scritti allo scopo di installare segretamente altri programmi e vengono quasi sempre utilizzati per "infilare" virus o altri programmi Trojan sul computer della vittima.
Trojan-Proxy: server proxy Trojan. Una famiglia di programmi Trojan che forniscono segretamente accesso anonimo a varie risorse Internet. Solitamente utilizzato per inviare spam.
Trojan-Spy - spyware. Questi trojan eseguono lo spionaggio elettronico dell'utente di un computer infetto: le informazioni inserite dalla tastiera, gli screenshot, l'elenco delle applicazioni attive e le azioni dell'utente con esse vengono salvati in un file sul disco e periodicamente inviati all'aggressore. Questo tipo di trojan viene spesso utilizzato per rubare informazioni agli utenti di vari sistemi bancari e di pagamento online.
Trojan: altri programmi Trojan. Rientrano in questa categoria anche i trojan “multiuso”, ad esempio quelli che spiano un utente e contemporaneamente forniscono un servizio proxy a un aggressore remoto.
Trojan ArcBomb - "bombe" negli archivi. Si tratta di archivi appositamente progettati in modo tale da causare comportamenti anomali da parte degli archiviatori quando tentano di estrarre i dati, bloccando o rallentando significativamente il computer o riempiendo il disco con una grande quantità di dati "vuoti". Le "bombe di archivio" sono particolarmente pericolose per i file server e i server di posta se il server utilizza una sorta di sistema di elaborazione automatica per le informazioni in arrivo: una "bomba di archivio" può semplicemente impedire il funzionamento del server.
Trojan-Notifier: notifica di un attacco riuscito. I trojan di questo tipo sono progettati per informare il loro "padrone" di un computer infetto. In questo caso, le informazioni sul computer vengono inviate all'indirizzo "host", ad esempio l'indirizzo IP del computer, il numero di porta aperta, l'indirizzo e-mail, ecc. L'invio viene effettuato diversi modi: tramite e-mail, un indirizzo appositamente progettato per la pagina web "host", messaggio ICQ. Questi programmi Trojan vengono utilizzati in set Trojan multicomponente per notificare al loro "padrone" l'avvenuta installazione dei componenti Trojan nel sistema attaccato.

In effetti, i virus macro non sono una "specie" indipendente, ma solo una delle varietà di una vasta famiglia di programmi dannosi: i virus di script. Il loro isolamento è dovuto solo al fatto che sono stati i virus macro a gettare le basi per l'intera famiglia, inoltre i virus “su misura” per i programmi Microsoft Office erano i più diffusi dell'intero clan. Va inoltre notato che i virus di script sono un sottogruppo di virus di file. Questi virus sono scritti in vari linguaggi di script (VBS, JS, BAT, PHP, ecc.).

Una caratteristica comune dei virus di script è il loro legame con uno dei linguaggi di programmazione “integrati”. Ogni virus è legato a uno specifico "buco" nella protezione di uno dei programmi Windows e non è un programma indipendente, ma un insieme di istruzioni che costringono il "motore" generalmente innocuo del programma a eseguire azioni distruttive non tipiche per questo.

Come nel caso dei documenti Word, l'uso di microprogrammi (script, applet Java, ecc.) Di per sé non è un crimine: la maggior parte di essi funziona in modo abbastanza pacifico, rendendo la pagina più attraente o più conveniente. Chat, libro degli ospiti, sistema di voto, contatore: tutte queste comodità le nostre pagine devono ai microprogrammi - "script". Per quanto riguarda gli applet Java, anche la loro presenza sulla pagina è giustificata: consentono, ad esempio, di visualizzare un menu comodo e funzionale che si espande sotto il cursore del mouse...

Le comodità sono comodità, ma non dimenticare che tutte queste applet e script sono veri e propri programmi a tutti gli effetti. Inoltre, molti di loro si avviano e funzionano non da qualche parte là fuori, su un server sconosciuto, ma direttamente sul tuo computer! E incorporandovi un virus, i creatori della pagina potranno accedere ai contenuti del tuo disco rigido. Le conseguenze sono già note: dal semplice furto della password alla formattazione del disco rigido.

Naturalmente, dovrai affrontare gli "script killer" cento volte meno spesso rispetto ai virus ordinari. A proposito, in questo caso c'è poca speranza per gli antivirus convenzionali, ma un programma dannoso aperto insieme alla pagina dovrà superare la protezione del browser stesso, i cui creatori sono ben consapevoli di queste cose.

