Wi-Fi
Linux
ウィンドウズ
その他
ネットワーク
スマートテレビ
ソリューション

コンピュータからウイルスやスパイウェアを削除する方法。 ウイルスとそれらとの戦い

現在、ほとんどすべてのユーザーがウイルスとそのコンピュータシステムへの影響に精通しています。 最も蔓延しているすべての脅威の中で、ユーザーの行動を監視し、機密情報を盗むスパイウェアが別の場所を占めています。 さらに、そのようなアプリケーションとアプレットが何であるかが示され、コンピュータ上でスパイウェアを検出し、システムに害を与えることなくそのような脅威を取り除く方法に関する質問が検討されます。

スパイウェアとは何ですか?

そもそも、スパイウェア、または一般にスパイウェアと呼ばれる実行可能アプレットは、通常の意味ではそれ自体がウイルスではありません。 つまり、コンピュータが感染している場合は常にシステムに影響を与える可能性がありますが、システムの整合性やパフォーマンスの点では実質的に影響はありません。 ランダム・アクセス・メモリシステムリソースの一部を消費します。 ただし、原則として、これはOSの動作速度には特に影響しません。

しかし、彼らの主な目的は、ユーザーの作業を正確に追跡し、可能であれば、機密データを盗み、スパムを送信する目的で電子メールを置き換え、インターネット上の要求を分析し、マルウェアを含むサイトにリダイレクトし、ハードドライブ上の情報を分析することです。言うまでもなく、ユーザーは保護のために少なくとも基本的なアンチウイルスパッケージをインストールする必要があります。 確かに、ほとんどの場合、組み込みのファイアウォールは言うまでもなく、無料のアンチウイルスもありません Windowsがいっぱい彼らは安全に自信を与えません。 一部のアプリケーションは、単に認識されない場合があります。 ここで、完全に自然な疑問が生じます。「それでは、スパイウェアからコンピュータを保護するにはどうすればよいのでしょうか」。 主な側面と概念を考えてみましょう。

スパイウェアの種類

実用的なソリューションに進む前に、どのアプリケーションとアプレットがスパイウェアクラスに属しているかを明確に理解しておく必要があります。 今日、いくつかの主なタイプがあります。

  • キーロガー;
  • スキャナー ハードドライブ;
  • スクリーンスパイ;
  • メールスパイ;
  • プロキシスパイ。

そのようなプログラムはそれぞれシステムに異なる影響を与えるので、それらがどのように正確に浸透するかを見てみましょう スパイウェアコンピュータ上で、感染したシステムに対して何ができるか。

コンピュータシステムへのスパイウェアの侵入方法

今日、インターネットテクノロジーの驚異的な発展により、ワールドワイドウェブは、このタイプの脅威がローカルコンピュータシステムまたはネットワークに侵入するために使用される、主要なオープンで弱く保護されたチャネルです。

場合によっては、逆説的に聞こえても、ユーザー自身がスパイウェアをコンピューターにインストールします。 ほとんどの場合、彼はそれについてさえ知りません。 そして、すべてが平凡でシンプルです。 たとえば、次のようにインターネットからダウンロードしました 面白いプログラムそしてインストールを開始しました。 最初の段階では、すべてが通常どおりに見えます。 ただし、追加のソフトウェア製品またはアドオンをインターネットブラウザにインストールすることを提案するウィンドウが表示される場合があります。 通常、これはすべて小さな活字で書かれています。 ユーザーは、インストールプロセスを迅速に完了し、新しいアプリケーションの操作を開始しようと努力しますが、多くの場合、それに注意を払わず、すべての条件に同意します。その結果、情報を収集するための埋め込み「エージェント」を受け取ります。

スパイウェアがバックグラウンドでコンピューターにインストールされ、重要なシステムプロセスに偽装されることがあります。 ここには、未確認のソフトウェアのインストール、インターネットからのコンテンツのダウンロード、疑わしい電子メールの添付ファイルの開封、さらにはWeb上の安全でないリソースへのアクセスなど、さまざまなオプションがあります。 すでに明らかなように、特別な保護なしにそのようなインストールを追跡することは単に不可能です。

影響の結果

すでに述べたように、スパイによる被害については、システム全体に影響を与えることはありませんが、ユーザー情報や個人情報が危険にさらされています。

このタイプのすべてのアプリケーションの中で最も危険なのは、いわゆるキーロガーです。つまり、文字セットを正確に監視できるため、攻撃者は同じログインとパスワード、銀行の詳細、またはカードのPINコード、そしてそれだけです-ユーザーが幅広い人々の財産を作りたくないのです。 原則として、すべてのデータを決定した後、それらはリモートサーバーに送信されるか、もちろん電子メールで非表示モードで送信されます。 したがって、このような重要な情報を保存するには、特別な暗号化ユーティリティを使用することをお勧めします。 さらに、ファイルをハードディスクではなく(ハードドライブスキャナーで簡単に見つけることができます)保存することをお勧めします。 リムーバブルメディア、はい、少なくともフラッシュドライブ上で、常にデコーダーキーと一緒に。

とりわけ、多くの専門家はそれを使用するのが最も安全であると考えています オンスクリーンキーボード、彼らはこの方法の不便さを認識していますが。

ユーザーが何をしているかという観点から画面を追跡することは、機密データまたは登録の詳細が入力された場合にのみ危険です。 スパイ 一定時間スクリーンショットを撮り、攻撃者に送信します。 最初の場合のように、オンスクリーンキーボードを使用しても、結果は得られません。 また、2つのスパイが同時に機能する場合、通常はどこにも隠れることはありません。

電子メールの追跡は連絡先リストで行われます。 主な目標は、スパムを送信する目的で送信するときに、レターの内容を置き換えることです。

プロキシスパイは、ローカルコンピュータ端末を一種のプロキシサーバーに変えるという意味でのみ害を及ぼします。 なぜこれが必要なのですか? はい、たとえば、違法行為を行ったときにユーザーのIPアドレスを隠すためだけです。 当然、ユーザーはこれに気づいていません。 たとえば、誰かが銀行のセキュリティシステムをハッキングして、一定の金額を盗んだとします。 許可されたサービスによるアクションの追跡により、ハッキングがそのようなアドレスにあるそのようなIPを持つ端末から行われたことが明らかになります。 シークレットサービスは無防備な人にやって来て、彼を刑務所に送ります。 良いところはありませんか?

感染の最初の症状

それでは、練習に取り掛かりましょう。 何らかの理由でセキュリティシステムの整合性に疑問が生じた場合、コンピュータにスパイウェアがないかどうかを確認するにはどうすればよいですか? これを行うには、そのようなアプリケーションの影響が初期段階でどのように現れるかを知る必要があります。

明らかな理由がない場合、パフォーマンスの低下が見られない場合、またはシステムが定期的に「フリーズ」するか、まったく動作しない場合は、最初にプロセッサとRAMの負荷の使用状況を確認し、すべてのアクティブなプロセスを監視する必要があります。

ほとんどの場合、同じ「タスクマネージャー」のユーザーには、以前はプロセスツリーになかった見慣れないサービスが表示されます。 これは最初のベルにすぎません。 スパイウェアの作成者は愚かではないので、システムプロセスになりすましてプログラムを作成し、特別な知識がなくてもそれらを識別します。 手動モードただ不可能です。 その後、インターネットへの接続に関する問題が始まり、スタートページが変更されます。

コンピュータのスパイウェアをチェックする方法

スキャンに関しては、特に脅威をすでに見逃している場合は、標準のアンチウイルスはここでは役に立ちません。 少なくとも、KasperskyVirusのようなポータブルバージョンが必要です 除去ツール(またはより良い-起動前にシステムチェックを行うレスキューディスクのようなもの)。

コンピューターでスパイウェアを見つけるにはどうすればよいですか? ほとんどの場合、スパイウェア対策クラスのターゲットを絞った特別なプログラム(SpywareBlaster、AVZ、XoftSpySEスパイウェア対策、Microsoftスパイウェア対策など)を使用することをお勧めします。 それらのスキャンプロセスは完全に自動化されており、その後の削除も同様です。 しかし、ここでも注目に値することがあります。

コンピュータからスパイウェアを削除する方法:標準的な方法と使用されているサードパーティソフトウェア

プログラムが偽装されていない場合に限り、手動でコンピュータからスパイウェアを削除することもできます。

これを行うには、プログラムとコンポーネントのセクションに移動し、リストで探しているアプリケーションを見つけて、アンインストールプロセスを開始します。 確かに、Windowsアンインストーラーは、控えめに言っても、プロセスの完了後に大量のコンピューターのゴミを残すため、あまり良くありません。したがって、iObit Uninstallerのような特殊なユーティリティを使用することをお勧めします。これは、標準的な方法では、詳細なスキャンを実行して、残りのファイルやキーやエントリを見つけることができます。 システムレジストリ.

センセーショナルなSpyhunterユーティリティについて少し説明します。 多くの人がそれをすべての病気の万能薬と呼んでいます。 これに反対しましょう。 彼女はまだシステムをスキャンしていますが、誤警報を出すことがあります。これは問題ではありません。 事実、それをアンインストールすることは非常に問題があることが判明しました。 普通のユーザーにとって、実行する必要のあるすべてのアクションから、彼の頭は回転しています。

何を使うの? このような脅威から保護し、たとえばESETNOD32パッケージを使用して、コンピューター上でスパイウェアを検索することができます。 スマートセキュリティ有効化された機能「盗難防止」付き。 しかし、誰もが彼にとって最良で簡単なものを選択します。

Windows10で合法化されたスパイ

しかし、それだけではありません。 上記のすべては、スパイウェアがシステムに侵入する方法、システムがどのように動作するかなどにのみ言及しています。しかし、スパイウェアが合法化された場合はどうすればよいでしょうか。

この点で、Windows 10は、それ自体が良くないことを際立たせています。 ここには、無効にする必要のあるサービスがたくさんあります(とのデータ交換 リモートサーバー Microsoft、IDを使用した広告の受信、会社へのデータの送信、テレメトリを使用した検索、複数の場所からの更新の受信など)。

100%の保護はありますか?

