Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Virus
Viry se replikují na prostředcích místního počítače.Na rozdíl od červů, viry nepoužívají síťové služby k šíření nebo pronikání do jiných počítačů. Kopie viru dosáhne vzdálených počítačů pouze v případě, že infikovaný objekt je z nějakého důvodu nesouvisející s virální funkcí aktivován na jiném počítači. Například:
když infikuje dostupné disky, virus proniká do souboru umístěného na síťovém zdroji
virus se zkopíruje na vyměnitelné úložné zařízení nebo infikuje soubor na vyměnitelném zařízení
uživatel pošle e-mail s infikovanou přílohou.
Platfoma: DOS
No platform descriptionPopis
Technické údaje
Je to nebezpečný rezidentní virus. Vyhledává archivní soubory a infikuje je. Naštěstí vyhledává pouze formát archivátorů. Archivní soubory infekce by měly být pouze v normě ARJ. Tyto archivní soubory jsou výsledkem práce kompresoru ARJ.EXE.
ARJ.EXE je archivační program, který umožňuje komprimovat a ukládat jeden nebo více souborů (včetně podadresářů) do jednoho nebo několika archivů (v slang - arjive) v komprimovaném formátu. Tento software je chráněn autorskými právy (c) 1990-1993 Robert K Jung.
Tento virus, který je červa víc než standardní virus DOS, je 5000 bajtů délky. Aktualizuje tyto soubory pomocí kopie (viru). Při provádění tohoto infektoru vyhledává soubory s příponou ARJ pomocí masky "* .arj" (soubory s příponou ARJ jsou vytvořeny nástrojem ARJ.EXE a obsahují komprimované soubory). Hledá soubory ARJ v aktuálních a všech nadřízených adresářích.
Pokud je nalezen archivní soubor ARJ, virus vytvoří dočasný soubor s náhodným vybraným názvem a rozšířením COM. Tento název se skládá ze čtyř písmen z 'A' t0 'V'; omezení "V" je proto, že tento virus používá limit 0Fh pro číslo dopisu, 15. písmeno (0Fh) je "V". Názvy výsledků vypadají jako BHPL.COM, NLJJ.COM, OKPD.COM atd. Poté virus vloží do tohoto souboru COM (5000 bajtů) a pro jeho skrytí připojuje k souboru odpadky bajtů náhodné vybrané délky. Virus kontroluje, zda délka tohoto odpadu by neměla překročit maximální délku spustitelného souboru COM. Délka výsledných souborů červa je více než 5000 bajtů. 5000 bajtů je délka červa červa, která je uložena v souboru na jakoukoli infekci.
Poté virus vloží tento soubor do archivu, který byl nalezen. To dělá nejjednodušším způsobem - virus vynutit nástroj ARJ.EXE, aby to udělal. Jeden z přepínačů ARJ.EXE je znak "a", který nutí přidat soubory v archivu ARJ. A virus používá tuto možnost, provádí ARJ.EXE znakem "a" pomocí standardní funkce C. Realizovaný řetězec vypadá takto:
c: command.com / c arj akde.com
Při provádění tohoto příkazu archivátor ARJ.EXE komprimuje a přidá červ do archivovaného souboru, který byl nalezen. Poté virus odstraní dočasný soubor a vyhledá další soubor ARJ. Pokud v aktuálním adresáři nejsou žádné soubory archivu, virus přeskočí na nadřazenou. Pokud je aktuální adresář kořenový adresář disku, virus se vrací do DOSu.
Jednou z funkcí tohoto infektoru je duplicitní infekce. Při provedení archivu virus nekontroluje soubor o jeho přítomnosti a jak to může udělat? Kontrola archivu uvnitř není snadný úkol a vidím, že autor tohoto viru jej nenastavil (duplicitní infekci) jako objekt. Tento nový nápad si uvědomil nejjednodušším způsobem, ne více.
Virus generuje náhodné názvy souborů červů. Někdy může generovat název, který je přítomen v souboru ARJ, který je určen k infekci. Výsledkem je, že tento soubor bude přepsán virem a obsah tohoto souboru se ztratí. Samozřejmě pravděpodobnost spuštění souboru červů roste v tomto případě.
Pro skrytí šíření virových háčků INT 10h - přerušení videa. Nastaví to na příkaz IRET, který vypne standardní výstup na obrazovku. Tato funkce skrývá virus, ale pokud se vyskytnou chyby virové aktivity, zobrazí se v programu ARJ.EXE nebo DOS chybová zpráva (například "Chyba při zápisu chyby zápisu jednotky A:") a počkejte na odpověď. Virus však vypne výstup a uživatel uvidí pouze prázdnou obrazovku. Vypadá to, že počítač zavěsí. Mimochodem, virtuální stroj DOS pod operačním systémem MS-Windows přepíná režim plného textového textu na chybu při zápisu a není možné přepnout na jinou úlohu. Poslední poznámka: tento virus obsahuje krátký interní textový řetězec:
* .arj .. 0000.com / c arj ac: command.com
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com