Impostazione del livello di sicurezza di Internet Explorer.

Torniamo per un momento alle impostazioni di Internet Explorer, ovvero nel menu Strumenti/Opzioni Internet/Sicurezza. Internet Explorer ci offre diversi livelli di sicurezza. Oltre al livello di protezione standard (zona Internet), possiamo rafforzare (zona Restrizioni) o indebolire la nostra vigilanza (zona Nodi attendibili). Facendo clic sul pulsante Altro è possibile regolare manualmente la protezione del browser. la maggior parte virus di script che si diffondono via e-mail (tali virus sono spesso chiamati "worm Internet"). Forse i rappresentanti più brillanti di questa famiglia sono i virus LoveLetter e Anna Kournikova, i cui attacchi si sono verificati nella stagione 2001-2002. Entrambi questi virus hanno utilizzato la stessa tecnica, basata non solo su una protezione debole sistema operativo, ma anche sull'ingenuità degli utenti.

Ricordiamo che i virus vengono spesso trasmessi tramite messaggi di posta elettronica contenenti file allegati. Ricordiamo inoltre che un virus può entrare in un computer sia attraverso i programmi (file eseguibili con estensione *.exe, *.com.) sia attraverso i documenti di Microsoft Office. Ricordiamo anche che sembra che nessun problema possa minacciarci dal lato delle immagini o dei file audio. E quindi, avendo trovato inaspettatamente nella casella di posta una lettera con un'immagine allegata (a giudicare dal nome del file e dall'estensione), la lanciamo subito con gioia... E scopriamo che sotto l'immagine si nascondeva uno "script" di virus dannoso . È positivo che lo rileviamo immediatamente e non dopo che il virus è riuscito a distruggere completamente tutti i tuoi dati.

Il trucco dei creatori del virus è semplice: il file, che ci sembrava un'immagine, aveva una doppia estensione! Ad esempio, AnnaKournikova.jpg.vbs

È la seconda estensione il vero tipo di file, mentre la prima è semplicemente parte del suo nome. E poiché l'estensione vbs di Windows è ben nota, senza esitazione la nasconde agli occhi degli utenti, lasciando sullo schermo solo il nome AnnaKournikova.jpg

E Windows fa lo stesso con tutti i tipi di file registrati: l'autorizzazione viene scartata e il tipo di file deve essere indicato da un'icona. A cui, ahimè, raramente prestiamo attenzione.

È una bella trappola, ma è più facile da individuare: il trucco della “doppia espansione” non funziona se attiviamo anticipatamente la modalità di visualizzazione del tipo di file. Puoi farlo utilizzando il menu Opzioni cartella nel Pannello di controllo di Windows: fai clic su questa icona, quindi apri la scheda Visualizza e deseleziona la casella Nascondi estensioni per tipi di file conosciuti.

Ricorda: solo alcuni tipi di file sono consentiti come "allegato" a un'e-mail. I file txt, jpg, gif, tif, bmp, mp3, wma sono relativamente sicuri.

Ecco un elenco di tipi di file decisamente pericolosi:

§ asx com inf msi
§ bas cpl ins pif
§ bat crt js reg
§ cmd exe msc vbs

È un dato di fatto, l’elenco dei potenziali “portatori di virus” comprende più di una dozzina di tipi di file. Ma questi sono più comuni di altri.

Virus e worm di script

Tipi di virus informatici

Non c'è una persona oggi che non abbia sentito parlare di virus informatici. Cos'è, cosa sono? tipi di virus informatici e malware, proviamo a capirlo in questo articolo. Pertanto, i virus informatici possono essere suddivisi nei seguenti tipi:

Per programmi pubblicitari e informativi si intendono programmi che, oltre alla loro funzione principale, visualizzano anche banner pubblicitari e tutti i tipi di finestre pubblicitarie pop-up. Talvolta tali messaggi pubblicitari possono essere piuttosto difficili da nascondere o disattivare. Tali programmi pubblicitari si basano sul comportamento degli utenti di computer e sono piuttosto problematici per motivi di sicurezza del sistema.

Backdoor

Le utilità di amministrazione nascoste ti consentono di aggirare i sistemi di sicurezza e di mettere sotto il tuo controllo il computer dell'utente installato. Un programma che viene eseguito in modalità invisibile offre all'hacker diritti illimitati per controllare il sistema. Con l'aiuto di tali programmi backdoor è possibile accedere ai dati personali e privati dell'utente. Spesso tali programmi vengono utilizzati per infettare il sistema con virus informatici e installare di nascosto malware all'insaputa dell'utente.