スパイウェアがコンピュータにどのように侵入し、その後何をするかをよく見ると、100%の保護について1つだけ言えることがあります。それは存在しないということです。 安全のためにあらゆる手段を使用したとしても、80%を確実にすることができます。 ただし、ユーザー自身の側では、疑わしいサイトへのアクセス、安全でないソフトウェアのインストール、ウイルス対策警告の無視、不明なソースからの電子メールの添付ファイルの開封などのような挑発的な行動があってはなりません。

ウイルス分類

現在、ウイルスの分類と命名の統一されたシステムはありません(ただし、標準を作成する試みは1991年のCARO会議で行われました)。 ウイルスを分離するのが通例です:

感染したオブジェクト(ファイルウイルス、ブートウイルス、スクリプトウイルス、マクロウイルス、ソースコードに感染するウイルス):

・影響を受けるオペレーティングシステムおよびプラットフォーム(DOS、Windows、Unix、Linux、Android)。

・ウイルスが使用するテクノロジー(ポリモーフィックウイルス、ステルスウイルス、ルートキット)。

・ウイルスが作成された言語(アセンブラー、高級プログラミング言語、スクリプト言語など)。

・追加の悪意のある機能(バックドア、キーロガー、スパイ、ボットネットなど)。

スパイウイルスについて詳しく検討します。

ウイルス-スパイ

スパイウェア(スパイウェア、スパイウェア)-コンピューターの構成、ユーザー、ユーザーの活動に関する情報を後者の同意なしに収集するために、コンピューターに密かにインストールされるプログラム。 また、設定の変更、ユーザーの知らないうちにプログラムをインストールする、ユーザーアクションをリダイレクトするなど、他のアクションを実行することもできます。

スパイウェアは、次のようなさまざまなタスクを実行できます。

・インターネットの使用習慣と最も頻繁にアクセスされるサイトに関する情報を収集します(追跡プログラム)。

・キーボードのキーストローク(キーロガー)を覚えて、スクリーンショットを記録し(スクリーンスクレイパー)、スパイウェアの作成者に情報を送信します。

・コンピューターの不正なリモートコントロール(リモートコントロールソフトウェア)-バックドア、ボットネット、ドローンウェア。

ユーザーのコンピューターにインストールする 追加プログラム;

・セキュリティシステム(セキュリティ分析ソフトウェア)の状態の不正な分析に使用されます-ポートおよび脆弱性スキャナーとパスワードクラッカー。

パラメータを変更する オペレーティング・システム(システム変更ソフトウェア)-ルートキット、コントロールインターセプター(ハイジャック犯)など-その結果、インターネット接続の速度が低下したり、接続が失われたり、他のホームページを開いたり、特定のプログラムが削除されたりします。

・ブラウザアクティビティをリダイレクトします。これは、ウイルス感染のリスクがあるWebサイトへのブラインドアクセスを伴います。

1.3.1スパイウェアの種類

活動の種類によって、スパイウェアウイルスは次の3つのグループに分類できます。

最初のグループ

このウイルスは、ユーザーの行動を常に監視しています。 インターネット経由で購入する場合、スパイは次の情報を受け取ります。 クレジットカードそしてそれらを利害関係者に転送します。 不正な償却が発生するまで、これに気付かない場合があります。 お金あなたのアカウントから。

2番目のグループ

3番目のグループ

このウイルスは、電子メールの受信トレイに関する情報を受け取ります。 これは多くの問題を脅かしますが、その中で最も小さいのは、あなたを襲うスパム、ジャンク、広告メールの雪崩です。

ウイルスの拡散には一定のメカニズムもあります。

1.3.2配布メカニズム

ウイルスそれらは、自分の本体をコピーし、その後の実行を保証することによって広がります。他のプログラムの実行可能コードに自分自身を導入したり、他のプログラムを自分自身に置き換えたり、自動実行を処方したりします。 ウイルスまたはそのキャリアは、マシンコードを含むプログラムだけでなく、バ​​ッチファイルやドキュメントなどの自動的に実行可能なコマンドを含む情報でもあります。 マイクロソフトワードおよびマクロを含むExcel。 さらに、ウイルスはコンピュータに侵入するために、一般的なソフトウェアの脆弱性を利用する可能性があります(たとえば、 アドビフラッシュ、Internet Explorer、Outlook)。ディストリビューターは、脆弱性を悪用するエクスプロイトとともに、通常のデータ(写真、テキストなど)にそれを挿入します。

・フロッピーディスク。 1980年代と1990年代の最も一般的な感染経路。 より一般的で効率的なチャネルの出現と、多くの最新のコンピュータにフロッピードライブがないため、現在は実質的に存在していません。

・フラッシュドライブ(フラッシュドライブ)。 現在、USBスティックはフロッピーディスクに取って代わり、運命を繰り返しています- たくさんのウイルスは、デジタルカメラ、デジタルカムコーダー、ポータブルデジタルプレーヤーなどのリムーバブルストレージデバイスを介して拡散し、2000年代以降、携帯電話、特にスマートフォンの役割が増大しています(モバイルウイルスが出現しています)。 このチャネルの使用は、以前は主にドライブ上で作成する可能性があったためでした 特別ファイル autorun.inf。実行するプログラムを指定できます。 ウィンドウズ・エクスプローラそのようなドライブを開くとき。 Windows 7では、ポータブルメディアからファイルを自動実行する機能が無効になっています。

・ Eメール。 通常、電子メール内のウイルスは、写真、ドキュメント、音楽、Webサイトへのリンクなどの無害な添付ファイルに偽装されます。 一部の文字には実際にはリンクのみが含まれている場合があります。つまり、文字自体に悪意のあるコードが含まれていない場合がありますが、そのようなリンクを開くと、ウイルスコードを含む特別に作成されたWebサイトにアクセスできます。 多くのメールウイルスは、ユーザーのコンピュータを攻撃し、インストールされているアドレス帳を使用します メールクライアント Outlookのように自分自身をさらに送信します。

・インスタントメッセージングシステム。 ICQやその他のインスタントメッセージングプログラムを介して、実際にはウイルスであると思われる写真、音楽、またはプログラムへのリンクを送信することも一般的です。

・ ウェブページ。 ワールドワイドウェブのページにさまざまな「アクティブな」コンテンツ(スクリプト、ActiveXコンポーネント)が存在するため、インターネットページを介した感染も発生する可能性があります。 この場合、ユーザーのコンピューターにインストールされているソフトウェアの脆弱性またはサイト所有者のソフトウェアの脆弱性が使用され(訪問者の多い立派なサイトは感染にさらされるため、より危険です)、疑いを持たないユーザーは、そのようなサイトに入って、彼らのコンピュータに感染する危険を冒して...

・インターネットおよびローカルエリアネットワーク(ワーム)。 ワームは、ユーザーの介入なしに被害者のコンピューターに侵入するウイルスの一種です。 ワームは、オペレーティングシステムソフトウェアのいわゆる「穴」(脆弱性)を使用してコンピュータに侵入します。 脆弱性とは、マシンコードをリモートでダウンロードして実行できるソフトウェアのエラーと欠陥であり、その結果、ワームウイルスがオペレーティングシステムに侵入し、原則として、他のコンピュータに感染するアクションを開始します。 ローカルエリアネットワークまたはインターネット。 攻撃者は、感染したユーザーのコンピューターを使用してスパムまたはDDoS攻撃を送信します。

ウイルス、スパイ、トロイの木馬、ダイヤラー:誰が、なぜ、どのように

今日、小学生に何が聞かれたら lavsan、 彼は「エチレングリコールと芳香族二酸の重縮合によって作られた合成繊維」についてはあなたに話しません。 いいえ、彼の答えは次のようになります。「Lovesan、別名msblast-DCOM RPC Microsoft Windowsサービスの脆弱性を使用して、MicrosoftWindowsファミリのオペレーティングシステムに侵入します。」 しばらくすると、その言葉との関連はどうなるかを推測するのが怖いです 運命。 明らかに、同じ名前のゲームだけではありません。

タイトルと紹介から理解できるように、会話はウイルスとそれらのような他のものに焦点を合わせます。 章のタイトルで提起された質問への回答に移る前に、私は今日の「ゲスト」に直接触れたいと思います。 ここで、これらすべてがどのように私たちのコンピューターに入るのかという質問に対する答えが与えられます。

いくつかの破壊的な結果をもたらすプログラムの本質。 そして、それらが何であるかは関係ありません。ファイルのアクセス許可の平凡な置き換えや内部コンテンツの損傷から、インターネットの中断やオペレーティングシステムのクラッシュまで、すべてがここにある可能性があります。 また、ウイルスとは、破壊的な機能を実行するだけでなく、増殖することもできるプログラムを意味します。 これについて1つのスマートブックで述べられていることは次のとおりです。「コンピュータウイルスの必須の(必要な)プロパティは、独自の複製を作成し(必ずしもオリジナルと同じである必要はありません)、それらをに埋め込む機能です。 コンピューターネットワークおよび/またはファイル、コンピュータシステム領域およびその他の実行可能オブジェクト。 同時に、複製はさらに広がる能力を保持します」(Evgeny Kaspersky、「コンピューターウイルス」)。実際、生き残るためにはウイルスが増殖する必要があり、これは生物学などの科学によって証明されています。 ちなみに、コンピューターの名前の由来は、これらの非常に生物学的なウイルスに由来しています。 そして、彼ら自身が彼らの名前を完全に正当化しました。すべてのウイルスは単純ですが、それにもかかわらず、コストが莫大な金額で計算されるウイルス対策会社の努力にもかかわらず、彼らは生きて繁栄しています。 例として遠くまで行く必要はありません。少なくともI-Worm.Mydoom.bのようなウイルスを取り上げてください。 知らない人からの添付ファイルや電子メールメッセージを開くことはできないと何度も言われています。特にこれに同意しない場合は、有名人からのメッセージに注意する必要があります。 また、手紙のテキストに「ガールフレンドのかっこいい写真を​​チェックしてください」のようなものが含まれている場合は、すぐに削除する必要があります。 しかし、上記の例でテキストがまだ意味をなす場合、mydoom'oMに感染した電子メールの内容はかなり奇妙です。 自分で判断してください。「メッセージは7ビットASCIIエンコーディングで表すことができず、バイナリ添付ファイルsendmailデーモンとして送信されました。報告:SMTPセッション中にエラー#804が発生しました。 部分的なメッセージを受信しました。 メッセージにはUnicode文字が含まれており、バイナリ添付ファイルとして送信されています。 メッセージにはMIMEエンコードされたグラフィックが含まれており、バイナリ添付ファイルとして送信されています。 メールトランザクションが失敗しました。 部分的なメッセージが利用可能です」。

レターには、添付ファイルの名前に9つのオプションがあり、拡張子に5つのオプションがあるファイルが含まれています。 2つのバリエーションが私の箱に入ってきました。 1つ目はおそらくdocファイルを含むzipファイルで、2つ目はアイコンがメモ帳アイコンに置き換えられた単純なexeファイルです。 2番目のケースでは、許可を確認することですべてのユーザーがキャッチに気付くことができる場合、最初のケースでは、これを行うことはすでにより困難です。 私が感染の数が最も多いと考える傾向があるのは最初のケースです。 印刷媒体やインターネットリソースですでに何度も言われているので、このウイルスが何をするのかはお話ししません。 Mudoomを例にとると、ウイルスを拡散する最初の方法である電子メールに精通しました。