Virus di avvio

Spesso il settore di avvio principale del tuo HDD è affetto da virus di avvio speciali. Virus di questo tipo sostituiscono le informazioni necessarie per il corretto avvio del sistema. Una delle conseguenze di un programma così dannoso è l'impossibilità di avviare il sistema operativo...

Rete di bot

Una rete bot è una vera e propria rete in Internet, amministrata da un utente malintenzionato e composta da numerosi computer infetti che interagiscono tra loro. Il controllo su tale rete viene ottenuto utilizzando virus o trojan che penetrano nel sistema. Durante il funzionamento, il malware non si manifesta in alcun modo, attendendo i comandi dell'aggressore. Tali reti vengono utilizzate per inviare messaggi SPAM o organizzare attacchi DDoS sui server desiderati. È interessante notare che gli utenti di computer infetti potrebbero non avere assolutamente idea di cosa stia accadendo sulla rete.

Impresa

Un exploit (letteralmente una falla nella sicurezza) è uno script o un programma che sfrutta buchi e vulnerabilità specifici del sistema operativo o di qualsiasi programma. In modo simile penetrano nel sistema dei programmi attraverso i quali è possibile ottenere i diritti di accesso di amministratore.

Hoax (letteralmente scherzo, menzogna, bufala, scherzo, inganno)

Da diversi anni molti utenti di Internet ricevono messaggi elettronici riguardanti virus che presumibilmente vengono diffusi via e-mail. Tali avvisi vengono inviati in massa con la lacrimosa richiesta di essere inviati a tutti i contatti della tua lista personale.

Trappole

Honeypot (honey pot) è un servizio di rete che ha il compito di monitorare l'intera rete e registrare gli attacchi quando si verifica un'epidemia. L'utente medio è completamente all'oscuro dell'esistenza di un tale servizio. Se un hacker esplora e monitora la rete per individuare eventuali lacune, può sfruttare i servizi offerti da una tale trappola. Ciò verrà registrato nei file di registro e attiverà anche un allarme automatico.

Macrovirus

I virus macro sono programmi molto piccoli scritti in un linguaggio macro applicativo. Tali programmi sono distribuiti solo tra i documenti creati appositamente per questa applicazione.

Per attivare tali programmi dannosi è necessario avviare l'applicazione ed eseguire un file macro infetto. La differenza rispetto ai normali virus macro è che l'infezione si verifica nei documenti dell'applicazione e non nei file di avvio dell'applicazione.

Agricoltura

Il pharming è la manipolazione nascosta del file host del browser per indirizzare l'utente verso un sito Web falso. I truffatori gestiscono server di grandi dimensioni; tali server memorizzano un ampio database di pagine Internet false. Quando si manipola il file host utilizzando un Trojan o un virus, è del tutto possibile manipolare il sistema infetto. Di conseguenza, il sistema infetto caricherà solo siti falsi, anche se si immette correttamente l'indirizzo nel browser.

Phishing

Il phishing si traduce letteralmente come “pesca” delle informazioni personali di un utente mentre è su Internet. L'aggressore invia alla potenziale vittima un'e-mail in cui afferma che è necessario inviare informazioni personali per conferma. Spesso si tratta del nome e cognome dell'utente, delle password richieste, Codici PIN per accedere agli account utente online. Utilizzando tali dati rubati, un hacker potrebbe impersonare un'altra persona ed eseguire qualsiasi azione per suo conto.

Virus polimorfici

I virus polimorfici sono virus che utilizzano il camuffamento e la trasformazione nel loro lavoro. Nel processo, possono modificare da soli il codice del programma e quindi sono molto difficili da rilevare perché la firma cambia nel tempo.

Virus informatici

Un virus informatico è un programma comune che può attaccarsi in modo indipendente ad altri programmi in esecuzione, influenzandone così il funzionamento. I virus distribuiscono autonomamente copie di se stessi; questo li distingue notevolmente dai programmi Trojan. Inoltre, la differenza tra un virus e un worm è che per funzionare, un virus ha bisogno di un programma a cui allegare il proprio codice.

Rootkit

Un rootkit è un insieme specifico di software che viene installato di nascosto sul sistema di un utente, garantendo che il login personale del criminale informatico e i vari processi siano nascosti, effettuando al contempo copie dei dati.