例としてWorm.Win32.Lovesan(msblastとも呼ばれます)を使用する次のメソッドを見てみましょう。 このウイルスの何がそれほど注目に値するのか、そしてなぜ感染が広まったのか? この個人は、原則として、システム全体のパフォーマンスにまったく影響を与えないという点で注目に値します。 それに感染したコンピュータは、インターネット上で正常に機能することができません。 しばらくすると、RPCエラーメッセージが表示されたサインがポップアップし、その後コンピュータが再起動します。

もう1つの方法は、ファイルをダウンロードするときにインターネット経由で行うことです(望ましいまたは望ましくない)。 繰り返しになりますが、例を挙げて説明します。 望ましい例。 インターネットから新しいジョーク、プログラム、またはゲームをダウンロードすると、ウイルスに感染します。 ダウンロード後、プログラム/ゲーム/ジョークが始まり、-出来上がり-あなたはウイルスの所有者です。 私はここで何を言うことができますか? 警戒し、ウイルス対策データベースを定期的に更新し、すべてのプログラムをウイルス対策でチェックし、少なくともコンピューターのセキュリティの基本を忘れないでください。 「たとえば、ウイルスに感染できなかったプログラムをチェックする必要があるのはなぜですか」と言う人がいるかもしれません。 「これらはどのようなプログラムですか?」と質問したいのですが。 特に、wareznikやハッカーグループのサイトからダウンロードしたプログラムは、感染する可能性があります。

それでは次に進みましょう 不要なダウンロード。 私はそのような負荷の2つのタイプを選び出します。 1つ目は、ユーザーが自分のコンピューターに何かがダウンロードされているとさえ疑わない場合です。 このダウンロードは、スクリプトを実行することによって実行されます。 2番目のタイプの不要なダウンロードは、間違ったダウンロードがダウンロードされている場合です。 例を挙げましょう。 かつて、ファイルをダウンロードする直前に、クラックのある1つのサイトが、「無料のXXXバー」または「100%インターネットクラック」のいずれかをインストールすることを提案しました。 ユーザーがこれに同意した場合(「仮想ジョイ」の「100%インターネットクラック」に関する今月の質問を今でも覚えているので、そうだったと確信しています)、トロイの木馬またはウイルスがダウンロードされました。 原則として違いは小さいです。 ただし、これはまだ最も興味深いことではありません。そのような魅力的な提案が拒否された場合、次のような碑文が表示されたサインがポップアップしました。「サイトエラー」と[OK]または[続行]ボタンをクリックすると、トロイの木馬がダウンロードされました。ただし、ユーザーの知らないうちに。 そして、私はこれからしか救うことができませんでした ファイアウォール (ファイアウォール)。

トロイの木馬- これは、コンピュータへの不正アクセスを提供して、コンピュータの所有者に警告することなく宛先でアクションを実行したり、収集した情報を特定のアドレスに送信したりするプログラムです。 同時に、彼女は原則として、平和で非常に役立つもののふりをします。

一部のトロイの木馬は、作成者またはこのプログラムを構成した人にメールでパスワードを送信するように制限しています( 電子メールトロイの木馬)。 ただし、インターネットユーザーにとって、最も危険なのは、取得できるプログラムです。 リモートアクセス横から車に( バックドア )。 非常に多くの場合、トロイの木馬は、便利なプログラムや人気のあるユーティリティと一緒にコンピュータに侵入し、それらを装っています。

これらのプログラムの特徴は、それらを有害であると分類することを余儀なくされており、それらのインストールと起動に関する警告がないことです。 トロイの木馬は、起動されると、システムにインストールされて監視されますが、ユーザーは自分のアクションに関するメッセージを受信しません。 さらに、トロイの木馬へのリンクがアクティブなアプリケーションのリストから欠落しているか、それらとマージされている可能性があります。 その結果、コンピュータがリモートコントロール用に開いている間、コンピュータユーザーはシステム内での自分の存在に気付かない可能性があります。

多くの場合、「トロイの木馬」という用語はウイルスを指します。 実際、これは事実とはほど遠いです。 ウイルスとは異なり、トロイの木馬は機密情報を取得し、特定のコンピュータリソースにアクセスすることを目的としています。

トロイの木馬がシステムに侵入する方法はいくつかあります。 ほとんどの場合、これは、トロイの木馬のサーバーが組み込まれている便利なプログラムを起動するときに発生します。 最初の起動時に、サーバーは自身をあるディレクトリにコピーし、システムレジストリに起動用に登録します。キャリアプログラムが二度と起動しない場合でも、システムはすでにトロイの木馬に感染しています。 感染したプログラムを実行することにより、自分でマシンに感染することができます。 これは通常、プログラムが公式サーバーからではなく個人ページからダウンロードされた場合に発生します。 トロイの木馬も注入できます 見知らぬ人マシンにアクセスできる場合は、フロッピーディスクから実行するだけです。

現在、次の種類のトロイの木馬が最も蔓延しています。

1. 隠された(リモート)管理ユーティリティ(BackDoor-英語から。「バックドア」)このクラスのトロイの木馬は、本質的に、ネットワーク内のコンピューターをリモート管理するための非常に強力なユーティリティです。 機能面では、有名メーカーが開発したさまざまな管理システムにほぼ似ています。 ソフトウェア製品..。 隠し管理の最新のユーティリティ(BackDoor)は非常に使いやすいです。 これらは通常、主に2つの主要部分で構成されます。サーバー(エグゼキュータ)とクライアント(サーバーの管理機関)です。 サーバー- これは、特定の方法でマシンに挿入され、Windowsの起動と同時にメモリにロードされ、リモートクライアントから受信したコマンドを実行する実行可能ファイルです。 サーバーは被害者に送信され、その後、すべての作業はハッカーのコンピューター上のクライアントを介して実行されます。つまり、コマンドはクライアントを介して送信され、サーバーはそれらを実行します。 外見上、彼の存在はまったく検出されません。 トロイの木馬のサーバー側を起動した後、インターネットとの通信を担当する特定のポートがユーザーのコンピューターに予約されます。

これらのアクションの後、攻撃者はプログラムのクライアント部分を起動し、開いているオンラインポートを介してこのコンピューターに接続し、マシン上でほぼすべてのアクションを実行できます(これは使用するプログラムの機能によってのみ制限されます)。 サーバーに接続した後、リモートコンピュータを自分のコンピュータとほぼ同じように制御できます。再起動、電源オフ、CD-ROMのオープン、ファイルの削除、書き込み、変更、メッセージの表示などです。

一部のトロイの木馬では、変更できます 開いているポート作業の過程で、このトロイの木馬の「所有者」のアクセスパスワードを設定することさえあります。 「不正な」マシンをプロキシサーバー(HTTPまたはSocksプロトコル)として使用して、ハッカーの実際のIPアドレスを隠すことを可能にするトロイの木馬もあります。

2. 送料(電子メールトロイの木馬)。

コンピューター上のファイルからパスワードやその他の情報を「抽出」して、所有者に電子メールで送信できるようにするトロイの木馬。 これらは、プロバイダーのログインとインターネットパスワード、からのパスワードにすることができます メールボックス、ICQパスワード、IRCなど。メールで所有者に手紙を送るために、トロイの木馬はSMTPプロトコル(たとえば、smtp.mail.ru)を使用してサイトのメールサーバーに接続します。 必要なデータを収集した後、トロイの木馬はデータが送信されたかどうかを確認します。 そうでない場合、データは送信され、レジスタに格納されます。 それらがすでに送信されている場合は、前の文字がレジスタから抽出され、現在の文字と比較されます。 情報に変更があった場合(新しいデータが表示された場合)、レターが送信され、パスワードに関する新しいデータがレジスターに記録されます。 つまり、このタイプのトロイの木馬は単に情報を収集しているだけであり、被害者は自分のパスワードがすでに誰かに知られていることすら知らない可能性があります。

3. キーボード(キーロガー)。

これらのトロイの木馬は、キーボードで入力されたすべてのもの(パスワードを含む)をファイルに書き込み、ファイルはその後特定の電子メールに送信されるか、FTP(ファイル転送プロトコル)を介して表示されます。 Keylogger'biは通常、スペースをほとんどとらず、他の便利なプログラムに変装する可能性があるため、検出が困難です。 このようなトロイの木馬を検出するのが難しいもう1つの理由は、そのファイルがシステムファイルとして名前が付けられていることです。 このタイプの一部のトロイの木馬は、特別なパスワードフィールドで見つかったパスワードを抽出して復号化できます。

そのようなプログラムは必要です 手動設定と変装します。 Keylogger'biは、フーリガンの目的だけでなく使用できます。 たとえば、出発時に職場や自宅に置くと非常に便利です。

4. ジョークプログラム(ジョークプログラム)。

これらのプログラムは本質的に無害です。 これらはコンピュータに直接的な害を及ぼすことはありませんが、そのような害がすでに発生している、どのような条件下でも発生する可能性がある、または存在しない危険についてユーザーに警告するというメッセージを表示します。 ジョークプログラムは、メッセージのフォーマットでユーザーを威嚇します ハードディスク、感染していないファイル内のウイルスを検出したり、奇妙なウイルスのようなメッセージを表示したりします。これは、そのようなプログラムの作成者のユーモアのセンスに依存します。 もちろん、他の経験の浅いユーザーがこのコンピューターで作業していない場合でも心配する必要はありません。このようなメッセージに非常に恐れることがあります。

5.トロイの木馬には、コードが特定の方法で微調整または暗号化されて変更された感染ファイルも含まれます。 たとえば、ファイルは特別なプログラムで暗号化されているか、未知のアーカイバによってパックされています。 その結果、最新バージョンのアンチウイルスでさえ、コードのキャリアがアンチウイルスデータベースにないため、ファイル内のトロイの木馬の存在を検出できません。

それらの浸透の方法は、上記のものと異ならない。 そのため、早急に検討を進めます。 ここでは、一般に「ダイヤラー」と呼ばれる非常に平和なダイヤラーがあることを予約する必要があります。 これらのプログラムは、ダイヤルアップユーザーがプロバイダーにアクセスし、可能であれば、古い回線や「最新の」回線であっても、プロバイダーとの安定した接続を維持するために使用されます。 私たちの会話が進むそれらは、別の名前を持っています-バトルダイヤラー。 これらのプログラムは、オペレーティングシステムのギャップを使用し、場合によってはユーザーの過失またはナイーブ(上記の「100%インターネットクラック」について参照)が原因で、プロバイダーの電話をエキゾチックな国の通信事業者の電話に置き換えます。 さらに、ほとんどの場合、プロバイダーの古き良き電話はダイヤルウィンドウに残ります。 ダイヤラは、特定の時間に呼び出すタスクをスケジューラに規定します。 そして、ユーザーがモデムをオフにする習慣がある場合、またはユーザーが外部モデムを持っていて、お母さんが泣かないように叫ぶ場合は良いことです。 そして、モデムが静かで内蔵されている場合はどうなりますか? ここで私はそれについてです。 そして、かわいそうな仲間は、ba-a-alynyのような電話代が到着したときにのみ、彼の悲しみについて知ります。

誰がWeb上でこのすべてのマックを作成して起動するかについて話す時が来ました。 ここでは、この見苦しいビジネスに従事している人々のグループを分類しようとします。 いわゆる「白い」ハッカーについては言われません。 その理由を説明させてください。 この多様性は社会に危険をもたらすことはなく、むしろ社会に利益をもたらします。 彼らは、特に有害な個人を無力化するためにウイルス対策ウイルスを作成することが最も多いものです。 なぜウイルスなのか? これらのプログラムは、ウイルスと同じメカニズムで拡散します。 なぜ反? 彼らはコンピュータから特定の種類のウイルスをブロックまたは削除するためです。 ウイルスとの主な違いは、タスクを完了した後の自己破壊と、破壊的な機能がないことです。 例としては、Lovesanの再発後しばらくしてWebに出現した同様のウイルスがあります。 ウイルス対策ウイルスをダウンロードした後、Lovesanは削除され、ユーザーはWindowsの更新プログラムをダウンロードするように求められました。 ホワイトハッカーはまた、ソフトウェアの欠陥を見つけ、 コンピュータシステムああ、その後、彼らは見つかったバグを会社に報告します。 それでは、分類に直接進みましょう。

1つ入力します:「スクリプトの子」。 彼らは自分たちをHaCkeR-rrとだけ呼び、雑誌「ハッカー」を読み、単一のプログラミング言語を知らず、Webから既製のプログラムをダウンロードすることによってすべての「彼らの」トロイの木馬とウイルスを作成します。 (慣らし運転を避けるために、ハッカー誌は原則として悪くはなく、その中の資料はかなり単純な形で提示されていることを予約します-場所によっては真実です。しかし、すでに何らかの知識ベースを持っている人は、賢明に与えてください-最後まですべてを言わないでください-どこにも引き付けられないように、考えなければなりません)彼らの急勾配など。そうではないので、彼らのアドレスの強烈な声明。 あなたは何か間違ったことをしたので、黙ったほうがいいです。 これらの個人は、多かれ少なかれ大規模なビジネスに十分な経験や(場合によっては)頭脳を持っていないため、特定の危険を表すものではありません。

タイプ2:「初心者」。 このビュー最初の直系の子孫です。 最初のタイプの代表者の中には、一定期間後、彼らが思ったほどクールではないことを理解し始めます。それは、プログラミング言語もあり、あなたが何かをすることができ、その後、 「私はなんて立派な奴だ」と全世界に怒鳴らないでください。 それらのいくつかは、将来、プロクラスの代表になる可能性があります。 これらの人々は言語を学び始め、何かを書き込もうとし、創造的な思考が彼らの中で目覚め始めます。 そして同時に、彼らは社会に特定の危険をもたらし始めます。なぜなら、ウイルス作家のクラスのそのような代表者が経験不足からどのような恐ろしい仕事を構成できるかを誰が知っているからです。 結局のところ、専門家がコードを書くとき、それにもかかわらず、彼は、彼らが彼と対戦することができるので、いくつかのことをする必要がないことに気づきます。 初心者はそのような知識を持っていないので、彼は危険です。

タイプ3:「プロ」。 それらは2番目のタイプから発展します。 「Profi」は、プログラミング言語、ネットワークセキュリティに関する深い知識が特徴であり、オペレーティングシステムの詳細に精通しており、最も重要なこととして、ネットワークとコンピュータシステムの動作メカニズムに関する非常に真剣な知識と理解を持っています。 さらに、「プロ」は会社の​​掲示板からセキュリティホールについて学ぶだけでなく、自分自身を見つけることもできます。 彼らはしばしば彼らの「仕事」の質を改善するためにハッカーグループを形成します。 これらの人々は、ほとんど秘密主義で名声に貪欲ではなく、成功した作戦を実行するとき、それについて全世界に知らせるために走ることはありませんが、友人と平和的に成功を祝うことを好みます。 もちろん、彼らは大きな危険をもたらしますが、彼らはすべて知識のある人々であるため、インターネットなどのシステムの世界的な崩壊を引き起こす可能性のある行動をとることはありません。 例外はありますが(誰もがSlammer'aを忘れているわけではありません)。

タイプ4:「産業ハッカー」。 社会にとって最も危険なのは、ハッカー一家の代表です。 彼らは当然のことながら本物の犯罪者と呼ぶことができます。 銀行、大企業、政府機関のダイヤラーやハッキングネットワークのほとんどを作成するのは彼らの良心です。 なぜ、そして彼らがこれをしているのかについて、以下で話します。 「実業家」は何も考えず、誰とでも、これらの個人は彼らの目標を達成するために何でもすることができます。

それでは、書かれていることを要約しましょう。

「スクリプトの子供たち」:若く、環境に優しく、経験の浅い。 私はあなたが最もクールであることを示したいと思います、そしてクールサムだけがあなたよりクールです。

「初心者」:独立したものを書くことへの渇望がありました。 幸いなことに、インターネットプロトコルとプログラミング言語の複雑さをマスターしようとした後、このビジネスをあきらめて、より平和なことをする人もいます。

「プロ」:突然「彼の罪悪感、測定、程度、深さを実現した」状態が発生した場合、このタイプの代表者はコンピュータセキュリティの高度な専門家になります。 もっとプロにこの状態に移行してもらいたいです。

「実業家」:神聖なものは何もない。 人気のある知恵はそのような人々をよく語っています:「墓は後弯を直すでしょう」。

これは、コンピュータ侵入者のクラスの代表者のタイプへの大まかな分類です。 それでは、質問に移りましょう。なぜ彼らはこれをしているのですか。

しかし、実際には、なぜウイルス、トロイの木馬、ダイヤラー、その他の悪霊が書かれているのでしょうか。 その理由の1つは、自己肯定への欲求です。 これは、第1および第2のタイプの代表者に一般的です。 自尊心のレベルを上げるために、彼が「本物の、タフな子供」であることを友達に示す必要があります。 2番目の理由は経験を積むことです。 初心者に典型的です。 あなたの最初の傑作を書いた後、当然、あなたは誰かにそれを体験したいと思うでしょう-実際、あなた自身ではありません。 そのため、常に非常に危険であるとは限らない、特定の数の新しいウイルスがWebに出現します。

次の理由は競争の精神です。 ハッカーの競争について聞いたことがありますか? 私が知っている最後のものは夏に起こった。 ブラジルのハッカーグループが勝ちました(サッカーだけが彼らにとって強いわけではないことがわかりました)。 タスクは次のとおりでした:誰がほとんどのサイトを壊すでしょう。 しかし、私は最も洗練されたウイルスと最高のものをめぐって競争があると確信しています キーロガー.

アドレナリンは別の理由です。 想像してみてください。夜、モニターライト、キーボードの周りを指が走っています。昨日、セキュリティシステムの違反が見つかりました。今日は、システムにアクセスして、上司である管理者を表示する必要があります。 この理由の後に次の理由、ロマンスが続きます。 そして、誰が夕日を見るのが好きで、誰が星を見るのが好きで、誰がウイルスを書くのが好きなのか。 何人、たくさんの味。

その理由は次のとおりです-政治的または社会的抗議。 このため、ほとんどの政府のWebサイト、政党のWebサイト、印刷物やインターネットの出版物、および大企業がハッキングされています。 例のために遠くまで行く必要はありません。 イラク戦争が始まった直後、ブッシュの政策に不満を持っている人々によるアメリカ政府のウェブサイトや、アラブの新聞アルジャジーラのウェブサイトや反対側からの他の多くのアラブのリソースへの攻撃が行われた。

そして、おそらく、最後の理由はユビキタスなお金です。 彼らにとって、基本的に、産業ハッカーはいわば働きます。 銀行のネットワークに侵入することで、顧客のアカウントにアクセスできるようになります。 これに続くものを推測することは難しくありません。 スパイウェアを介してインターネットユーザーに関する情報を収集し、さらに恐喝を行います。 「実業家」の行動は非常に長い間列挙することができますが、彼らは本格的なコンピューター犯罪者であり、犯罪者のように扱われるべきであるともう一度言いたいと思います。

雑誌 `Computerra`#726から 著者 Computerraマガジン

2005年7月12日の本「Computerra」誌No.25-26から 著者 Computerraマガジン

スパイ、物資を教えて! 世界は大きな変化を遂げているようです。 いずれにせよ、このようなことは今までに起こったことはありません。 イタリアの裁判所は、誘拐罪で13人の米国CIA役員に逮捕状を発行しました。 そして、この男、ミラネーゼモスクのイマームがありますように

2007年9月25日発行の本「Computerra」誌第35号より 著者 Computerraマガジン

分析:国内のスパイウィキペディア著者:キウイバード9月にウィキペディアの英語セグメントが到達した200万件の記事の印象的なマイルストーン

本からPCのクラッシュとエラー。 私たちは自分たちでコンピューターを扱います。 はじめましょう! 著者TashkovPetr

第4章ウイルス、トロイの木馬、スパイウェアコンピュータと一緒に、それを害しようとするプログラムが登場したと言っても間違いではないでしょう。 さまざまなウイルス、トロイの木馬、スパイウェア、ワーム、その他の厄介なソフトウェアマルウェアが常に存在します

本からPCのクラッシュとエラー。 私たちは自分たちでコンピューターを扱います 著者DontsovDmitry

ブロッキング トロイの木馬、「ワーム」とスパイウェア昔々、最初のウイルスの出現で、主な危険はコンピュータとオフィス文書の感染でした。 ウイルス対策プログラムが対応できたので、原則としてこれは大きな問題ではありませんでした

本からデジタルマガジン「Computerra」№97 著者 Computerraマガジン

インターネットの本から-簡単でシンプル! 著者 アレクサンドロフエゴール

キウイの巣:法のスパイキウイバード2011年11月29日投稿アラブの春、今年中東を席巻した人気の蜂起の波は、1つの注目すべきスピンオフを持っています。 その本質はそれです