Virus e worm di script

Questi tipi di virus informatici sono abbastanza semplici da scrivere e vengono distribuiti principalmente tramite posta elettronica. I virus di script utilizzano linguaggi di scripting per funzionare per aggiungersi agli script appena creati o diffondersi attraverso le funzioni di rete operative. Spesso l'infezione avviene tramite e-mail o tramite lo scambio di file tra utenti. Un worm è un programma che si riproduce, ma che nel processo infetta altri programmi. Quando i worm si riproducono, non possono diventare parte di altri programmi, cosa che li differenzia specie comuni virus informatici.

Spyware

Le spie possono inviare i dati personali dell'utente a sua insaputa a terzi. Lo spyware analizza il comportamento dell'utente su Internet e, sulla base dei dati raccolti, mostra all'utente annunci pubblicitari o pop-up (pop-up) che sicuramente interesseranno l'utente.

Prima di iniziare a scrivere questo articolo, ho incontrato uno dei fondatori dell'industria antivirus nazionale, Evgeny Kaspersky, che mi ha raccontato alcuni dati sullo stato del mercato antivirus russo e globale. Ho anche parlato con un rappresentante della famosa azienda antivirus DialogNauka, manager per lavorare con grandi clienti, Maxim Skida. Dalla conversazione ho appreso un fatto interessante: si scopre che l'industria degli antivirus sta per festeggiare il suo primo decennio.

Naturalmente, gli antivirus sono comparsi più di dieci anni fa. Tuttavia, inizialmente furono distribuiti come antidoto gratuito. Non c'era un sostegno adeguato al servizio, poiché i progetti erano senza scopo di lucro. Come settore, il servizio per la creazione e la fornitura di programmi antivirus ha preso forma intorno al 1992, non prima, il che significa che presto celebrerà il suo decimo anniversario. Dieci anni sono un periodo di tempo molto breve per la nascita e lo sviluppo di un intero settore con un fatturato di centinaia di milioni di dollari. Durante questo periodo sorse un mercato completamente nuovo, si formò un certo elenco di prodotti e apparvero così tanti nuovi termini che sarebbero sufficienti per un'intera enciclopedia. Va notato che a volte è difficile anche per un utente inesperto distinguere un termine scientifico da un nome commerciale. Naturalmente, per utilizzare i programmi antivirus, non è necessario conoscere tutti i dettagli della struttura e del comportamento dei virus, ma avere una comprensione generale di quali principali gruppi di virus si sono formati oggi, quali principi sono incorporati nei programmi antivirus algoritmi di malware e come sono suddivisi i mercati antivirus globale e russo saranno utili a una fascia piuttosto ampia di lettori a cui è rivolto questo articolo.

Dieci anni di sviluppo del mercato antivirus in Russia

Come già notato, il mercato degli antivirus è alla vigilia del suo decimo anniversario. Fu nel 1992 che fu creata JSC DialogNauka, che segnò l’inizio della promozione attiva del famoso programma Aidstest di Lozinsky sul mercato interno; Da quel momento l’Aidstest cominciò ad essere distribuito su base commerciale. Nello stesso periodo, Evgeny Kaspersky organizzò un piccolo dipartimento commerciale all'interno di KAMI, che inizialmente impiegava tre persone. Sempre nel 1992 il programma McAfee VirusScan conquistò rapidamente il mercato americano. In Russia, il mercato a quel tempo si stava sviluppando piuttosto lentamente, e almeno nel 1994 (Fig. 1) il quadro appariva più o meno come segue: la posizione dominante era occupata dalla società DialogNauka (circa l'80%), di proprietà di Kaspersky Anti-Virus meno del 5% del mercato, tutti gli altri - un altro 15% del mercato. Nel 1995, Evgeny Kaspersky trasferì il suo antivirus sulle piattaforme Intel a 32 bit Windows, Novell NetWare e OS/2, a seguito delle quali il prodotto iniziò a promuoversi attivamente sul mercato.

Un tipo di programmi a duplice scopo sono i bloccanti comportamentali, che analizzano il comportamento di altri programmi e li bloccano quando vengono rilevate azioni sospette.

I bloccanti comportamentali si differenziano da un classico antivirus con un core antivirus che “riconosce” e tratta i virus che sono stati analizzati in laboratorio e per i quali è stato prescritto un algoritmo di trattamento in quanto non possono trattare i virus perché non ne sanno nulla. Questa proprietà dei bloccanti è utile perché possono funzionare con qualsiasi virus, compresi quelli sconosciuti. Ciò è particolarmente vero oggi, poiché i distributori di virus e antivirus utilizzano gli stessi canali di trasmissione dati, ovvero Internet. Allo stesso tempo, il virus ha sempre un certo vantaggio (tempo di ritardo), poiché l'azienda antivirus ha sempre bisogno di tempo per procurarsi il virus stesso, analizzarlo e scrivere i moduli di trattamento appropriati. I programmi del gruppo a duplice uso consentono di bloccare la diffusione del virus finché l'azienda non scrive un modulo di trattamento.