本ComputeraraPDA N147(11/26 / 2011-02 / 12/2011)から 著者 Computerraマガジン

ウイルスウイルスは有害です コンピュータープログラム、複製することができ、それ自体のコピーを作成し、それはまた、複製する能力を保持します(図10.1)。 近年、ネットワーク技術の急速な発展により、「ウイルス」という言葉の定義

本インターネット詐欺から。 リモートマネー詐欺のテクニックとサイバー犯罪者の犠牲になるのを避ける方法 著者 Gladkiy Alexey Anatolievich

キウイの巣:法のスパイ投稿者キウイバード2011年11月29日公開今年中東を席巻した人気の蜂起の波であるアラブの春には、注目すべきスピンオフが1つあります。 その本質は、西ヨーロッパと

本からインターネット上の無料の会話 著者 フルゾロフセルゲイ

キーロガーが危険なのはなぜですか? キーロガーは、すべての情報を取得するために、キーボードのすべてのキーストローク(多くの場合、すべてのマウスクリック)を継続的に監視するプログラムまたはデバイスです。

本からウイルスとアンチウイルスを作成する 著者GulyevIgorA。

ウイルスとワームウイルスは、有害な、時には破壊的なアクションを実行する一般的なプログラムです。 ウイルスは何ができるのでしょうか? オペレーティングシステムで実行できるほとんどすべて。 これを詳しく見てみましょう

本「暗号化入門」から 著者 ジマーマンフィリップ

キーロガーキーロガーは、不在時にどのキーが押されたか、つまり、オフィスを離れているときにコンピューターで何が起こっていたかを記憶するプログラムです。 これを行うために、キーボードで入力されたすべてのものは、特別なプログラムによってに入力されます

本からデジタルマガジン「Computerra」№191 著者 Computerraマガジン

ウイルスとトロイの木馬攻撃は、特別に設計されたコンピュータウイルスまたはワームを使用してPGPプログラムに感染することで構成されます。 この架空のウイルスは、秘密鍵とパスワードまたはコンテンツを傍受するように設計されている可能性があります

本からデジタルマガジン「Computerra」№197 著者 Computerraマガジン

のハードウェアトロイの木馬 Intelプロセッサ-最初の実用的な実装AndreyVasilkov 2013年9月19日に公開8年前、米国国防総省は、十分な技術レベルが与えられた場合、懸念を公に表明しました。

本からデジタルマガジン「Computerra」№204 著者 Computerraマガジン

中国のアイアンのトロイの木馬:税関がゴーサインを出さない理由Andrey Vasilkov 2013年10月28日公開先週末、Vesti.RuのWebサイトは、ロシアの税関職員が中国のアイアンのバッチにスパイの詰め物を見つけた方法に関する記事を公開しました。

著者の本から

著作権を主張するトロイの木馬:隠されたビットコインマイナーをやらない方法Andrey Vasilkov 2013年12月20日公開文学作品の犯罪者は、正義と最高の精神に知的挑戦をもたらす邪悪な天才です

ウイルス、スパイ、ダイヤラー:誰が、なぜ、どのように

今日、小学生にラヴサンとは何かと聞かれても、「エチレングリコールと芳香族二塩基酸の重縮合で得られる合成繊維」については教えてくれないと思います。 いいえ、彼の答えは次のようになります。「Lo-vesan、別名msblast、Microsoft Windows DCOMRPCサービスの脆弱性を使用してMicrosoftWindowsNTオペレーティングシステムに侵入します。」 しばらくすると、運命という言葉とどのような関連があるのか​​推測するのが怖いです。 明らかに、同じ名前のゲームだけではありません。

タイトルと紹介からわかるように、本日はウイルスなどについてお話します。 タイトルで提起された質問への回答に移る前に、私は今日の「ゲスト」に直接行きたいと思います。 ここでは、これらすべてがどのように私たちのコンピューターに到達するかについての答えが与えられます。

ウイルス
ウイルスは、いくつかの破壊的な結果をもたらすプログラムです。 そして、それらが何であるかは関係ありません。ファイルのアクセス許可の平凡な置き換えや内部コンテンツの損傷から、インターネットの中断やオペレーティングシステムのクラッシュまで、すべてがここにある可能性があります。 また、ウイルスとは、破壊的な機能を実行するだけでなく、増殖することもできるプログラムを意味します。 あるスマートブックはこれについて次のように述べています。「コンピュータウイルスの必須(必要)プロパティは、独自の複製を作成し(必ずしも元のファイルと同じである必要はありません)、それらをコンピュータネットワークやファイル、コンピュータに埋め込む機能です。システム領域およびその他の実行可能オブジェクト。同時に、複製は「((c)EugeneKaspersky。「コンピュータウイルス」)をさらに拡散する機能を保持します。 確かに、生き残るためには、ウイルスは増殖する必要があり、これは生物学などの科学によって証明されています。 ちなみに、コンピューターの名前の由来は、これらの非常に生物学的なウイルスに由来しています。 そして、彼ら自身が彼らの名前を完全に正当化しました。すべてのウイルスは単純ですが、それにもかかわらず、コストが莫大な金額で計算されるウイルス対策会社の努力にもかかわらず、彼らは生きて繁栄しています。 例として遠くまで行く必要はありません。少なくともI-Worm.Mydoom.bのようなウイルスを取り上げてください。 知らない人からの添付ファイルを開くことはできないと彼らは何度も言っています。特にこれに同意していない場合は、有名人からのメッセージに注意する必要があります。 さらに、手紙のテキストに次のようなものが含まれている場合:「私のガールフレンドのクールな写真をチェックしてください」、それはすぐにゴミ箱に送られるべきです。 しかし、上記の例でテキストがまだ意味をなす場合は、mydoomに感染した電子メールの内容はかなり奇妙です。自分で判断してください。

メッセージは7ビットASCIIエンコーディングで表すことができず、バイナリ添付ファイルsendmailデーモンとして送信されました。報告:SMTPセッション中にエラー#804が発生しました。 部分的なメッセージを受信しました。 メッセージにはUnicode文字が含まれており、バイナリ添付ファイルとして送信されています。 メッセージにはMIMEエンコードされたグラフィックが含まれており、バイナリ添付ファイルとして送信されています。 メールトランザクションが失敗しました。 部分的なメッセージが利用可能です。

レターには、添付ファイルの名前に9つのオプションがあり、拡張子に5つのオプションがあるファイルが含まれています。 2つのバリエーションが私の箱に入ってきました。 1つ目はおそらくdocファイルを含むzipアーカイブで、2つ目はアイコンがメモ帳アイコンに置き換えられた単純なexeファイルです。2つ目の場合、ユーザーが権限を確認することでキャッチに気付くことができる場合は、最初に最初のケースでは、感染数が最も多いと考えられる傾向があります。このウイルスは、印刷物やインターネットリソースですでに何度も言われているため、何をするのかはわかりません。 Mydoomの例では、ウイルスを拡散する最初の方法である電子メールを知りました。

例としてWorm.Win32.Lovesan(msblastとも呼ばれます)を使用する次のメソッドを見てみましょう。 このウイルスの何がそれほど注目に値するのか、そしてなぜ感染が広まったのか? この個人は、原則として、システム全体のパフォーマンスにまったく影響を与えないという点で注目に値します。 それに感染したコンピュータは、インターネット上で正常に機能することができません。 しばらくすると、RPCエラーメッセージが表示されたサインがポップアップし、その後コンピュータが再起動します。 感染はどのように起こりますか? このウイルスは、Microsoft Windows 2000 / XP / 2003のDCOMRPCサービスの脆弱性を悪用し、特定のIPアドレスのポート135を介してユーザーのコンピューターに侵入します。 攻撃者はどのようにしてあなたのアドレスを正確に見つけますか? とても簡単です。 非常に多くのIPスキャナーが作成されたため、未就学児でもIPアドレスを簡単に見つけて確認できます。 開いているポートこれを介してウイルスをコンピュータにダウンロードできます。 明確にするために、Lovesanウイルスで直接感染がどのように発生するかを示します。 ワームはIPアドレスをスキャンして、開いているポートと保護されていないポートを探します。 このプロセスを図に示します。

20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
-----------一時停止1.8秒
20.40.50.20
...
20.40.50.39
-----------一時停止1.8秒
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
そして同じ精神でそしてさらに続けます。

ワームは、スキャンに2つの方法のいずれかを選択します。 方法1:ランダムなベースアドレス(A.B.C.D)をスキャンします。ここで、Dは0で、A、B、Cは1〜255の範囲からランダムに選択されます。 スキャン範囲は次のとおりです。...0。
方法2:ワームがアドレスを決定する ローカルコンピュータ(A.B.C.D)、Dをゼロに設定し、Cを選択します。Cが20より大きい場合、ワームは1から20までの乱数を選択します。Cが20以下の場合、ワームはそれを変更しません。 したがって、ウイルスを拡散する2番目の方法は、ソフトウェアのギャップを使用して、保護されていないコンピュータポートを使用することです。
3番目の方法は、ファイルをダウンロードするときにインターネット経由です(望ましいまたは望ましくないオプションで)。 繰り返しになりますが、例を挙げて説明します。 望ましい例。 インターネットから新しいジョーク、プログラム、またはゲームをダウンロードすると、ウイルスに感染します。 ダウンロード後、プログラム/ゲーム/ジョークが始まり、-出来上がり-あなたはウイルスの所有者です。 私はここで何を言うことができますか? 警戒し、ウイルス対策データベースを定期的に更新し、すべてのプログラムをウイルス対策でチェックし、少なくともコンピューターのセキュリティの基本を忘れないでください。 「たとえば、ウイルスに感染できなかったプログラムをスキャンする必要があるのはなぜですか」と言う人がいるかもしれません。 「これらはどのようなプログラムですか?」と質問したいのですが。 特に、wareznikやハッカーグループのサイトからダウンロードしたプログラムは、感染する可能性があります。

それでは、不要なダウンロードに移りましょう。 私はそのような負荷の2つのタイプを選び出します。 1つ目:ユーザーが自分のコンピューターに何かがダウンロードされているとさえ疑わない場合。 このダウンロードは、スクリプトを実行することによって実行されます。 2番目のタイプの不要なダウンロードは、間違ったダウンロードがダウンロードされている場合です。 例を挙げましょう。 かつて、ファイルをアップロードする直前に、クラックのある1つのサイトが、「無料のXXXバー」または「100%インターネットクラック」のいずれかをインストールすることを提案しました。 ユーザーがこれに同意した場合(「仮想ジョイ」の「100%インターネットクラック」に関する今月の質問をまだ覚えているので、いくつかあったと確信しています)、トロイの木馬またはウイルスがダウンロードされました。 原則として違いは小さいです。 ただし、これはまだ最も興味深いことではありません。そのような魅力的な提案が拒否された場合、次のような碑文が表示されたサインがポップアップします。「サイトエラー」と[OK]または[続行]ボタンをクリックすると、トロイの木馬がクリックされます。ただし、ユーザーの知らないうちにダウンロードされました。 そして、ファイアウォールだけがこれから救うことができました。
主な破壊機能に加えて、ウイルスはどのような副作用をもたらす可能性がありますか? 「無料のアプリケーション」の1つは、任意のサイトを攻撃するDOS(サービス拒否)機能です。 ほとんどの場合、被害者はウイルス対策会社のサイト、スパム対策サイト、そして-それなしではどうしてか-苦しんでいる会社のマイクロソフトのサイトです。 もう1つの副作用は、バックドアコンポーネントのインストールです。その結果、攻撃者はユーザーのコンピューターを完全に制御できるようになります。 これが何を脅かすかを推測するのは難しいことではありません。

スパイ
次のグループには、広告モジュールを含むスパイウェアが含まれます。 このタイプのプログラムを配布する主な方法は、プログラムにコンポーネントとしてインストールすることです。多くの場合、分離することはできません。 さらに、不要なダウンロード(上記の説明を参照)およびトラッキングCookieのダウンロードがあります。
これらの個人は何をしていますか? 一般的なスパイウェアとアドウェアのモジュールから始めましょう。 どちらのタイプも、ユーザーと彼のコンピューターに関する情報を収集し、彼の行動を監視し、スパイのタイプ(reyloggers)も、キーボードで入力したすべてのものをファイルに記録します。インターネットでのアクティビティも追跡されます。データを収集した後、すべての情報が所有者に送信され、スパイと広告モジュールのパスが分岐します。広告モジュールによってデータを収集した後、情報は慎重に調査する第三者に転売されることがよくあります。その後、せいぜい、インターネットポリシープログラムがサードパーティタイプで作成されます:何を提供し、どこに広告を投稿するかしかし、これはせいぜい、最悪の場合、メガ/キロ/トンのスパムメールが流れ始めますあなたのメールボックス。

スパイの違いは何ですか? 同じレイロガーのデータを調べた後、攻撃者はあなたの個人的な機密データを見つけ、後で恐喝に使用することができます。これはすべて、トロイの木馬とバックドアコンポーネントをインストールするためのものです。

ダイヤラ
それらの浸透の方法は、上記のものと異ならない。 そのため、早急に検討を進めます。 ここでは、一般に「ダイヤラー」と呼ばれる非常に平和なダイヤラーがあることを予約する必要があります。 これらのプログラムは、ダイヤルアップユーザーが「プロバイダーにダイヤルアップし、可能であれば、古い回線や「近代化された」回線であっても、プロバイダーとの安定した接続を維持するのに役立ちます。これから説明する回線の名前は異なります。バトルダイヤラー。オペレーティングシステムでは、ユーザーの怠慢やナイーブさ(上記の約100%のインターネットクラックを参照)が原因で、これらのプログラムはプロバイダーの電話をエキゾチックな国の通信事業者の電話に置き換えます。また、ダイヤラーはスケジューラーは特定の時間に呼び出すタスクです。ユーザーがモデムをオフにする習慣がある場合、またはユーザーが外部のものを持っていて、ママが心配しないように叫ぶ場合は良いです。そして、モデムが静かで構築されている場合-それは私が意味することです。そのような電話代の到着時だけの彼の悲しみについて。


誰がWeb上でこのすべてのマックを作成して起動するかについて話す時が来ました。 ここでは、この見苦しいビジネスに従事している人々のグループを分類しようとします。 ここでは、いわゆる「ホワイト」ハッカーについては説明しません。 その理由を説明させてください。 この多様性は社会に危険をもたらすことはなく、むしろ社会に利益をもたらします。 彼らは、特に有害な個人を無力化するためにウイルス対策ウイルスを作成することが最も多いものです。 なぜウイルスなのか? これらのプログラムは、ウイルスと同じメカニズムで拡散します。 なぜ反? 彼らはコンピュータから特定の種類のウイルスをブロックまたは削除するためです。 ウイルスとの主な違いは、タスクを完了した後の自己破壊と、破壊的な機能がないことです。 例としては、Lovesanの再発後しばらくしてWebに出現した同様のウイルスがあります。 "a。アンチウイルスをダウンロードした後、Lovesanが削除され、ユーザーはWindowsのアップデートをダウンロードするように求められました。ホワイトハッカーはソフトウェアとコンピューターシステムのギャップも見つけます。 、その後、バグを企業に報告します。次に分類に移りましょう。

1つ入力します:「スクリプトの子」。 彼らは自分たちを37717(00 | _ HaCkeR-rr)と呼び、雑誌「ハッカー」を読み、単一のプログラミング言語を知らず、Webから既製のプログラムをダウンロードすることによってすべての「彼らの」トロイの木馬とウイルスを作成します。雑誌「ハッカー」は原則として悪くはなく、その内容はかなり単純な形で提示されているところもありますが、それは真実ですが、すでに何らかの知識基盤を持っている人にとっては単純な形です。そして、彼らは資料を賢く提供します-彼らはどこにも彼らを引き付けないように-彼らは最後まですべてを伝えません-これらの「ハッカー」は通常、どこかからダウンロードされたトロイの木馬を誰かに送った後、後者は機能します、彼らはすぐに彼らのかっこよさなどについてフォーラムで怒鳴り始めます。そうではないので、彼らは彼らのアドレスでたくさんの強烈な声明を正しく受け取ります。彼らは単に十分な経験を持っていないか、(いくつかの場合)ケース)脳。

タイプ2:「初心者」。 この種は最初の種の直系の子孫です。 最初のタイプの代表者の中には、一定期間後、彼らが思っていたほどクールではないこと、いくつかのプログラミング言語があることが判明したこと、あなたが何かをすることができ、その後はできないことを理解し始めます私がどんなに立派な仲間であるかについて全世界に怒鳴ります。 それらのいくつかは、将来、プロクラスの代表になる可能性があります。 これらの人々は言語を学び始め、何かを書き込もうとし、創造的な思考が彼らの中で目覚め始めます。 そして同時に、彼らは社会に一定の危険をもたらし始めます。ウイルス作家のクラスのそのような代表者が経験不足から書くことができる恐ろしい仕事を誰が知っているからです。 結局のところ、専門家がコードを書くとき、彼はまだいくつかのことをする必要がないことに気づきます。 彼らは彼と対戦することができます。 初心者はそのような知識を持っていないので、彼は危険です。

タイプ3:「プロ」。 それらは2番目のタイプから発展します。 「Profi」は、プログラミング言語、ネットワークセキュリティの深い知識によって区別され、オペレーティングシステムの深さに精通しており、最も重要なこととして、ネットワークとコンピュータシステムの動作メカニズムに関する非常に真剣な知識と理解を持っています。 さらに、「プロ」は会社の​​掲示板からセキュリティホールについて学ぶだけでなく、自分自身を見つけることもできます。 彼らはしばしば彼らの「仕事」の質を改善するためにハッカーグループを形成します。 これらの人々はほとんど秘密主義であり、名声に貪欲ではありません。成功した作戦を実行するとき、彼らはそれについて全世界に知らせるために走りませんが、友人と平和的に成功を祝うことを好みます。 もちろん、彼らは大きな危険をもたらしますが、彼らはすべて知識のある人々であるため、インターネットなどのシステムの世界的な崩壊を引き起こす可能性のある行動をとることはありません。 例外はありますが(誰もがスラマー「a」を忘れているわけではありません)。

タイプ4:「産業ハッカー」。 社会にとって最も危険なのは、ハッカー一家の代表です。 彼らは当然のことながら本物の犯罪者と呼ぶことができます。 銀行、大企業、政府機関のダイヤラーやハッキングネットワークのほとんどを作成するのは彼らの良心です。 なぜ、そして彼らがこれをしているのかについて、以下で話します。 「実業家」は何も考えず、誰とでも、これらの個人は彼らの目標を達成するためにすべてをすることができます。

それでは、書かれていることを要約しましょう。 「スクリプトの子供たち」:若くて環境に優しく、経験の浅い。 私はあなたが最もクールであることを示したいと思います、そしてクールサムだけがあなたが最もクールです。
「初心者」:独立したものを書くことへの渇望がありました。 幸いなことに、インターネットプロトコルとプログラミング言語の複雑さをマスターしようとした後、このビジネスをあきらめて、より平和なことをする人もいます。
「プロ」:突然「彼の罪悪感、測定、程度、深さを実現した」状態が発生した場合、このタイプの代表者はコンピュータセキュリティの高度な専門家になります。 もっとプロにこの状態に移行してもらいたいです。
「実業家」:神聖なものは何もない。 人気のある知恵はそのような人々をよく語っています:「墓は後弯を直すでしょう」。
これは、コンピュータ侵入者のクラスの代表者のタイプへの大まかな分類です。 それでは、なぜ彼らがそれを行うのかという質問に移りましょう。

どうして
しかし、実際には、なぜウイルス、トロイの木馬、ダイヤラー、その他の悪霊が書かれているのでしょうか。 その理由の1つは、自己肯定への欲求です。 これは、第1および第2のタイプの代表者に一般的です。 1つは、彼が「本物の、タフな子供」であることを友達に示す必要があります。2つ目は、まず第一に、自尊心のレベルを上げることです。 2番目の理由は経験を積むことです。 初心者に典型的です。 最初の傑作を書いた後、当然、誰かにそれを体験したいと思うでしょう。 実際、私自身ではありません。 そのため、常に非常に危険であるとは限らない、特定の数の新しいウイルスがWebに出現します。 次の理由は競争の精神です。 ハッカーの競争について聞いたことがありますか? 私が知っている最後のものは夏に起こった。 ブラジルのハッカーグループが勝ちました(サッカーだけが彼らにとって強いわけではないことがわかりました)。 タスクは次のとおりでした:誰がほとんどのサイトを壊すでしょう。 しかし、最も洗練されたウイルスと最高のキーロガーをめぐる競争があると確信しています。 アドレナリンは別の理由です。 想像してみてください。夜、モニターライト、キーボードの周りを指が走っています。昨日、セキュリティシステムの違反が見つかりました。今日は、システムにアクセスして、上司である管理者を表示する必要があります。 この理由の後に次の理由、ロマンスが続きます。 そして、誰が夕日を見るのが好きで、誰が星を見るのが好きで、誰がウイルスを書き、ウェブサイトを改ざんするのが好きなのか。 何人、たくさんの味。 その理由は次のとおりです-政治的または社会的抗議。 このため、ほとんどの政府のWebサイト、政党のWebサイト、印刷物やインターネットの出版物、および大企業がハッキングされています。 例のために遠くまで行く必要はありません。 イラク戦争が始まった直後、ブッシュの政策に不満を持っている人々によるアメリカ政府のウェブサイトや、アラブの新聞アルジャジーラのウェブサイトや反対側からの他の多くのアラブのリソースへの攻撃が行われた。 そして、おそらく、最後の理由はユビキタスなお金です。 彼らのために、いわば産業ハッカーが主に働いています。 銀行のネットワークに侵入することで、顧客のアカウントにアクセスできるようになります。 これに続くものを推測することは難しくありません。 スパイウェアを介してインターネットユーザーに関する情報を収集し、さらに恐喝を行います。 「実業家」の行動は非常に長い間列挙することができますが、彼らは本格的なコンピューター犯罪者であり、犯罪者のように扱われるべきであるともう一度言いたいと思います。

トピックについてあなたに宛てられた怒りの手紙を避けるために、「残りはあなたがそれらを保護するほど親切でふわふわですか?」と私は次のように言います。 私は誰も保護するつもりはありませんでした、そして記述された4つの種の代表のどれも肉の天使ではありません-彼らはすべて特定の悪を運びます。 しかし、ハッカーは定期的に、この世界ですべてが完璧であるとは限らないことを知らせています。 例を挙げましょう。 一時的にインターネットを麻痺させたスラマーウイルスは、マイクロソフトが発見したバグを使用し、3か月前にパッチを投稿しました。 ただし、この例は例外であることを忘れないでください。 したがって、少なくともコンピュータセキュリティの基本を守る必要があります。

アンドレイ・ラゼビッチ
この記事では、Great Virus Encyclopedia、viruslist.comの資料を使用しています。

http://www.computermaster.ru/articles/secur2.html

コンピュータウイルスについて知っておくべきこと

(c)アレクサンダー・フロロフ、グリゴリー・フロロフ、2002年

[メール保護]; http://www.frolov.pp.ru、http://www.datarecovery.ru

専門家や一般の人々が利用できるパーソナルコンピュータの作成以来、コンピュータウイルスの歴史はそのカウントダウンを開始しました。 フロッピーディスクに配布されたパソコンやプログラムは、コンピュータウイルスが発生し、不注意に生きるまさに「繁殖地」であることが判明しました。 コンピュータウイルスがどこにでも侵入する能力を取り巻く神話と伝説は、これらの悪意のある生き物を未知と未知の霧の中に包み込みます。

残念ながら、経験豊富なシステム管理者(通常のユーザーは言うまでもありません)でさえ、コンピューターウイルスとは何か、コンピューターやコンピューターネットワークに侵入する方法、および彼らが何を害する可能性があるかについて常に明確な考えを持っているわけではありません。 同時に、ウイルスの機能と拡散のメカニズムを理解しなければ、効果的なアンチウイルス保護を組織することは不可能です。 最高のウイルス対策ソフトウェアでさえ、誤用すると無力になります。

コンピュータウイルスの歴史の短いコース

コンピュータウイルスとは何ですか?

コンピュータウイルスの最も一般的な定義は、コンピュータの情報環境に広がるプログラムコードとして与えることができます。 プログラムの実行可能ファイルやバッチファイルに埋め込んだり、フロッピーディスクやハードドライブのブートセクタ、オフィスアプリケーションのドキュメント、電子メール、Webサイト、その他の電子チャネルを通じて配布したりできます。

ウイルスはコンピュータシステムに侵入すると、無害な視覚的または音響的効果に限定され、データの損失や破損、さらには個人情報や機密情報の漏洩を引き起こす可能性があります。 最悪の場合、ウイルスに感染したコンピュータシステムは完全に攻撃者の制御下に置かれる可能性があります。

今日、人々は多くの重要なタスクについてコンピューターを信頼しています。 したがって、コンピュータシステムの障害は、人的被害を含む非常に深刻な結果をもたらす可能性があります(飛行場サービスのコンピュータシステムにウイルスが存在することを想像してください)。 これは、情報コンピュータシステムの開発者やシステム管理者が忘れてはなりません。

今日、何万もの異なるウイルスが知られています。 そのような豊富さにもかかわらず、拡散のメカニズムと作用の原理が互いに異なるウイルスの種類はかなり限られています。 いくつかの異なるタイプに同時に起因する可能性のある複合ウイルスもあります。 さまざまな種類のウイルスについて、出現の時系列を可能な限り維持しながら説明します。

ファイルウイルス

歴史的に、ファイルウイルスは他の種類のウイルスよりも前から存在しており、もともとはMS-DOSオペレーティングシステム環境で配布されていました。 ウイルスは、COMファイルとEXEファイルの本体に自分自身を挿入し、起動すると、感染したプログラムではなくウイルスに制御が移るように変更します。 ウイルスは、ファイルの最後、最初、または途中にコードを書き込むことができます(図1)。 ウイルスは、コードをブロックに分割して、感染したプログラムのさまざまな場所に配置することもできます。

米。 1.MOUSE.COMファイル内のウイルス

ウイルスが制御されると、他のプログラムに感染したり、コンピュータのRAMに侵入したり、その他の悪意のある機能を実行したりする可能性があります。 次に、ウイルスは感染したプログラムに制御を移し、そのプログラムは通常の方法で実行されます。 その結果、プログラムを起動したユーザーは、それが「病気」であるとさえ疑うことはありません。

ファイルウイルスは、COMおよびEXEプログラムだけでなく、他の種類のプログラムファイル(MS-DOSオーバーレイ(OVL、OVI、OVRなど)、SYSドライバー、DLL、およびプログラムコードを含むファイル)にも感染する可能性があることに注意してください。 。 ファイルウイルスは、MS-DOSだけでなく、Microsoft Windows、Linux、IBM OS / 2などの他のオペレーティングシステム用にも開発されています。 ただし、ウイルスの大部分は このタイプの MS-DOSとMicrosoftWindowsの環境に正確に住んでいます。

MS-DOSの時代には、ソフトウェア、ゲーム、ビジネスの無料交換のおかげで、ファイルウイルスはその後も幸せに暮らしていました。 当時、プログラムファイルは比較的小さく、フロッピーディスクに配布されていました。 感染したプログラムは、BBS掲示板またはインターネットから誤ってダウンロードされる可能性もあります。 そして、これらのプログラムとともに、ファイルウイルスも拡散します。

最新のプログラムはかなりのスペースを占有し、原則としてCD-ROMで配布されます。 フロッピーディスクでのプログラムの交換は、長い間過去のものでした。 ライセンスされたCDからプログラムをインストールすることにより、通常、コンピュータがウイルスに感染するリスクを冒すことはありません。 海賊版CDは別の問題です。 ここでは何も保証できません(ただし、ライセンスされたCDでのウイルスの拡散の例はわかっています)。

その結果、ファイルウイルスは他の種類のウイルスへの人気のリードを失いました。これについては後で説明します。

ブートウイルス

ブートウイルスは、オペレーティングシステムのロードが開始される前であっても、コンピューターの初期化フェーズで管理されます。 それらがどのように機能するかを理解するには、コンピューターを初期化してオペレーティングシステムをロードする順序を覚えておく必要があります。

コンピュータの電源を入れた直後に、BIOSに記録されているPOST(電源投入時自己診断)手順が機能し始めます。 チェック中に、コンピュータの構成が決定され、そのメインサブシステムの操作性がチェックされます。 次に、POSTは、フロッピーディスクがドライブAに挿入されているかどうかを確認します。 フロッピーディスクが挿入されている場合、オペレーティングシステムの追加のロードはフロッピーディスクから発生します。 それ以外の場合、ブートはハードドライブから実行されます。

フロッピーディスクから起動する場合、POSTプロシージャはフロッピーディスクから起動レコード(Boot Record、BR)をRAMに読み込みます。 このエントリは常にフロッピーディスクの最初のセクターにあり、小さなプログラムです。 BRプログラムに加えて、フロッピーディスクのフォーマットやその他の特性を決定するデータ構造が含まれています。 次に、POSTは制御をBRに移します。 制御を受け取ったBRは、オペレーティングシステムの起動に直接進みます。

ハードドライブから起動するとき、POSTはマスターブートレコード(MBR)を読み取り、それをコンピューターのRAMに書き込みます。 このエントリには、ブートプログラムと、ハードドライブ上のすべてのパーティションを説明するパーティションテーブルが含まれています。 ハードドライブの最初のセクターに保存されます。

MBRが読み取られた後、制御はディスクから読み取られたばかりのブートブートプログラムに移されます。 パーティションテーブルの内容を分析し、アクティブパーティションを選択して、アクティブパーティションのBRブートレコードを読み取ります。 このエントリは、システムフロッピーディスクのBRエントリに似ており、同じ機能を実行します。

さて、「どのように」機能するかについて ブートウイルス.

コンピュータのフロッピーディスクまたはハードディスクに感染すると、ブートウイルスがBRブートレコードまたはMBRに置き換わります(図2)。 通常、元のBRまたはMBRは消えません(ただし、常にそうであるとは限りません)。 ウイルスはそれらをディスクの空きセクタの1つにコピーします。

米。 2.ブートレコードのウイルス

したがって、ウイルスはPOST手順が完了した直後に制御を取得します。 その後、彼は通常、標準のアルゴリズムに従います。 ウイルスはRAMの最後に自分自身をコピーするため、使用可能なサイズが小さくなります。 その後、いくつかのBIOS機能を傍受し、それらを呼び出すとウイルスに制御が移ります。 感染手順の最後に、ウイルスは実際のブートセクターをコンピューターのRAMにロードし、そこに制御を移します。 その後、コンピュータは通常どおり起動しますが、ウイルスはすでにメモリ内にあり、すべてのプログラムとドライバの動作を制御できます。

複合ウイルス

ファイルウイルスとブートウイルスのプロパティを組み合わせた複合ウイルスは非常に一般的です。

例としては、過去に蔓延していたOneHalfファイルブートウイルスがあります。 このウイルスは、MS-DOSを実行しているコンピュータに侵入することにより、マスターブートレコードに感染します。 コンピュータが起動すると、ウイルスはハードディスクのセクターを最新のセクターから徐々に暗号化します。 ウイルスの常駐モジュールがメモリ内にある場合、暗号化されたセクターへのすべてのアクセスを監視し、それらを復号化して、すべてのコンピューターソフトウェアが正常に動作するようにします。 OneHalfをRAMとブートセクターから単純に削除すると、ディスクの暗号化されたセクターに書き込まれた情報を正しく読み取ることができなくなります。

ウイルスがハードドライブの半分を暗号化すると、画面に次のメッセージが表示されます。

Disは半分です。 何かキーを押すと続行します ...

その後、ウイルスはユーザーが任意のキーを押すのを待って作業を続行します。

OneHalfウイルスは、さまざまなメカニズムを使用して自分自身をカモフラージュします。 これはステルスウイルスであり、ポリモルフィックアルゴリズムを使用して繁殖します。 OneHalfウイルスの検出と削除はかなり難しい作業であり、すべてのウイルス対策プログラムで利用できるわけではありません。

サテライトウイルス

ご存知のように、異なるバージョンのオペレーティングシステムMS-DOSとMicrosoft Windowsには、ユーザーが実行のために実行できる3種類のファイルがあります。 これらはコマンドまたはバッチです BATファイル実行可能ファイルCOMおよびEXEも同様です。 同時に、同じ名前で拡張子が異なる複数の実行可能ファイルを同じディレクトリに同時に配置できます。

ユーザーがプログラムを起動し、オペレーティングシステムのシステムプロンプトでその名前を入力する場合、通常、ファイル拡張子は指定しません。 同じ名前で名前拡張子が異なるプログラムがディレクトリに複数ある場合、どのファイルが実行されますか?

この場合、COMファイルが開始されます。 現在のディレクトリまたはPATH環境変数で指定されたディレクトリにEXEファイルとBATファイルのみが存在する場合、EXEファイルが実行されます。

コンパニオンウイルスがEXEファイルまたはBATファイルに感染すると、同じディレクトリに同じ名前でCOM拡張子の付いた別のファイルが作成されます。 ウイルスは自分自身をこのCOMファイルに書き込みます。 したがって、プログラムが起動されると、サテライトウイルスが最初に制御を受け取り、このプログラムを起動できますが、すでに制御されています。

バッチファイル内のウイルス

BATバッチファイルに感染する可能性のあるウイルスがいくつかあります。 このために、彼らは非常に洗練された方法を使用します。 例としてBAT.Batmanウイルスを使用してそれを見ていきます。 バッチファイルが感染すると、ファイルの先頭に次のテキストが挿入されます。

@ECHO OFF REM [...] copy%0 b.com> nul b.com del b.com rem [...]

ここで角括弧[...]は、ウイルスのプロセッサ命令またはデータであるバイトの場所を概略的に示しています。 @ECHO OFFコマンドは、実行中のコマンドの名前の表示をオフにします。 REMコマンドで始まる行はコメントであり、いかなる方法でも解釈されません。

copy%0 b.com> nulコマンドは、感染したバッチファイルをB.COMファイルにコピーします。 次に、このファイルが実行され、delb.comコマンドを使用してディスクから削除されます。

最も興味深いのは、ウイルスによって作成されたB.COMファイルが感染したバッチファイルを1バイトに一致させることです。 感染したBATファイルの最初の2行がプログラムとして解釈される場合、実際には何もしないCPUからのコマンドで構成されていることがわかります。 CPUはこれらのコマンドを実行してから、REMコメントステートメントの後に記述された実際のウイルスコードの実行を開始します。 制御を取得した後、ウイルスはOSの割り込みを傍受してアクティブ化します。

拡散の過程で、ウイルスはファイルへのデータの書き込みを監視します。 ファイルに書き込まれる最初の行に@echoコマンドが含まれている場合、ウイルスはバッチファイルが書き込まれていると見なして感染します。

暗号化およびポリモルフィックウイルス

検出をより困難にするために、一部のウイルスはコードを暗号化します。 ウイルスが新しいプログラムに感染するたびに、ウイルスは新しいキーを使用して独自のコードを暗号化します。 その結果、このようなウイルスの2つのコピーは、長さが異なっていても、互いに大幅に異なる可能性があります。 ウイルスコードの暗号化は、調査のプロセスを大幅に複雑にします。 通常のプログラムでは、このようなウイルスを分解することはできません。

当然、ウイルスは実行可能コードが復号化された場合にのみ機能します。 感染したプログラムが起動され(または感染したBRブートレコードから開始され)、ウイルスが制御を取得すると、コードを復号化する必要があります。

ウイルスの検出を困難にするために、暗号化にはさまざまなキーが使用されるだけでなく、さまざまな暗号化手順も使用されます。 このようなウイルスの2つのコピーには、同じコードシーケンスの1つがありません。 コードを完全に変更できるこのようなウイルスは、多形ウイルスと呼ばれます。

ステルスウイルス

ステルスウイルスは、コンピューター上での存在を隠そうとします。 それらには、コンピューターのRAMに常駐する常駐モジュールがあります。 このモジュールは、感染したプログラムを起動したとき、またはブートウイルスに感染したディスクから起動したときにインストールされます。

ウイルス常駐モジュールは、への呼び出しを傍受します ディスクサブシステムコンピューター。 オペレーティングシステムまたは別のプログラムが感染したプログラムのファイルを読み取ると、ウイルスは実際の感染していないプログラムファイルに置き換わります。 これを行うために、ウイルス常駐モジュールは、感染したファイルからウイルスを一時的に削除できます。 ファイルの処理が終了すると、再び感染します。

起動可能なステルスウイルスも同じパターンに従います。 プログラムがブートセクターからデータを読み取ると、感染したセクターの代わりに実際のブートセクターが使用されます。

ステルスウイルスマスキングは、常駐ウイルスモジュールがコンピュータのRAMにある場合にのみ機能します。 コンピュータが感染していない「クリーンな」システムフロッピーディスクから起動した場合、ウイルスは制御を獲得する可能性がないため、ステルスメカニズムは機能しません。

マクロウイルス

これまで、プログラムの実行可能ファイルに生息するウイルスについて説明してきました。 ブートセクタディスク。 オフィスソフトウェアパッケージの広範な配布 マイクロソフトオフィスプログラムではなくドキュメントファイルで広がる新しいタイプのウイルスの雪崩を引き起こしました。

一見、これは不可能に思えるかもしれません。実際、ウイルスはMicrosoftWordのテキストドキュメントやMicrosoftExcelスプレッドシートのセルのどこに隠れているのでしょうか。

ただし、実際には、Microsoft Officeドキュメントファイルには、プログラミング言語Visual Basic for Applicationsで記述された、これらのドキュメントを処理するための小さなプログラムが含まれている場合があります。 これは、WordやExcelのドキュメントだけでなく、AccessデータベースやPowerPointプレゼンテーションファイルにも当てはまります。 このようなプログラムはマクロを使用して作成されるため、オフィスのドキュメントに存在するウイルスはマクロと呼ばれます。

マクロウイルスはどのように拡散しますか?

ドキュメントファイルと一緒に。 ユーザーは、フロッピーディスク、企業のイントラネットファイルサーバー、電子メール、およびその他のチャネルを介してファイルを交換します。 コンピュータをマクロウイルスに感染させるには、適切なオフィスアプリケーションでドキュメントファイルを開くだけです。これで完了です。

マクロウイルスは現在非常に一般的ですが、これは主にMicrosoftOfficeの人気によるものです。 それらは、実行可能ファイルやディスクおよびフロッピーディスクのブートセクタに感染する「通常の」ウイルス以上の害を及ぼす可能性があります。 私たちの意見では、マクロコマンドウイルスの最大の危険性は、感染したドキュメントを長期間気付かれることなく変更できることです。

密閉
また興味深い:
Windows XPでのMBRの回復、回復コンソールのすべてのコマンド
サムスンギャラクシーS5のロリポップ:バッテリーとワイヤレスの問題
VPN接続を接続し、Windowsで正しく構成する方法
以下を読むことをお勧めします:
AndroidスマートフォンWindows10 for nokialumiyaを使用してWindowsをインストールする方法
2021-10-22 09:11:21
AndroidスマートフォンWindows10 for nokialumiyaを使用してWindowsをインストールする方法
Androidスマートフォンを使用してWindowsをインストールする方法lumia630にWindowsPhone10をインストールする
2021-10-22 09:11:21
Androidスマートフォンを使用してWindowsをインストールする方法lumia630にWindowsPhone10をインストールする
コンピュータ上にあるWindowsを見つける方法
2021-10-22 09:11:21
コンピュータ上にあるWindowsを見つける方法
トピックの続き:
LGG4の問題と解決策Lgg4がオンにならない
デバイス
LGG4の問題と解決策Lgg4がオンにならない

LG G4は真のフラッグシップであることが判明しましたが、最も模範的なスマートフォンでさえ欠陥がないわけではありません。 どのガジェットでも、長所と短所の両方を見つけることができます...

×
新しい記事
/
人気
WiFi Warden(WPS接続)
2021-10-22 09:11:21
WiFi Warden(WPS接続)
スマートテレビ
正教会のメッセンジャーPraviznTelegramのテスト
2021-10-22 09:11:21
正教会のメッセンジャーPraviznTelegramのテスト
モデム
モバイルデバイスの充電に関する5つの神話放棄されたスマートフォンは車のバッテリーを消耗する可能性があります
2021-10-22 09:11:21
モバイルデバイスの充電に関する5つの神話放棄されたスマートフォンは車のバッテリーを消耗する可能性があります
モデム
サムスンc5660ギャラクシー、ファームウェア、充電入力が何をすべきか飛んだ、バッテリー
2021-10-22 09:11:21
サムスンc5660ギャラクシー、ファームウェア、充電入力が何をすべきか飛んだ、バッテリー
ウィンドウズ
Androidタブレットが自動的に再起動するのはなぜですか?タブレットタブ2
2021-10-22 09:11:21
Androidタブレットが自動的に再起動するのはなぜですか?タブレットタブ2
ルーター
スマートフォンのロックを解除する方法
2021-10-22 09:11:21
他のオペレーターのためにメガフォン電話のロックを解除する方法は?
ソリューション
iPhoneとAndroid向けの最高のモバイルRPGゲーム
iPhoneとAndroid向けの最高のモバイルRPGゲーム
Instagramの本当のフォロワーを購入する方法
Instagramの本当のフォロワーを購入する方法
コンピューターでInstagramからログアウトするために必要なものiPhoneでInstagramからログアウトする方法
コンピューターでInstagramからログアウトするために必要なものiPhoneでInstagramからログアウトする方法
優れたフロントカメラを搭載したSelfieスマートフォンフロントカメラのフラッシュiPhone6
優れたフロントカメラを搭載したSelfieスマートフォンフロントカメラのフラッシュiPhone6
iPhoneの速度が低下する理由と速度を上げる方法
iPhoneの速度が低下する理由と速度を上げる方法
Vkontakteボイスメッセージが機能しない
Vkontakteボイスメッセージが機能しない
©comuedu.ru2021コンピューター技術に関するサイト