Algoritmo "checksum".

L'algoritmo del checksum presuppone che le azioni del virus modifichino il checksum. Tuttavia, le modifiche sincrone a due segmenti diversi possono far sì che il checksum rimanga lo stesso quando il file cambia. Il compito principale della costruzione dell'algoritmo è garantire che le modifiche nel file portino a una modifica del checksum.

Metodi per la determinazione dei virus polimorfici

Nella fig. La Figura 6 mostra il funzionamento di un programma infetto da un virus (a) e di un programma infetto da un virus crittografato (b). Nel primo caso, lo schema operativo del virus è il seguente: il programma viene eseguito, ad un certo punto inizia ad essere eseguito il codice del virus, quindi il programma viene nuovamente eseguito. Nel caso di un programma crittografato, tutto è più complicato.

Il programma viene eseguito, quindi viene acceso il decoder, che decrittografa il virus, quindi il virus viene elaborato e il codice principale del programma viene nuovamente eseguito. Il codice del virus viene crittografato in modo diverso in ogni caso. Se, nel caso di un virus non crittografato, il confronto dei riferimenti consente di "riconoscere" il virus tramite una firma costante, in forma crittografata la firma non è visibile. Allo stesso tempo, è quasi impossibile cercare un decodificatore, poiché è molto piccolo ed è inutile rilevare un elemento così compatto, perché il numero di falsi positivi aumenta notevolmente.

In realtà, i virus macro non sono una “specie” indipendente, ma solo una delle varietà di una vasta famiglia di programmi dannosi: i virus di script. Il loro isolamento è dovuto solo al fatto che sono stati i virus macro a gettare le basi per l'intera famiglia, inoltre i virus “su misura” per i programmi Microsoft Office erano i più diffusi dell'intero clan. Va inoltre notato che i virus di script sono un sottogruppo di virus di file. Questi virus sono scritti in vari linguaggi di script (VBS, JS, BAT, PHP, ecc.).

Torniamo per un momento alle impostazioni di Internet Explorer, in particolare al menu Strumenti/Opzioni Internet/Sicurezza. Internet Explorer ci offre diversi livelli di sicurezza. Oltre al livello di protezione standard (zona Internet) possiamo rafforzare (zona Limite) o abbassare la guardia (zone Nodi affidabili). Premendo il pulsante Un altro, possiamo regolare manualmente la sicurezza del browser.

Tuttavia, la maggior parte dei virus di script si diffonde tramite posta elettronica (tali virus sono spesso chiamati "worm Internet"). Forse i rappresentanti più brillanti di questa famiglia sono i virus Lettera d'amore E Anna Kurnikova, i cui attacchi si sono verificati nella stagione 2001-2002. Entrambi questi virus utilizzavano la stessa tecnica, basata non solo sulla debole protezione del sistema operativo, ma anche sull'ingenuità degli utenti.

Il trucco dei creatori del virus è semplice: il file, che ci sembrava un'immagine, aveva una doppia estensione! Per esempio, Anna Kurnikova. jpg. vbs

E Windows fa lo stesso con tutti i tipi di file registrati: l'autorizzazione viene scartata e il tipo di file deve essere indicato da un'icona. A cui, ahimè, raramente prestiamo attenzione.

È una bella trappola, ma è più facile da individuare: il trucco della “doppia espansione” non funziona se attiviamo anticipatamente la modalità di visualizzazione del tipo di file. Puoi farlo utilizzando il menu Proprietà della cartella SU Pannelli di controllo Windows: fare clic su questa icona, quindi aprire il segnalibro Visualizzazione e deseleziona la riga Nascondi le estensioni per i tipi di file registrati.

Ricordare: solo alcuni tipi di file sono consentiti come "allegato" a un'e-mail. I file txt, jpg, gif, tif, bmp, mp3, wma sono relativamente sicuri.

Ecco l'elenco di sicuro pericoloso tipi di file:

È un dato di fatto, l’elenco dei potenziali “portatori di virus” comprende più di una dozzina di tipi di file. Ma questi sono più comuni di altri.

Questo è interessante: