Arten von Viren

Was sind Viren, Entstehungsgeschichte

Viren

John von Neumann schlug 1951 eine Methode zur Schaffung selbstreplizierender Mechanismen vor

Das Auftreten der ersten Computerviren wird fälschlicherweise auf die 1970er und sogar 1960er Jahre zurückgeführt. Üblicherweise werden Programme wie „Animal“, „Creeper“ oder „Cookie Monster“ als „Viren“ bezeichnet (das erste und das letzte in der modernen Terminologie sind Würmer). CREEPER war weder ein Virus noch ein Wurm, sondern ein sich selbst bewegendes Programm, das heißt, wenn ein neues (Wenn eine Kopie von CREEPER auf einem Remote-Computer gestartet wurde, funktionierte die vorherige Kopie nicht mehr.)

Viren verbreiten sich, indem sie ihren Körper kopieren und dessen anschließende Ausführung sicherstellen: Sie schleusen sich in den ausführbaren Code anderer Programme ein, ersetzen andere Programme, registrieren sich bei Autorun und mehr. Ein Virus oder sein Träger sind nicht nur Programme, die Maschinencode enthalten, sondern auch alle Informationen, die automatisch ausgeführte Befehle enthalten – zum Beispiel Batchdateien und Microsoft Word- und Excel-Dokumente, die Makros enthalten. Gleichzeitig kann ein Virus, um in einen Computer einzudringen, Schwachstellen in gängiger Software (z. B. Adobe Flash, Internet Explorer, Outlook) ausnutzen, für die Distributoren ihn zusammen mit einem in gewöhnliche Daten (Bilder, Texte usw.) einschleusen Ausnutzen der Schwachstelle.

Wenn sich Würmer vermehren, kopieren sie einfach ihren Code in einige Festplattenverzeichnisse in der Hoffnung, dass diese neuen Kopien eines Tages vom Benutzer gestartet werden.

Die ersten bekannten Viren sind Virus 1,2,3 und Elk Cloner für den Apple II PC. Beide Viren ähneln sich in ihrer Funktionsweise sehr und traten 1981 innerhalb kurzer Zeit unabhängig voneinander auf.

Ein Computervirus wurde aufgrund eines ähnlichen Ausbreitungsmechanismus in Analogie zu biologischen Viren benannt.

Anscheinend wurde das Wort „Virus“ erstmals im Zusammenhang mit einem Programm von Gregory Benford in der Science-Fiction-Geschichte „The Scarred Man“ verwendet, die im Mai 1970 im Venture-Magazin veröffentlicht wurde.

Das erste Antivirenprogramm kam 1984 auf den Markt.

Viren verbreiten sich, indem sie ihren Körper kopieren und dessen anschließende Ausführung sicherstellen: Sie schleusen sich in den ausführbaren Code anderer Programme ein, ersetzen andere Programme, registrieren sich bei Autorun und mehr. Ein Virus oder sein Träger sind nicht nur Programme, die Maschinencode enthalten, sondern auch alle Informationen, die automatisch ausgeführte Befehle enthalten.

je nach Lebensraum des Virus

‣‣‣ Dateiviren

‣‣‣ Bootviren

‣‣‣ Kombinierte Netzwerkmakroviren

‣‣‣ Dokumentviren

‣‣‣ Netzwerkviren

‣‣‣ Datei-Boot

Je nach Infektionsmethode des Lebensraums:

Residenter Virus- Wenn ein Computer infiziert ist, belässt er seinen residenten Teil im RAM, der dann den Zugriff des Betriebssystems auf infizierte Objekte abfängt und in diese eingebettet wird.

Nicht residente Viren infizieren den Speicher des Computers nicht und sind nur für eine begrenzte Zeit aktiv.

Nach zerstörerischen Fähigkeiten:

1. harmlos (beeinträchtigt nicht den Betrieb des Computers, außer der Reduzierung des freien Speichers aufgrund seiner Verteilung)
2. harmlos (reduziert den freien Speicherplatz)
3. gefährlich (zu Ausfällen führen)
4. Sehr gefährlich (Beschädigung von Teilen von Mechanismen, Verlust von Programmen, Zerstörung von Daten)

Entsprechend den Eigenschaften des Virenalgorithmus .

Begleitviren sind Viren, die Dateien nicht verändern.

Wurmviren sind Viren, die sich in einem Computernetzwerk verbreiten und wie Begleitviren keine Dateien oder Sektoren auf Datenträgern verändern. Sie dringen aus einem Computernetzwerk in den Speicher des Computers ein, berechnen die Netzwerkadressen anderer Computer und senden Kopien von sich selbst an diese Adressen. Solche Viren erstellen manchmal Arbeitsdateien auf Systemfestplatten, greifen jedoch möglicherweise überhaupt nicht auf Computerressourcen zu (mit Ausnahme des RAM).

Polymorphe Viren- Viren, die ihren Code in infizierten Programmen so verändern, dass zwei Kopien desselben Virus möglicherweise nicht in einem einzigen Bit übereinstimmen. Diese Art von Computervirus scheint heute die gefährlichste zu sein. Solche Viren verschlüsseln ihren Code nicht nur mit unterschiedlichen Verschlüsselungspfaden, sondern enthalten auch Code zur Generierung von Ver- und Entschlüsselern, was sie von gewöhnlichen Verschlüsselungsviren unterscheidet, die ebenfalls Teile ihres Codes verschlüsseln können, aber gleichzeitig über einen konstanten Ver- und Entschlüsselungscode verfügen .

Stealth-Viren - Sie täuschen Antivirenprogramme und bleiben so unentdeckt. Es gibt jedoch eine einfache Möglichkeit, den Tarnmechanismus von Stealth-Viren zu deaktivieren. Es reicht aus, den Computer von einer nicht infizierten Systemdiskette zu starten und den Computer sofort mit einem Antivirenprogramm zu scannen, ohne andere Programme von der Computerdiskette (die ebenfalls infiziert sein kann) zu starten. Wenn der Virus von einer Systemdiskette geladen wird, kann er nicht die Kontrolle erlangen und ein residentes Modul im RAM installieren, das den Stealth-Mechanismus implementiert. Ein Antivirenprogramm kann die tatsächlich auf der Festplatte geschriebenen Informationen lesen und den Virus leicht erkennen.

Trojanische Pferde (speziell für Dan =)) - Dabei handelt es sich um ein Programm mit einer destruktiven Funktion, die aktiviert wird, wenn eine bestimmte Auslösebedingung eintritt. Normalerweise werden solche Programme als nützliche Dienstprogramme getarnt. „Trojanische Pferde“ sind Programme, die zusätzlich zu den in der Dokumentation beschriebenen Funktionen einige andere Funktionen implementieren, die mit Sicherheitsverletzungen und zerstörerischen Aktionen verbunden sind. Es gab Fälle, in denen solche Programme erstellt wurden, um die Verbreitung von Viren zu erleichtern. Listen solcher Programme werden in großem Umfang in der ausländischen Presse veröffentlicht. Meist werden sie als Spiel- oder Unterhaltungssendungen getarnt und richten mit schönen Bildern oder Musik begleitet Schaden an.

Würmer - Viren, die sich über globale Netzwerke verbreiten und ganze Systeme und nicht einzelne Programme infizieren. Dies ist die gefährlichste Art von Virus, da die Angriffsziele in diesem Fall Informationssysteme von nationaler Ebene sind. Mit dem Aufkommen des globalen Internets stellt diese Art von Sicherheitsverletzung die größte Bedrohung dar, da jeder der 40 Millionen Computer, die mit diesem Netzwerk verbunden sind, jederzeit diesem Risiko ausgesetzt sein kann.

Arten von Viren – Konzept und Typen. Klassifizierung und Merkmale der Kategorie „Virenarten“ 2017, 2018.

Bildungsministerium der Bezirksverwaltung Ordschonikidse

Computer Virus

Zusammenfassung zur Informatik

Testamentsvollstrecker:

Novikov Alexander

9 „B“-Klasse

Aufsicht:

Nazimova Elena Anatolyevna

IT-Lehrer

Jekaterinburg 1999

Was ist ein Computervirus?

Ein Computervirus ist ein speziell geschriebenes kleines Programm, das sich anderen Programmen „zuordnen“ und auch verschiedene unerwünschte Aktionen auf dem Computer ausführen kann. Ein Programm, das einen Virus enthält, wird als „infiziert“ bezeichnet. Wenn ein solches Programm zu arbeiten beginnt, übernimmt zunächst der Virus die Kontrolle. Der Virus findet und „infiziert“ andere Programme und führt auch einige schädliche Aktionen aus (z. B. beschädigt er Dateien oder die Dateizuordnungstabelle auf der Festplatte, „verstopft“ den Arbeitsspeicher usw.). Ein Virus ist ein Programm, das die Fähigkeit besitzt, sich selbst zu reproduzieren. Diese Fähigkeit ist die einzige Eigenschaft, die allen Arten von Viren innewohnt. Das Virus kann nicht in „vollständiger Isolation“ existieren. Das bedeutet, dass es heutzutage unmöglich ist, sich einen Virus vorzustellen, der nicht irgendwie den Code anderer Programme, Informationen über die Dateistruktur oder auch nur die Namen anderer Programme verwenden würde. Der Grund dafür ist ganz klar: Der Virus muss irgendwie dafür sorgen

die Kontrolle auf dich selbst übertragen.

Haupttypen von Computerviren

Es gibt ein völlig formales System zur Klassifizierung und Benennung von Computerviren, um zu vermeiden, dass derselbe Virus in der Klassifizierung verschiedener Antivirensoftware-Entwickler unkenntlich unterschiedliche Namen hat. Trotzdem lässt sich immer noch nicht sagen, dass es eine vollständige Vereinheitlichung der Namen und Eigenschaften von Viren gibt. Dies liegt vor allem daran, dass zum Zeitpunkt der Formulierung einiger „Spielregeln“ bereits Antiviren-Tools existierten, die in einem eigenen Notationssystem arbeiteten. Eine allgemeine Vereinheitlichung würde einen erheblichen Aufwand und eine Änderung der Programme und Dokumentation erfordern. In einer Reihe von Fällen wurde dies getan. Wir gehen davon aus, dass der durchschnittliche Benutzer sich nicht mit allen Feinheiten der Funktionsweise des Virus befassen muss: Angriffsobjekte, Infektionsmethoden, Manifestationsmerkmale usw. Es ist jedoch ratsam zu wissen, um welche Arten von Viren es sich handelt sind, um das allgemeine Schema ihrer Arbeit zu verstehen.

Unter der Vielfalt der Viren lassen sich folgende Hauptgruppen unterscheiden:

– Bootviren; Dies ist die Bezeichnung für Viren, die die Bootsektoren von Disketten und Festplatten infizieren;

– Dateiviren; im einfachsten Fall infizieren solche Viren ausführbare Dateien; Wenn bei Bootviren alles mehr oder weniger klar ist, dann sind Dateiviren ein viel weniger eindeutiger Begriff; Es genügt beispielsweise zu sagen, dass ein Dateivirus die Datei möglicherweise überhaupt nicht verändert (Satellitenviren und Viren der Dir-II-Familie);

– Bootdateiviren; Solche Viren können sowohl Bootsektorcode als auch Dateicode infizieren. Es gibt nicht sehr viele solcher Viren, aber unter ihnen gibt es äußerst bösartige Beispiele (zum Beispiel den berühmten OneHalf-Virus).

Viren geschrieben im sogenannten Makrosprachen, sind formal dateibasiert, infizieren jedoch keine ausführbaren Dateien, sondern Datei Allerdings sind sie so konzipiert, dass sie infiziert werden können – das liegt bereits auf dem Gewissen der Softwarehersteller.

Beschädigte und infizierte Dateien

Ein Computervirus kann verderben, d.h. Ändern Sie jede Datei auf den auf dem Computer verfügbaren Datenträgern entsprechend. Einige Dateitypen können jedoch mit einem Virus infiziert sein. Das bedeutet, dass sich der Virus in diese Dateien „einschleusen“ kann, d. h. Ändern Sie sie so, dass sie einen Virus enthalten, der unter bestimmten Umständen zu wirken beginnen kann.

Es ist zu beachten, dass die Texte von Programmen und Dokumenten, Datenbankinformationsdateien, Tabellenprozessortabellen und anderen ähnlichen Dateien nicht von einem Virus infiziert werden können, sondern nur beschädigt werden können.

Die folgenden Dateitypen können mit einem Virus infiziert sein:

1. Ausführbare Dateien, diese. Dateien mit den Namenserweiterungen .COM und .EXE sowie Overlay-Dateien, die geladen werden, wenn andere Programme ausgeführt werden. Der Virus in infizierten ausführbaren Dateien beginnt seine Arbeit, wenn das Programm, in dem er sich befindet, gestartet wird. Am gefährlichsten sind Dateiviren, die nach ihrem Start im Speicher verbleiben – sie können Dateien infizieren und bis zum nächsten Neustart des Computers Schaden anrichten. Und wenn sie ein Programm infizieren, das über die Datei AUTOEXEC.BAT oder CONFIG.SYS gestartet wird, beginnt der Virus wieder zu funktionieren, wenn Sie von der Festplatte neu starten.

2. Betriebssystem-Loader und Master-Boot

Festplattenaufzeichnung. Diese Bereiche sind vom Bootvirus betroffen.

Ein solcher Virus beginnt seine Arbeit, wenn der Computer hochfährt und resident wird, d. h. wird dauerhaft im Speicher des Computers gespeichert. Der Verbreitungsmechanismus ist die Infektion der Boot-Datensätze der in den Computer eingelegten Disketten. Häufig bestehen solche Viren aus zwei Teilen, da der Boot-Record und der Master-Boot-Record klein sind und es schwierig ist, das gesamte Virenprogramm unterzubringen. Der Teil des Virus, der nicht hineinpasst, befindet sich in einem anderen Teil der Festplatte, beispielsweise am Ende des Stammverzeichnisses der Festplatte oder in einem Cluster im Datenbereich der Festplatte (normalerweise so). Cluster wird für defekt erklärt, damit das Virenprogramm beim Schreiben von Daten auf die Festplatte nicht überschrieben wird.

3. Gerätetreiber, diese. Dateien, die in der Geräteanwendung der Datei CONFIG.SYS angegeben sind. Der darin enthaltene Virus beginnt seine Arbeit bei jedem Zugriff auf das entsprechende Gerät. Viren, die Gerätetreiber infizieren, sind sehr selten, da Treiber selten von einem Computer auf einen anderen überschrieben werden. Gleiches gilt für DOS-Systemdateien – deren Infektion ist theoretisch ebenfalls möglich, für die Verbreitung jedoch wirkungslos.

In der Regel kann jeder spezifische Virustyp nur einen oder zwei Dateitypen infizieren. Die häufigsten Viren sind solche, die ausführbare Dateien infizieren. Einige Viren infizieren nur .COM-Dateien, andere nur .EXE-Dateien und die meisten infizieren beide. Der zweithäufigste Virus sind Bootviren. Einige Viren infizieren sowohl Dateien als auch Bootbereiche von Festplatten. Viren, die Gerätetreiber infizieren, sind äußerst selten; normalerweise können solche Viren ausführbare Dateien infizieren.

Viren, die das Dateisystem verändern

In letzter Zeit hat sich eine neue Art von Viren verbreitet – Viren, die das Dateisystem auf der Festplatte verändern. Diese Viren werden üblicherweise Dir genannt. Solche Viren verstecken ihren Körper in einem Teil der Festplatte (normalerweise im letzten Cluster der Festplatte) und markieren ihn in der Dateizuordnungstabelle (FAT) als Ende der Datei. Bei allen .COM- und .EXE-Dateien werden die Zeiger auf den ersten Abschnitt der Datei, die in den entsprechenden Verzeichniselementen enthalten sind, durch einen Link auf den Abschnitt der Festplatte ersetzt, der den Virus enthält, und der richtige Zeiger wird codiert in einem versteckt unbenutzter Teil des Verzeichniselements. Wenn daher ein Programm gestartet wird, wird ein Virus in den Speicher geladen, wonach er im Speicher verbleibt, eine Verbindung zu DOS-Programmen herstellt, um Dateien auf der Festplatte zu verarbeiten, und

Gibt die richtigen Links für alle Aufrufe von Verzeichniselementen an.

Wenn der Virus ausgeführt wird, erscheint das Dateisystem auf der Festplatte daher völlig normal. Ein oberflächlicher Blick auf die infizierte Festplatte auf einem „sauberen“ Computer lässt keine Auffälligkeiten erkennen. Sofern Sie nicht versuchen, Programmdateien von einer infizierten Diskette zu lesen oder zu kopieren, werden nur 512 oder 1024 Byte gelesen oder kopiert, selbst wenn die Datei viel länger ist. Und wenn Sie ein ausführbares Programm von einer mit einem solchen Virus infizierten Festplatte ausführen, scheint diese Festplatte wie von Zauberhand zu funktionieren (kein Wunder, da der Computer dann infiziert wird).

Bei der Analyse auf einem „sauberen“ Computer mit den Programmen ChkDsk oder NDD scheint das Dateisystem einer mit einem Dir-Virus infizierten Festplatte vollständig beschädigt zu sein. Daher erzeugt das ChkDsk-Programm eine Reihe von Meldungen über Dateiüberschneidungen („...kreuzverknüpft auf Cluster...“) und über Ketten verlorener Cluster („...verlorene Cluster gefunden in ... Ketten“). Sie sollten diese Fehler nicht mit ChkDsk- oder NDD-Programmen beheben – dies führt zu einer hoffnungslosen Beschädigung der Festplatte. Um mit diesen Viren infizierte Datenträger zu reparieren, sollten Sie nur spezielle Antivirenprogramme verwenden (z. B. die neuesten Versionen von Aidstest).

„Unsichtbar“ und

selbstmodifizierende Viren

Um die Entdeckung zu verhindern, nutzen einige Viren recht raffinierte Tarntechniken. Wir werden über zwei davon sprechen: „unsichtbare“ und sich selbst modifizierende Viren.

„Unsichtbare“ Viren. Viele residente Viren (sowohl Datei- als auch Bootviren) verhindern ihre Erkennung, indem sie DOS-Aufrufe (und damit Anwendungsprogramme) an infizierte Dateien und Festplattenbereiche abfangen und diese in ihrer ursprünglichen (nicht infizierten) Form anzeigen. Dieser Effekt wird natürlich nur auf einem infizierten Computer beobachtet – auf einem „sauberen“ Computer können Änderungen in Dateien und Bootbereichen der Festplatte leicht erkannt werden.

Beachten Sie, dass einige Antivirenprogramme „unsichtbare“ Viren sogar auf einem infizierten Computer erkennen können. So liest das ADinf-Programm der Firma Dialog-Nauka zu diesem Zweck die Festplatte, ohne DOS-Dienste zu nutzen, und das AVSP-Programm der Firma Dialog-MSU „deaktiviert“ sie für eine Weile

Virenprüfung (die letzte Methode funktioniert nicht immer).

Um Viren zu bekämpfen, nutzen einige Antivirenprogramme die Fähigkeit „unsichtbarer“ Dateiviren, infizierte Dateien zu „heilen“. Sie lesen (wenn der Virus ausgeführt wird) Informationen aus infizierten Dateien und schreiben sie in einer oder mehreren Dateien auf die Festplatte, wo diese Informationen in unverfälschter Form gespeichert werden. Nach dem Booten von einer „sauberen“ Diskette werden die ausführbaren Dateien dann in ihrer ursprünglichen Form wiederhergestellt.

Selbstmodifizierende Viren. Eine andere Methode, mit der Viren der Entdeckung entgehen, besteht darin, ihren Körper zu verändern. Viele Viren speichern den größten Teil ihres Körpers in verschlüsselter Form, so dass Disassembler nicht verwendet werden können, um den Mechanismus ihrer Funktionsweise zu verstehen. Selbstmodifizierende Viren nutzen diese Technik und ändern häufig die Parameter dieser Kodierung. Darüber hinaus ändern sie ihren Startteil, der zur Dekodierung der restlichen Befehle des Virus dient. Daher gibt es im Körper eines solchen Virus keine einzige konstante Bytekette, anhand derer der Virus identifiziert werden könnte. Dies macht es für Detektorprogramme natürlich schwierig, solche Viren zu finden.

Allerdings haben Detektorprogramme immer noch gelernt, „einfache“ selbstmodifizierende Viren abzufangen. Bei diesen Viren beziehen sich Variationen im Mechanismus zur Entschlüsselung des verschlüsselten Teils des Virus nur auf die Verwendung bestimmter Computerregister, Verschlüsselungskonstanten, das Hinzufügen „unbedeutender“ Befehle usw. Und Detektorprogramme haben sich angepasst, um Befehle im Anfangsteil des Virus zu erkennen, obwohl darin Änderungen maskiert werden. Doch in letzter Zeit sind Viren mit äußerst komplexen Selbstmodifikationsmechanismen aufgetaucht. In ihnen wird der Startteil des Virus mithilfe sehr komplexer Algorithmen automatisch generiert: Jede wichtige Anweisung des Entschlüsselers wird durch eine von Hunderttausenden möglichen Optionen übertragen, während mehr als die Hälfte aller Intel-8088-Befehle verwendet werden. Das Problem der Erkennung solcher Viren ist recht komplex und hat noch keine völlig zuverlässige Lösung gefunden. Einige Antivirenprogramme verfügen jedoch über Tools zum Auffinden solcher Viren, und der Dr. Web – auch heuristische Methoden zur Erkennung „verdächtiger“ Abschnitte des Programmcodes, die typisch für selbstmodifizierende Viren sind.

Grundlegende Methoden zum Schutz vor Computerviren

Zum Schutz vor Viren können Sie Folgendes verwenden:

– allgemeine Informationsschutztools, die auch als Versicherung gegen physische Schäden an Festplatten, fehlerhafte Programme oder fehlerhafte Benutzeraktionen nützlich sind;

– vorbeugende Maßnahmen zur Verringerung der Wahrscheinlichkeit einer Ansteckung mit dem Virus;

spezielle Programme zum Virenschutz.

Allgemeine Informationssicherheitstools sind nicht nur für den Virenschutz nützlich. Es gibt zwei Haupttypen dieser Fonds:

Informationen kopieren – Erstellen von Kopien von Dateien und Systemfestplattenbereichen;

Zugangskontrolle verhindert die unbefugte Nutzung von Informationen, insbesondere den Schutz vor Veränderungen von Programmen und Daten durch Viren, fehlerhaften Programmen und fehlerhaften Benutzerhandlungen.

Auch wenn allgemeine Informationssicherheitsmaßnahmen für den Schutz vor Viren sehr wichtig sind, reichen sie dennoch nicht aus. Außerdem ist es notwendig, spezielle Programme zum Schutz vor Viren einzusetzen. Diese Programme können in verschiedene Typen unterteilt werden: Detektoren, Ärzte (Phagen), Auditoren (Programme zur Überwachung von Änderungen in Dateien und Systembereichen von Datenträgern), Arzt-Auditoren, Filter (residente Programme zum Schutz vor Viren) und Impfstoffe (Immunisatoren). Lassen Sie uns diese Konzepte kurz definieren und sie dann im Detail betrachten.

Detektorprogramme Damit können Sie Dateien erkennen, die mit einem von mehreren bekannten Viren infiziert sind.

Arztprogramme , oder Phagen , „behandeln“ infizierte Programme oder Datenträger, indem sie den Körper des Virus aus den infizierten Programmen „herausbeißen“, d. h. Wiederherstellen des Zustands des Programms vor der Infektion mit dem Virus.

Auditor-Programme Zunächst merken sie sich Informationen über den Zustand von Programmen und Systembereichen von Festplatten und vergleichen dann deren Zustand mit dem Originalzustand. Sollten Unstimmigkeiten festgestellt werden, wird der Benutzer benachrichtigt.

Ärzte-Inspektoren – das sind Mischformen aus Wirtschaftsprüfern und Ärzten, d.h. Programme, die nicht nur Änderungen in Dateien und Systembereichen von Datenträgern erkennen, sondern diese bei Änderungen auch automatisch in den ursprünglichen Zustand zurückversetzen können.

Programme filtern befinden sich im RAM des Computers und fangen die Aufrufe an das Betriebssystem ab, die von Viren zur Reproduktion und zum Anrichten von Schäden genutzt werden, und melden sie dem Benutzer.

Impfprogramme oder Immunisierungsmittel , Programme und Datenträger so verändern, dass der Betrieb der Programme dadurch nicht beeinträchtigt wird, der Virus, gegen den die Impfung durchgeführt wird, diese Programme oder Datenträger jedoch als bereits infiziert ansieht. Diese Programme sind äußerst ineffektiv und werden nicht weiter berücksichtigt.

Detektorprogramme und Ärzte

In den meisten Fällen finden Sie bereits entwickelte Erkennungsprogramme, mit denen Sie einen Virus erkennen können, der Ihren Computer infiziert hat. Diese Programme prüfen, ob Dateien auf einem vom Benutzer angegebenen Laufwerk eine für einen bestimmten Virus spezifische Bytekombination enthalten. Wenn es in einer Datei erkannt wird, wird eine entsprechende Meldung auf dem Bildschirm angezeigt. Viele Detektoren verfügen über Modi zur Heilung oder Zerstörung infizierter Dateien.

Es sollte betont werden, dass Detektorprogramme nur Viren erkennen können, die ihnen „bekannt“ sind. Mit dem Scan-Programm von McAfee Associates und dem Aidstest von D.N. Lozinsky können Sie etwa 1000 Viren erkennen, insgesamt sind es jedoch mehr als fünftausend! Einige Detektorprogramme, zum Beispiel Norton AntiVirus oder AVSP von Dialog-MGU, können für neue Virentypen konfiguriert werden; sie müssen lediglich die diesen Viren innewohnenden Bytekombinationen angeben. Es ist jedoch unmöglich, ein Programm zu entwickeln, das bisher unbekannte Viren erkennen kann.

Die Tatsache, dass ein Programm von Detektoren nicht als infiziert erkannt wird, bedeutet also nicht, dass es fehlerfrei ist – es kann einen neuen Virus oder eine leicht veränderte Version eines alten Virus enthalten, die den Detektorprogrammen unbekannt ist.

Auditor-Programme

Auditprogramme bestehen aus zwei Arbeitsphasen. Erstens merken sie sich Informationen über den Status von Programmen und Systembereichen von Festplatten (den Bootsektor und den Sektor mit der Festplattenpartitionstabelle). Es wird davon ausgegangen, dass zu diesem Zeitpunkt Programme und Systemfestplattenbereiche nicht infiziert sind. Anschließend können Sie mit dem Auditor-Programm jederzeit den Zustand von Programmen und Systemplattenbereichen mit dem Originalzustand vergleichen. Über identifiziert

Unstimmigkeiten werden dem Benutzer gemeldet.

Viele Benutzer fügen den Befehl zum Ausführen des Prüfprogramms in die Batchdatei AUTOEXEC.BAT ein, sodass der Status von Programmen und Datenträgern bei jedem Start des Betriebssystems überprüft wird. Auf diese Weise können Sie eine Computervirusinfektion erkennen, wenn sie noch keinen großen Schaden angerichtet hat. Darüber hinaus kann dasselbe Prüfprogramm durch den Virus beschädigte Dateien finden.

Programme filtern

Einer der Gründe, warum ein solches Phänomen wie ein Computervirus möglich wurde, ist das Fehlen wirksamer Mittel im MS-DOS-Betriebssystem, um Informationen vor unbefugtem Zugriff zu schützen. Aufgrund fehlender Schutzmaßnahmen können Computerviren unbemerkt und ungestraft Programme verändern, Dateizuordnungstabellen beschädigen usw.

In diesem Zusammenhang haben verschiedene Firmen und Programmierer Filterprogramme, sogenannte residente Programme, zum Schutz vor Viren entwickelt, die diesen Mangel von DOS in gewissem Maße ausgleichen. Diese Programme befinden sich im RAM des Computers und „fangen“ jene Aufrufe an das Betriebssystem ab, die von Viren zur Reproduktion und zum Anrichten von Schaden genutzt werden. Solche „verdächtigen“ Aktionen sind insbesondere das Ändern von .COM- und .EXE-Dateien, das Entfernen des „schreibgeschützten“ Attributs aus einer Datei, das direkte Schreiben auf die Festplatte (Schreiben an eine absolute Adresse), das Formatieren der Festplatte, die Installation „residenter“ (dauerhaft im RAM befindliche) Programme.

Jedes Mal, wenn eine nicht verdächtige Aktion angefordert wird, wird auf dem Computerbildschirm eine Meldung angezeigt, die angibt, welche Aktion angefordert wird und welches Programm sie ausführen möchte. Sie können diese Aktion entweder zulassen oder ablehnen (Abbildung 1).

Einige Filterprogramme „fangen“ verdächtige Aktionen nicht ab, sondern überprüfen die von ihnen zur Ausführung aufgerufenen Programme auf Viren. Dies führt verständlicherweise dazu, dass der Computer langsamer wird.

Der durch Filterprogramme gebotene Schutzgrad sollte nicht überschätzt werden, da viele Viren, um sich zu vermehren und Schaden anzurichten, direkt auf Betriebssystemprogramme zugreifen, ohne die Standardmethode zum Aufrufen dieser Programme über Interrupts zu verwenden, und residente Programme zum Schutz nur diese Interrupts abfangen gegen Viren. Darüber hinaus helfen Filterprogramme nicht gegen eine Infektion der Festplatte durch Viren, die sich über den Bootsektor verbreiten, da eine solche Infektion beim Laden von DOS auftritt, d. h. bevor Sie Programme ausführen oder Treiber installieren.

Die Vorteile der Verwendung von Filterprogrammen sind jedoch sehr groß: Sie ermöglichen es Ihnen, viele Viren in einem sehr frühen Stadium zu erkennen, wenn der Virus noch keine Zeit hatte, sich zu vermehren und etwas zu zerstören. So können Sie Verluste durch das Virus auf ein Minimum reduzieren.

Was sie können und was nicht

Computer Virus

Aufgrund der Unkenntnis des Wirkmechanismus von Computerviren sowie unter dem Einfluss verschiedener Gerüchte und inkompetenter Veröffentlichungen in der Presse entsteht oft ein eigenartiger Angstkomplex vor Viren, der sogenannte. „Virusophobie“. Dieser Komplex hat zwei Erscheinungsformen.

1. Die Tendenz, Datenbeschädigungen oder ungewöhnliche Phänomene auf einem Computer auf Viren zurückzuführen. Beispielsweise lässt sich eine Diskette nicht formatieren; für einen „Virenphoben“ handelt es sich hierbei nicht um einen möglichen Defekt der Diskette oder des Laufwerks, sondern um die Auswirkung eines Virus. Wenn auf der Festplatte ein fehlerhafter Block auftritt, ist natürlich auch daran ein Virus schuld. Tatsächlich werden ungewöhnliche Phänomene auf einem Computer häufiger durch Benutzerfehler, Programmfehler oder Hardwaredefekte verursacht.

2. Übertriebene Vorstellungen über die Fähigkeiten von Viren. Manche Leute denken beispielsweise, dass es ausreicht, eine infizierte Diskette in das Laufwerk einzulegen, damit der Computer mit einem Virus infiziert wird. Es wird auch allgemein angenommen, dass dies bei Computern der Fall ist

Wenn Sie sich in ein Netzwerk einloggen oder einfach nur im selben Raum stehen, führt die Infektion eines Computers mit Sicherheit sofort zur Infektion des Rests.

Das beste Heilmittel gegen Virusphobie ist das Wissen darüber, wie Viren funktionieren und was sie können und was nicht. Viren sind gewöhnliche Programme und können keine übernatürlichen Aktionen ausführen.

Damit ein Computer mit einem Virus infiziert werden kann, muss darauf mindestens einmal ein Programm ausgeführt werden, das den Virus enthält. Daher kann die Erstinfektion eines Computers mit einem Virus in einem der folgenden Fälle auftreten:

– auf dem Computer wurde ein infiziertes Programm vom Typ .COM oder .EXE oder ein infiziertes Overlay-Programmmodul ausgeführt;

– Der Computer wurde von einer Diskette gestartet, die einen infizierten Bootsektor enthielt.

auf dem Computer wurde ein infiziertes Betriebssystem oder ein infizierter Gerätetreiber installiert;

Daraus folgt, dass kein Grund zur Befürchtung besteht, dass Ihr Computer mit einem Virus infiziert wird, wenn:

Texte von Programmen, Dokumenten, Informationsdateien von Datenbanken oder Tabellenprozessoren etc. werden auf den Computer kopiert. Diese Dateien sind keine Programme und können daher nicht mit einem Virus infiziert werden;

Auf einem nicht infizierten Computer werden Dateien von einer Diskette auf eine andere kopiert. Wenn der Computer „gesund“ ist, werden weder er selbst noch die kopierten Disketten mit einem Virus infiziert. Die einzige Möglichkeit, einen Virus in dieser Situation zu übertragen, besteht darin, eine infizierte Datei zu kopieren: In diesem Fall wird natürlich auch ihre Kopie „infiziert“, aber weder der Computer noch andere Dateien werden infiziert;

Mithilfe von Textverarbeitungsprogrammen, Tabellenkalkulationsprogrammen, Datenbankverwaltungssystemen und anderen Programmen, die auf der Festplatte eines nicht infizierten Computers verfügbar sind, werden auf Disketten enthaltene Informationsdateien verarbeitet.

Zu ergreifende Maßnahmen bei einer Infektion mit einem Virus

Wenn Ihr Computer mit einem Virus infiziert ist (oder Sie einen solchen vermuten), ist es wichtig, vier Regeln zu befolgen.

Zunächst einmal besteht kein Grund zur Eile und zu vorschnellen Entscheidungen – unüberlegte Maßnahmen können nicht nur zum Verlust einiger wiederherstellbarer Dateien, sondern auch zu einer erneuten Infektion des Computers führen.

2. Eine Aktion muss sofort ausgeführt werden: Sie müssen den Computer ausschalten, damit der Virus seine zerstörerischen Aktionen nicht fortsetzt.

3. Alle Maßnahmen zur Erkennung der Art der Infektion und zur Behandlung des Computers sollten nur durchgeführt werden, wenn der Computer von einer schreibgeschützten „Referenz“-Diskette mit dem Betriebssystem gestartet wird. In diesem Fall sollten Sie nur Programme (ausführbare Dateien) verwenden, die auf schreibgeschützten Disketten gespeichert sind. Die Nichtbeachtung dieser Regel kann sehr schwerwiegende Folgen haben, da beim Laden von DOS oder beim Ausführen eines Programms von einer infizierten Festplatte ein Virus auf dem Computer aktiviert werden kann und wenn der Virus ausgeführt wird, ist die Behandlung des Computers sinnlos, weil Dies wird mit einer weiteren Infektion von Festplatten und Programmen einhergehen.

4. Wenn ein residentes Filterprogramm zum Schutz vor einem Virus verwendet wird, kann das Vorhandensein eines Virus in einem Programm in einem sehr frühen Stadium erkannt werden, wenn der Virus noch keine Zeit hatte, andere Programme zu infizieren und Dateien zu beschädigen. In diesem Fall sollten Sie DOS von der Diskette neu starten und das infizierte Programm löschen und dieses Programm dann von der Referenzdiskette neu schreiben oder es aus dem Archiv wiederherstellen. Um herauszufinden, ob der Virus andere Dateien beschädigt hat, sollten Sie ein Prüfprogramm ausführen, um nach Änderungen in den Dateien zu suchen, vorzugsweise mit einer breiten Liste zu scannender Dateien. Um zu vermeiden, dass Ihr Computer während des Scanvorgangs weiterhin infiziert wird, sollten Sie die ausführbare Datei des Prüfprogramms ausführen, die sich auf der Diskette befindet.

Computerbehandlung. Wenn es einem Virus bereits gelungen ist, einige Dateien auf den Festplatten Ihres Computers zu infizieren oder zu beschädigen, müssen Sie die folgenden Schritte ausführen.

Starten Sie das DOS-Betriebssystem mit einer zuvor vorbereiteten Referenzdiskette neu. Diese Diskette muss wie andere Disketten, die zur Computervirenwiederherstellung verwendet werden, mit einem Schreibschutzetikett versehen sein, um zu verhindern, dass der Virus die Dateien auf der Diskette infiziert oder beschädigt. Beachten Sie, dass ein Neustart nicht über die Tastenkombination durchgeführt werden sollte Strg+Alt+Entf, Weil Einige Viren schaffen es, einen solchen Neustart zu „überleben“.

Wenn Ihr Computer über ein Konfigurationsprogramm verfügt (es wird aufgerufen, wenn Sie beim Hochfahren des Computers eine bestimmte Tastenkombination drücken), sollten Sie dieses Programm ausführen und prüfen, ob die Konfigurationseinstellungen des Computers korrekt eingestellt sind, denn Sie können durch einen Virus beschädigt sein. Wenn sie falsch installiert sind, müssen sie neu installiert werden.

Wenn es Erkennungsprogramme zur Erkennung des Virus gibt, der Ihren Computer infiziert, sollten Sie diese Programme ausführen, um die Festplatten des Computers zu scannen. Um das benötigte Programm zu finden, können Sie vorhandene Detektorprogramme einzeln ausführen, um die infizierte Festplatte zu scannen (es ist besser, nicht die Modi von Detektorprogrammen zu verwenden, in denen infizierte Dateien ohne Bestätigung desinfiziert oder gelöscht werden). Erstens ist es sinnvoll, Programme auszuführen, die mehrere Viren gleichzeitig erkennen, zum Beispiel Scan oder Aidstest. Wenn eines der Erkennungsprogramme meldet, dass es einen Virus gefunden hat, sollte es wie unten beschrieben zur Beseitigung der Folgen einer Computerinfektion mit einem Virus eingesetzt werden. Es ist jedoch zu beachten, dass Computer sehr oft mit mehreren Viren gleichzeitig infiziert sind. Wenn Sie also einen Virus entdeckt haben, sollten Sie sich nicht beruhigen, da sich möglicherweise ein zweiter oder dritter Virus auf dem Computer befindet.

Als nächstes sollten Sie nacheinander alle Festplatten neutralisieren, die mit einem Virus infiziert sein könnten, wie unten beschrieben. Beachten Sie, dass, wenn die Festplatte eines Computers in mehrere logische Laufwerke unterteilt ist, beim Booten von einer Diskette nur auf ein logisches Laufwerk zugegriffen werden kann – das, von dem das DOS-Betriebssystem geladen wird. In diesem Fall sollten Sie zunächst das logische Laufwerk neutralisieren, von dem DOS bootet, und dann von der Festplatte booten und die anderen logischen Laufwerke neutralisieren.

Bandscheibenbehandlung. Wenn auf dem Datenträger archivierte Kopien aller benötigten Dateien vorhanden sind, ist es am einfachsten, den Datenträger neu zu formatieren und dann alle Dateien auf diesem Datenträger mithilfe der archivierten Kopien wiederherzustellen. Nehmen wir nun an, dass die Festplatte die erforderlichen Dateien enthält, von denen sich Kopien nicht im Archiv befinden. Der Sicherheit halber gehen wir davon aus, dass sich dieser Datenträger auf dem Laufwerk (B:) befindet. Sie müssen Folgendes tun:

Führen Sie ein Erkennungsprogramm für die Festplatte aus, das den Virus erkennt, mit dem der Computer infiziert ist (wenn nicht klar ist, welcher Detektor den Virus erkennt, sollten Sie die Erkennungsprogramme nacheinander ausführen, bis eines davon den Virus erkennt). In diesem Fall ist es besser, kein Behandlungsschema festzulegen.

Wenn das Erkennungsprogramm einen Boot-Virus entdeckt hat, können Sie dessen Behandlungsmodus bedenkenlos verwenden, um den Virus zu beseitigen. Wenn ein Virus wie Dir entdeckt wird, muss dieser ebenfalls mit dem einen oder anderen Antivirenprogramm entfernt werden und auf keinen Fall mit Programmen wie NDD und ChkDsk.

Da Sie nun wissen, dass sich auf der Festplatte keine Viren vom Typ Dir befinden, können Sie die Integrität des Dateisystems und der Oberfläche überprüfen

Festplatte mit dem NDD-Programm: NDD B: C. Wenn der Schaden am Dateisystem erheblich ist, empfiehlt es sich, alle erforderlichen Dateien von der Festplatte, von denen sich keine Kopien im Archiv befinden, auf Disketten zu kopieren und neu zu formatieren Scheibe. Wenn die Festplatte eine komplexe Dateistruktur aufweist, können Sie versuchen, diese mit dem Programm DiskEdit von Norton Utilites zu korrigieren.

Wenn Informationen zu den Dateien auf der Festplatte für das Prüfprogramm gespeichert sind, ist es sinnvoll, das Prüfprogramm auszuführen, um Änderungen in den Dateien zu diagnostizieren. Dadurch können Sie feststellen, welche Dateien vom Virus infiziert oder beschädigt wurden. Wenn das Prüfprogramm auch die Funktion eines Arztes übernimmt, können Sie darauf vertrauen, dass es beschädigte Dateien wiederherstellt.

Löschen Sie alle unnötigen Dateien von der Festplatte sowie Dateien, deren Kopien sich im Archiv befinden. Dateien, die nicht durch den Virus verändert wurden (dies kann mit einem Prüfprogramm installiert werden), müssen nicht gelöscht werden.

Unter keinen Umständen sollten Sie .COM- und .EXE-Dateien auf der Festplatte belassen, für die das Prüfprogramm eine Änderung meldet. .COM- und .EXE-Dateien, bei denen nicht bekannt ist, ob sie durch einen Virus verändert wurden oder nicht, sollten nur dann auf der Festplatte belassen werden, wenn dies unbedingt erforderlich ist.

Wenn es sich bei der Festplatte, die Sie verarbeiten, um eine Systemfestplatte handelt (d. h. Sie können das DOS-Betriebssystem von ihr booten), sollten Sie den Bootsektor und die Betriebssystemdateien neu darauf schreiben. Dies kann mit dem SYS-Befehl erfolgen.

Wenn Ihr Computer mit einem Dateivirus infiziert ist und Sie keine Behandlung mit Hilfe eines Arztinspektors durchgeführt haben, sollten Sie ein Arztprogramm zur Behandlung dieser Festplatte ausführen. Infizierte Dateien, die das Arztprogramm nicht wiederherstellen konnte, sollten vernichtet werden. Natürlich, wenn

Verwandte Abstracts.

Computer Virus ist ein speziell geschriebenes, kleines Programm (d. h. ein bestimmter Satz ausführbaren Codes), das sich anderen Programmen „zuordnen“ („infizieren“), Kopien von sich selbst erstellen und diese in Dateien und Systembereiche des Computers einschleusen kann usw. .d. und führen auch verschiedene unerwünschte Aktionen auf dem Computer aus.

Es gibt Netzwerkviren – bösartige Softwareprodukte, die sich selbstständig im Netzwerk vermehren und verbreiten. Sie können sich sowohl auf Netzwerk- und Systeminformationen als auch auf Benutzerinformationen auswirken.

Computerviren verdanken ihren Namen einer gewissen Ähnlichkeit mit „biologischen“ Viren in Bezug auf:

Selbstreproduktionsfähigkeiten;

Hohe Ausbreitungsgeschwindigkeit;

Selektivität betroffener Systeme (jeder Virus befällt nur bestimmte Systeme oder homogene Systemgruppen);

Fähigkeit, nicht infizierte Systeme zu „infizieren“;

Schwierigkeiten bei der Bekämpfung von Viren etc.

Der bekannteste Fall einer Masseninfektion von Internet-Computern mit schwerwiegenden Folgen ist der Notfallvorfall vom 2. November 1988, bei dem Tausende von Computern durch die Verbreitung des Morris-Virus (WORM) praktisch lahmgelegt wurden komplexes 60-Kilobyte-Programm, geschrieben in C-Sprache. Das Programm funktionierte auf verschiedenen, wenn auch ähnlichen Betriebssystemen: BSD-Unix, VAX, SunOS. Nachdem sich der Virus auf einem Computer „festgesetzt“ hatte, versuchte er, alle anderen mit diesem Computer verbundenen PCs zu infizieren. Zunächst wurde versucht, das nächste Opfer zu entdecken, indem versucht wurde, über Telnet-, SMTP- oder Rexec-Dienste eine Verbindung herzustellen. Wenn am anderen Ende der Verbindung ein Computer erkannt wurde, versuchte der Virus, ihn auf eine von drei Arten zu infizieren. Im Falle einer vertrauensvollen Beziehung zwischen einem bereits infizierten Computer und einem neuen Opfer erfolgte die Infektion mithilfe von Standardbefehlen des Bourne rch-Befehlsprozessors. In Ermangelung solcher Beziehungen erfolgte die Infektion mithilfe der Dienstprogramme fingerd oder sendmail. Bei der Infektion mit dem Dienstprogramm fingerd wurden 536 Byte Daten in den Eingabepuffer dieses Dienstprogramms geschrieben. Als der Puffer überlief, entsprach der Rückkehrcode des Dienstprogramms der Anweisung zur Ausführung des Virencodes. Um mit dem Befehl sendmail zu infizieren, wurde die Debug-Option dieses Befehls verwendet, die zum Debuggen gedacht ist. Mit seiner Hilfe wurden Befehle in den Computer des Opfers eingegeben, die dazu führten, dass der Virus auf den PC kopiert wurde. Nachdem der Virus in den Computer des Opfers eingedrungen war, fand er die Unix-Passwortdatei und versuchte, die Passwörter der privilegierten Benutzer des Computers zu erraten. Der Virus enthielt mehrere Algorithmen zur Passwortaufteilung. Einer von ihnen versuchte, ein Passwort mithilfe verschiedener Ableitungen von Benutzernamen zu erraten, ein anderer hatte eine integrierte Tabelle mit den 432 häufigsten Passwörtern und der dritte versuchte, ein Passwort mithilfe einer Brute-Force-Methode zu erraten. Um den Prozess der Passwortaufteilung zu beschleunigen, startete der Virus mehrere parallele Prozesse. Nachdem der Virus die Passwörter aller Benutzer erhalten hatte, versuchte er, damit die folgenden Computer zu kapern. In der kurzen Zeit seines Bestehens (nicht mehr als einen Tag) vermehrte sich der Virus auf unbestimmte Zeit und legte mit seiner Arbeit die meisten großen Computersysteme in den Vereinigten Staaten lahm, die mit dem Internet verbunden waren.

Am 16. Oktober 1999 erschien im Internet eine Meldung über einen Angriff des Netzwerkwurms W.COM auf das SPAN-Netzwerk von VAX/VMS-Systemen. Dieser Virus betraf nur DEC VMS-Betriebssysteme und verbreitete sich über Netzwerke, die Protokolle der DECnet-Familie verwenden. TCP/IP-Netzwerke waren nicht infektionsgefährdet, könnten aber als Transportmedium für die Ausbreitung des Virus dienen, wenn gekapselte DECnet-Pakete über TCP/IP-Netzwerke übertragen würden.

Der W.COM-Wurm modifizierte ausführbare Dateien, indem er ihnen seinen eigenen Code hinzufügte, was dazu führte, dass Bedrohungen für Atomwaffenentwickler auf dem Bildschirm angezeigt wurden. Um sich zu reproduzieren, durchsuchte der Wurm das Netzwerk nach Benutzern ohne Passwort oder mit einem Passwort, das mit dem Benutzernamen übereinstimmte. Wenn ein solcher Benutzer gefunden wurde, startete der Wurm in seinem Namen und veränderte neue Dateien. Die schlimmsten Folgen traten auf, wenn der Wurm als privilegierter Benutzer ausgeführt wurde. In diesem Fall hat er neue Benutzer erstellt und die Passwörter bestehender Benutzer geändert, also die Voraussetzungen für seine zukünftige Initialisierung geschaffen. Das Eindringen in andere Systeme erfolgte durch zufälliges Durchsuchen von Netzwerkadressen und Zugriff auf entfernte Systeme im Namen aktiver Benutzer.

Viren im Internet werden oft als ZIP- oder anderweitig komprimierte Dateien getarnt. Ein bezeichnender Fall ereignete sich im Jahr 1995, als die Dateien pkz300B.exe oder pkz300B.zip abgeschrieben werden konnten. Beim Starten oder Entpacken wurden selbsterweiternde Archive aktiviert, was zu einer Neuformatierung der Festplatte führte.

Im Jahr 1999 tauchte ein Makrovirus auf, der die Schlüssel des PGP-Verschlüsselungssystems stahl. Es gehört zu einer Klasse, die manche Experten als Spyware-Viren bezeichnen. Diese Viren werden mit dem Ziel erstellt, Informationen zu stehlen, die auf den Computern anderer Personen gespeichert sind. Caligula gelangt zusammen mit einem infizierten Dokument im Microsoft Word-Format auf den PC. Auf einem neuen PC überprüft dieser Makrovirus, ob eine Kopie der PGP-Software darauf installiert ist. Bei erfolgreicher Erkennung eines solchen Systems werden die geheimen Schlüssel der darin verwendeten Chiffren – die wichtigste Komponente aus Sicht der Sicherheit der mit dem PGP-Algorithmus verschlüsselten Daten – auf einen der FTP-Server im Internet kopiert .

Das Soubig-Virus kann aus dem Englischen mit „so groß“ übersetzt werden; es trat erstmals am 18. August 2003 auf. Soubig stellt eine neue Generation von Superviren dar und ist gefährlich, weil es eine unglaubliche Fähigkeit besitzt, sich zu verbreiten und selbst zu reproduzieren. Besonders gefährlich ist seine Version von Soubig – Eph. Das Ziel des Virus besteht darin, E-Mails zu infizieren. Seine Besonderheit besteht darin, dass es den Inhalt der Texte elektronischer Nachrichten verändern und jeden einzelnen Computer per E-Mail mit Hunderten verschiedener Nachrichten angreifen kann.

Im Jahr 2005 war einer der aktiven Viren der Wurm W32.Codbot.AL. Dieser Virus verbreitet sich, indem er bekannte Schwachstellen in den SQL Server LSASS- und RPC-DCOM-Prozessen ausnutzt. Um sich auf einem Computer zu installieren, registriert es sich als Systemprozess, der bei jedem Systemstart ausgeführt wird. Während der Ausführung stellt es eine Verbindung zu verschiedenen IRC-Servern her und wartet auf Befehle. Der Virus kann alle Arten von Befehlen empfangen, z. B. Computerinformationen sammeln, Tastatureingaben aufzeichnen, FTP-Dienste aktivieren und sogar andere Schadprogramme herunterladen und ausführen.

Der zweite Wurm, W32.Semapi.A, wird per E-Mail in einer Nachricht mit unterschiedlichen Headern, Absendern und anderen Eigenschaften sowie als Anhang mit unterschiedlichem Namen und Erweiterung verteilt. Wenn sich ein Wurm auf einem Computer installiert, kopiert er mehrere Dateien auf die Festplatte und erstellt eine Reihe von Registrierungseinträgen, um sicherzustellen, dass er jedes Mal ausgeführt wird, wenn der Computer eingeschaltet wird. Anschließend sucht es in allen Dateien mit bestimmten Erweiterungen auf dem betroffenen Computer nach E-Mail-Adressen und sendet Kopien von sich selbst an diese.

Der Trojaner Banker.XP versucht, vertrauliche Daten wie Passwörter für den Zugriff auf verschiedene Dienste auf dem infizierten Computer abzugreifen. Sobald er sie erhalten hat, stellt er sie zusammen und sendet sie an den Hacker.

Im Juni 2005 gab Kaspersky Lab die Registrierung des ersten Schadprogramms bekannt, das das bekannte Automatisierungssystem 1C: Enterprise befällt. Dieses Virus heißt Tanga.

Tanga verbreitet sich im 1C: Enterprise 7.7-System, indem es Benutzerdateien infiziert, die für externe Berichte verantwortlich sind und die Erweiterung „ERT“ haben. Die Methode, Tanga in infizierte Dateien zu platzieren, ähnelt in vielerlei Hinsicht Makroviren, die Dokumente und Tabellen im Microsoft Office-Softwarepaket infizieren. Schädliche Module befinden sich in einem speziellen Datenblock und werden aktiviert, wenn eine Berichtsdatei geöffnet wird. Für den Betrieb verwendet der Virus eine spezielle Bibliothek „Compound.dll“. Wenn diese Datei im System fehlt, wird der Virus nicht ausgeführt.

Es sei darauf hingewiesen, dass der Autor dieser Version von Tanga Verständnis für die Komplexität der Arbeit von Antiviren-Experten zeigte und alles tat, um den Zeitaufwand für die Codeanalyse und den Schaden durch seine mögliche Verbreitung zu minimieren. Zu diesem Zweck hat der Ersteller des Virus ihm jegliche destruktive Funktion entzogen, sodass das Programm auch im Falle einer Infektion sicher ist.

Computerviren können nach folgenden Kriterien klassifiziert werden:

− je nach Lebensraum des Virus:

· Netzwerk;

· Datei;

· Stiefel;

− nach Infektionsmethode:

· Bewohner;

· nicht ansässige;

− nach Zerstörungsfähigkeit:

· harmlos;

· ungefährlich;

· gefährlich;

· sehr gefährlich;

− entsprechend den Merkmalen des Virenalgorithmus.

Volltextsuche:

Startseite > Test >Informatik

Ministerium für Bildung und Wissenschaft der Russischen Föderation

Russische Handels- und Wirtschaftsuniversität

Kasaner Institut (Zweigstelle)

Fachbereich Mathematik und Höhere Mathematik

Test Nr. 1

Disziplin: „Informatik“

COMPUTER VIRUS

Durchgeführt:

Fernstudent im ersten Jahr

Sonderabteilungen Fakultät

Gruppe „Finanzen und Kredit“.

Geprüft:

Kasan, 2007

PLANEN

Einführung

Das Wesen und die Erscheinungsform von Computerviren

Haupttypen und Arten von Computerviren

Wie verbreiten sich Viren?

Erkennung von Computerviren

5. Vorbeugende Maßnahmen gegen Viren

Abschluss

Literaturverzeichnis

Einführung

Computer Virus– ein speziell entwickeltes Programm, das bestimmte Aktionen ausführen soll, die die Arbeit am Computer beeinträchtigen. Viele Virenprogramme sind harmlos, aber leider sind nicht alle völlig harmlos. Erstens belegen sie Speicherplatz im RAM und auf der Festplatte. Zweitens können sie Fehler enthalten, die zu Systemabstürzen und Neustarts führen können. Wenn der Virus also recht harmlos ist, sollten Sie ihn trotzdem loswerden.

Derzeit gibt es verschiedene Arten und Arten von Viren. Die Haupttypen von Computerviren sind: Softwareviren, Bootviren und Makroviren. Derzeit sind mehr als 5.000 Arten von Softwareviren bekannt, die nach folgenden Merkmalen klassifiziert werden können: Lebensraum; Art der Infektion des Lebensraums; Auswirkung; Merkmale des Algorithmus.

Die Hauptwege, über die Viren in einen Computer gelangen, sind Wechseldatenträger (Diskette und Laser) sowie Computernetzwerke. Ihre Festplatte kann mit Viren infiziert werden, wenn Sie Ihren Computer von einer Diskette starten, die einen Virus enthält. Eine solche Infektion kann auch versehentlich erfolgen, beispielsweise wenn die Diskette nicht aus Laufwerk A: entfernt und der Computer neu gestartet wurde, obwohl es sich bei der Diskette möglicherweise nicht um die Systemdiskette handelt. Es ist viel einfacher, eine Diskette zu infizieren. Ein Virus kann schon dann darauf gelangen, wenn die Diskette einfach in das Laufwerk eines infizierten Computers eingelegt und beispielsweise deren Inhaltsverzeichnis ausgelesen wird. Am häufigsten werden Viren jedoch über ein Computernetzwerk und insbesondere über das Internet verbreitet, wenn andere Programme, beispielsweise Spiele, neu geschrieben und gestartet werden. Es kann weitere, eher seltene Fälle geben, in denen eine andere Festplatte in den Computer eingesetzt wird, die infiziert wurde. Um dies zu vermeiden, booten Sie von der Systemdiskette und scannen Sie die Festplatte entweder mit speziellen Antivirenprogrammen oder, noch besser, partitionieren und formatieren Sie die Festplatte mit den Programmen Fdisk und Format.

Zur Erkennung von Viren gibt es spezielle Antivirenprogramme, die Viren erkennen und zerstören können. Es gibt eine ziemlich große Auswahl an Antivirenprogrammen. Dies sind Aidstest (Lozinsky), Dr. Web, Norton Antivirus für Windows, DSAV-Kit und andere.

Das Wesen und die Erscheinungsform von Computerviren

Es stellte sich leider heraus, dass die weit verbreitete Nutzung von Personalcomputern mit der Entstehung selbstreproduzierender Virenprogramme verbunden war, die den normalen Betrieb des Computers störten, die Dateistruktur von Datenträgern zerstörten und die auf dem Computer gespeicherten Informationen beschädigten. Sobald ein Computervirus in einen Computer eindringt, kann er sich auf andere Computer ausbreiten.

Die Gründe für die Entstehung und Verbreitung von Computerviren liegen einerseits in der Psychologie der menschlichen Persönlichkeit und ihren Schattenseiten (Neid, Rache, Eitelkeit unerkannter Schöpfer), andererseits in deren Mangel Hardwareschutz und Gegenmaßnahmen durch das Betriebssystem eines Personalcomputers.

Trotz der in vielen Ländern verabschiedeten Gesetze zur Bekämpfung von Computerkriminalität und der Entwicklung spezieller Antivirensoftware nimmt die Zahl neuer Softwareviren ständig zu. Dies setzt voraus, dass der Benutzer eines Personalcomputers über Kenntnisse über die Natur von Viren, die Infektionsmethoden durch Viren und den Schutz davor verfügt.

Die Hauptwege, über die Viren in einen Computer gelangen, sind Wechseldatenträger (Diskette und Laser) sowie Computernetzwerke. Ihre Festplatte kann mit Viren infiziert werden, wenn Sie Ihren Computer von einer Diskette starten, die einen Virus enthält. Eine solche Infektion kann auch versehentlich erfolgen, beispielsweise wenn die Diskette nicht aus Laufwerk A: entfernt und der Computer neu gestartet wurde, obwohl es sich bei der Diskette möglicherweise nicht um die Systemdiskette handelt. Es ist viel einfacher, eine Diskette zu infizieren. Ein Virus kann schon dann darauf gelangen, wenn die Diskette einfach in das Laufwerk eines infizierten Computers eingelegt und beispielsweise deren Inhaltsverzeichnis ausgelesen wird.

Wenn Ihr Computer mit einem Virus infiziert ist, ist es sehr wichtig, ihn umgehend zu erkennen. Dazu sollten Sie die wichtigsten Anzeichen von Viren kennen. Diese beinhalten:

Betriebsabbruch oder fehlerhafte Bedienung zuvor erfolgreich funktionierender Programme;

langsame Computerleistung;

Unfähigkeit, das Betriebssystem zu laden;

Verschwinden von Dateien und Verzeichnissen oder Beschädigung ihres Inhalts;

Ändern des Datums und der Uhrzeit der Dateiänderung;

Größenänderung von Dateien;

unerwarteter erheblicher Anstieg der Anzahl der Dateien auf der Festplatte;

eine deutliche Reduzierung der Größe des freien RAM;

Anzeige unerwarteter Nachrichten oder Bilder4

unerwartete Tonsignale geben;

Häufiges Einfrieren und Abstürze des Computers.

Aufgrund all dieser Anzeichen lässt sich jedoch nicht mit Sicherheit sagen, dass ein Virus in den Computer eingedrungen ist. Da es sich um andere Fehlfunktionen handeln kann, liegt deren Ursache in einer Fehlfunktion oder mangelnden Fehlerbehebung des Systems. Beispielsweise werden auf einem gekauften Computer beim Starten anstelle russischer Symbole unverständliche Symbole angezeigt, die Sie zum ersten Mal sehen. Der Grund dafür kann sein, dass der kyrillische Treiber für die Anzeige nicht installiert ist. Der gleiche Grund – das Fehlen eines Treibers für den Drucker – könnte auch das seltsame Verhalten des Druckers erklären. Systemausfälle können durch einen fehlerhaften Mikrokreis in der Systemeinheit oder in der Kabelverbindung verursacht werden.

Haupttypen und Arten von Computerviren

Die wichtigsten Arten von Computerviren sind:

Softwareviren;

Boot-Viren;

Makroviren.

Zu den Computerviren zählen auch die sogenannten Trojaner

Pferde (Trojanerprogramme, Trojaner).

Softwareviren.

Softwareviren sind Programmcodeblöcke, die gezielt in andere Anwendungsprogramme eingebettet werden. Wenn Sie ein Programm ausführen, das einen Virus enthält, wird der darin implantierte Virencode gestartet.

Die Ausführung dieses Codes führt zu für den Benutzer verborgenen Änderungen im Dateisystem von Festplatten und/oder im Inhalt anderer Programme. Beispielsweise kann sich Virencode im Körper anderer Programme reproduzieren – dieser Vorgang wird aufgerufen Reproduktion. Nach einer gewissen Zeit, nachdem eine ausreichende Anzahl von Kopien erstellt wurde, kann ein Softwarevirus destruktive Aktionen ausführen: den Betrieb von Programmen und dem Betriebssystem stören und auf der Festplatte gespeicherte Informationen löschen. Dieser Vorgang wird aufgerufen Virenbefall.

Die zerstörerischsten Viren können die Formatierung von Festplatten veranlassen. Da das Formatieren einer Festplatte ein ziemlich langwieriger Vorgang ist, der vom Benutzer nicht unbemerkt bleiben sollte, beschränken sich Softwareviren in vielen Fällen darauf, Daten nur in den Systemsektoren der Festplatte zu vermehren, was einem Verlust von Dateisystemtabellen gleichkommt. In diesem Fall bleiben die Daten auf der Festplatte unangetastet, können jedoch nicht ohne den Einsatz spezieller Tools verwendet werden, da nicht bekannt ist, welche Sektoren der Festplatte zu welchen Dateien gehören. Theoretisch ist in diesem Fall eine Datenwiederherstellung möglich, allerdings kann der Arbeitsaufwand dieser Arbeiten extrem hoch sein.

Man geht davon aus, dass kein Virus die Computerhardware beschädigen kann. Es kann jedoch vorkommen, dass Hardware und Software so eng miteinander verbunden sind, dass eine Beschädigung der Software durch den Austausch der Hardware behoben werden muss. Beispielsweise ist bei den meisten modernen Motherboards das grundlegende Eingabe-/Ausgabesystem (BIOS) in wiederbeschreibbaren Nur-Lese-Speichergeräten (den sogenannten Flash-Speicher).

Die Fähigkeit, Informationen in einem Flash-Speicherchip zu überschreiben, wird von einigen Softwareviren genutzt, um BIOS-Daten zu zerstören.

In diesem Fall ist es zur Wiederherstellung der Funktionalität des Computers erforderlich, entweder den Chip, auf dem das BIOS gespeichert ist, auszutauschen oder ihn mithilfe einer speziellen Software neu zu programmieren.

Softwareviren dringen in den Computer ein, wenn sie ungeprüfte Programme ausführen, die sie auf externen Medien (Diskette, CD usw.) oder aus dem Internet empfangen haben. Besonderes Augenmerk sollte auf die Worte gelegt werden am Anfang. Wenn Sie infizierte Dateien einfach kopieren, kann Ihr Computer nicht infiziert werden. In diesem Zusammenhang müssen alle aus dem Internet empfangenen Daten einer obligatorischen Überprüfung unterzogen werden

Aus Sicherheitsgründen sollten Daten, die unaufgefordert von einer unbekannten Quelle eingehen, ohne Prüfung vernichtet werden. Eine gängige Methode zur Verbreitung von Trojanern ist der Anhang einer E-Mail mit einer „Empfehlung“, das vermeintlich nützliche Programm zu extrahieren und auszuführen.

Bootviren.

Bootviren unterscheiden sich von Softwareviren in der Art und Weise, wie sie sich verbreiten. Sie greifen keine Programmdateien an, sondern bestimmte Systembereiche magnetischer Datenträger (Disketten und Festplatten). Darüber hinaus können sie beim Einschalten des Computers vorübergehend im RAM liegen.

Typischerweise tritt eine Infektion auf, wenn ein Computer von einem magnetischen Medium startet, dessen Systembereich einen Boot-Virus enthält. Wenn Sie beispielsweise versuchen, einen Computer von einer Diskette zu starten, dringt der Virus zunächst in den Arbeitsspeicher und dann in den Bootsektor der Festplatte ein. Dann wird dieser Computer selbst zur Verbreitungsquelle des Bootvirus.

Makroviren.

Dieser spezielle Virustyp infiziert Dokumente, die in bestimmten Anwendungsprogrammen ausgeführt werden. Die Mittel haben, das sogenannte durchzuführen Makrobefehle Zu diesen Dokumenten gehören insbesondere Microsoft Word-Textverarbeitungsdokumente (sie haben die Erweiterung

Dok.). Eine Infektion tritt auf, wenn eine Dokumentdatei in einem Programmfenster geöffnet wird, es sei denn, die Möglichkeit zur Ausführung von Makrobefehlen ist im Programm deaktiviert.

Wie bei anderen Arten von Viren kann das Ergebnis eines Angriffs von relativ harmlos bis zerstörerisch reichen.

Haupttypen von Computerviren.

Derzeit sind mehr als 5.000 Softwareviren bekannt, die nach folgenden Kriterien klassifiziert werden können (Abb. 1):

Lebensraum;

Art der Kontamination des Lebensraums;

beeinflussen;

Merkmale des Algorithmus.

Abb.1 Klassifizierung von Computerviren:

a – nach Lebensraum; b – nach Infektionsmethode;

c – je nach Grad der Auswirkung; d – entsprechend den Merkmalen der Algorithmen.

Abhängig von Lebensraum Viren können in Netzwerk-, Datei-, Boot- und File-Boot-Viren unterteilt werden.

Netzwerkvirenüber verschiedene Computernetzwerke verteilt.

Dateiviren sind hauptsächlich in ausführbare Module eingebettet, d.h. auf Dateien mit COM- und EXE-Erweiterungen. Dateiviren können in andere Dateitypen eingebettet werden, aber wenn sie einmal in solche Dateien geschrieben wurden, erlangen sie in der Regel nie die Kontrolle und verlieren daher die Fähigkeit zur Reproduktion.

Bootviren sind in den Bootsektor der Festplatte (Boot) oder in den Sektor eingebettet, der das Bootprogramm der Systemfestplatte enthält (Master Boot Record).

Dateibootviren infizieren sowohl Dateien als auch Bootsektoren von Festplatten.

Durch die Infektionsmethode Viren werden in residente und nicht residente Viren unterteilt.

Residenter Virus Bei der Infektion eines Computers belässt es seinen residenten Teil im RAM, der dann den Zugriff des Betriebssystems auf infizierte Objekte (Dateien, Bootsektoren usw.) abfängt und sich in diese einschleust. Residente Viren verbleiben im Speicher und sind aktiv, bis der Computer ausgeschaltet oder neu gestartet wird.

Nicht residente Viren infizieren den Speicher des Computers nicht und sind nur für eine begrenzte Zeit aktiv.

Nach Grad der Wirkung Viren können in folgende Typen unterteilt werden:

harmlos, Da sie den Betrieb des Computers nicht beeinträchtigen, aber die Menge an freiem RAM und Festplattenspeicher verringern, äußern sich die Aktionen solcher Viren in einigen Grafik- oder Soundeffekten.

gefährlich Viren, die zu verschiedenen Problemen mit Ihrem Computer führen können;

sehr gefährlich, deren Auswirkungen zum Verlust von Programmen, zur Zerstörung von Daten und zum Löschen von Informationen in Systembereichen der Festplatte führen können.

Wie verbreiten sich Viren?

Es gibt mehrere Möglichkeiten, vor allem über Disketten. Wenn Sie eine Diskette von einem Freund erhalten haben, der einen Virus auf seinem Computer hat, ist die Diskette höchstwahrscheinlich infiziert. Hier gibt es zwei mögliche Optionen. Das erste ist, dass sich der Virus im Systembereich der Festplatte befindet, und das zweite ist, dass eine oder mehrere infizierte Dateien vorhanden sind. Wie bereits erwähnt, muss der Virus die Kontrolle erlangen. Wenn es sich also um eine Systemdiskette handelt, können Sie beim Booten von dieser den Computer infizieren. Wenn es sich um eine Systemdiskette handelt und Sie versucht haben, den Computer von dieser zu starten, und die Meldung: Nicht-Systemdiskette (Nicht-Systemdiskette) auf dem Bildschirm angezeigt wird, könnten Sie in diesem Fall Ihren Computer infizieren, da jede Diskette über eine Diskette verfügt Betriebssystem-Loader und wenn Sie es einschalten, erhält es die Kontrolle.

Die zweite Option sind infizierte Dateien. Nicht alle Dateien können infiziert sein. Wenn also beispielsweise der Text eines Briefes oder eines anderen Dokuments mit dem Norton Commander-Editor eingegeben wurde, befindet sich dort kein Virus. Selbst wenn es zufällig dort gelandet ist, können Sie nach dem Betrachten der Datei mit demselben Editor oder einem ähnlichen Editor ganz am Anfang oder am Ende einer solchen Datei unverständliche Zeichen sehen, die besser vernichtet werden sollten. Andere Editoren erstellen Dateien, die Steuerinformationen wie Schriftgröße oder -typ, Einzüge, verschiedene Konvertierungstabellen usw. enthalten. Eine Ansteckung über eine solche Datei ist in der Regel nahezu ausgeschlossen. Allerdings verfügen die Word-Editor-Versionen 6.0 und 7.0 über die Möglichkeit, Makrobefehle ganz am Anfang des Dokuments zu enthalten, auf die die Kontrolle übertragen wird, und so kann sich ein Virus über Dokumente verbreiten.

Weitere Verbreitungswege von Viren sind die Übertragung auf andere Speichermedien, beispielsweise auf CD-ROM-Laufwerke, was recht selten vorkommt. Beim Kauf einer lizenzierten Software kam es vor, dass diese mit einem Virus infiziert war, aber solche Fälle sind äußerst selten.

Die Besonderheit von CD-ROM-Datenträgern besteht darin, dass keine Informationen darauf geschrieben werden. Wenn sich eine virenfreie CD-ROM in einem infizierten Computer befindet, wird dieser nicht infiziert. Wenn es jedoch mit einem Virus infizierte Informationen enthält, ist kein Antivirenprogramm in der Lage, die Festplatte von Viren zu befreien.

Die häufigste Art der Verbreitung von Viren erfolgt über ein Computernetzwerk und insbesondere über das Internet, wenn andere Programme, beispielsweise Spiele, neu geschrieben und gestartet werden. Es kann weitere, eher seltene Fälle geben, in denen eine andere Festplatte in den Computer eingesetzt wird, die infiziert wurde. Um dies zu vermeiden, booten Sie von der Systemdiskette und scannen Sie die Festplatte entweder mit speziellen Antivirenprogrammen oder, noch besser, partitionieren und formatieren Sie die Festplatte mit den Programmen Fdisk und Format.

Erkennung von Computerviren

Zur Erkennung von Viren gibt es spezielle Antivirenprogramme, die Viren erkennen und zerstören können. Allerdings können nicht alle Viren erkannt werden, da immer mehr neue Formen auftauchen.

Ein Antivirenprogramm ähnelt einem Medikament, das heißt, es wirkt selektiv auf einige Viren und überspringt andere. Wenn also jeden Tag (Woche, Monat) ein Antivirenprogramm auf einem Computer gestartet wird, gibt es immer noch keine absolute Sicherheit, dass es Viren erkennt.

Es gibt eine ziemlich große Auswahl an Antivirenprogrammen. Dies sind Aidstest (Lozinsky), Dr. Web, Norton Antivirus für Windows, DSAV-Kit und andere. Je nach Funktionsweise lassen sie sich in drei Typen einteilen:

1) Detektoren, produzierend Scannen. Dies ist die einfachste und gebräuchlichste Form, bei der Dateien und Boot-Records angezeigt werden, um deren Inhalt zu überprüfen und eine Signatur zu erkennen (Signatur ist der Code eines Virenprogramms). Zusätzlich zum Scannen nach einer Signatur kann eine heuristische Analysemethode verwendet werden: Durch die Überprüfung von Codes, um für Viren charakteristische Codes zu identifizieren, entfernen Detektoren erkannte Viren, sogenannte Polyphagen. Solche Programme können heuristische Analysen durchführen und neue Viren erkennen.

2) Wirtschaftsprüfer– Programme, die sich den Zustand von Dateien und Systembereichen merken, oft durch Berechnung einer Prüfsumme oder Dateigröße.

3) Programme - Filter, oder ansässige Wächter, befindet sich dauerhaft im RAM des Computers und analysiert gestartete Dateien und eingelegte Disketten. Sie informieren den Benutzer über einen Versuch, den Bootsektor zu ändern, das Erscheinen eines residenten Programms, die Fähigkeit, auf die Festplatte zu schreiben usw.

4) Hardwareschutz ist ein Controller, der in den Erweiterungsanschluss gesteckt wird und den Zugriff auf Disketten- und Festplattenlaufwerke überwacht. Sie können bestimmte Teile wie Startdatensätze, ausführbare Dateien, Konfigurationsdateien usw. schützen. Im Gegensatz zu früheren Methoden kann es auch funktionieren, wenn der Computer infiziert ist.

5) Es sind auch Programme installiert BIOS Computer, wenn beim Versuch, in den Bootsektor zu schreiben, eine entsprechende Meldung auf dem Bildschirm erscheint.

Vorbeugende Maßnahmen gegen Viren

Zur Vorbeugung benötigen Sie:

1. Archivdaten. Unter Archivieren versteht man das Aufzeichnen von Dateien auf Wechselmedien. Am häufigsten spielen Disketten oder Magnetbänder diese Rolle, die in speziellen Geräten (Streamern) verwendet werden. Beispielsweise müssen Sie sich keine Windows-Dateien merken, wenn Sie über eine Installationsdiskette verfügen, von der aus Sie das System neu starten und die Dateien wiederherstellen können. Wenn der Computer daher nur über Disketten unter den Wechseldatenträgern verfügt, müssen Sie sich Informationen merken, die schwer wiederherzustellen sind.

Archivierung. In der Regel werden Informationen auf mehr als einer Festplatte aufgezeichnet. Nehmen wir an, die Informationen werden auf einer Diskette abgelegt und das Kopieren erfolgt einmal pro Woche. Zuerst werden die Informationen am 4. August aufgezeichnet, das nächste Mal, am 11. August, erfolgt die Aufzeichnung auf einer anderen Diskette aus denselben Verzeichnissen. Am 18. August erfolgt die Aufnahme erneut auf der ersten Diskette, am 25. August auf der zweiten, dann erneut auf der ersten usw., hierfür benötigen Sie mindestens zwei Disketten. Tatsache ist, dass beim Schreiben auf eine Diskette ein Fehler auftreten kann und die meisten Informationen verloren gehen. Auf einem Heimcomputer müssen Sie von Zeit zu Zeit Kopien erstellen, die Häufigkeit wird jedoch vom Benutzer bestimmt.

2. Damit alles Information, von anderen Computern empfangen, überprüft Antivirenprogramme. Es wurde bereits zuvor geschrieben, dass einige Dateien, beispielsweise mit grafischen Informationen, aus Sicht einer Virusinfektion recht sicher sind. Wenn sich also nur diese Art von Informationen auf einer Diskette befinden, sind diese Informationen ungefährlich. Wenn ein Virus entdeckt wird, müssen Sie alle Computer überprüfen, die über Disketten oder Netzwerk mit dem infizierten Computer verbunden waren. Es ist notwendig, den Virus nicht nur von der Festplatte, sondern auch von Disketten und Archivdateien zu entfernen. Wenn Sie den Verdacht haben, dass sich auf Ihrem Computer ein Virus befindet oder Informationen über Disketten oder das Internet auf Ihren Computer übertragen werden, können Sie dies tun Antivirenprogramme installierenAutoexec. INbei, sodass sie beim Einschalten des Computers funktionieren.

3. Booten Sie nicht von unbekannten Disketten. Stellen Sie beim Booten von einer Festplatte sicher, dass sich keine Disketten in Laufwerk A: oder B: befinden, insbesondere nicht von anderen Computern.

Abschluss

Es stellte sich leider heraus, dass die weit verbreitete Nutzung von Personalcomputern mit der Entstehung selbstreproduzierender Virenprogramme verbunden war, die den normalen Betrieb des Computers störten, die Dateistruktur von Datenträgern zerstörten und die auf dem Computer gespeicherten Informationen beschädigten.

Computer Virus– ein speziell entwickeltes Programm, das bestimmte Aktionen ausführen soll, die die Arbeit am Computer beeinträchtigen.

Sobald ein Computervirus in einen Computer eindringt, kann er sich auf andere Computer ausbreiten.

Das Virenprogramm ist in Assemblersprache geschrieben, um eine geringe Größe und schnelle Ausführung zu gewährleisten, obwohl es auch Programme gibt, die in C, Pascal und anderen Sprachen geschrieben sind. Viele residente Virenprogramme nutzen die in Treibern entwickelten Prinzipien, d. h. sie legen die Adresse des Virenprogramms in der Interrupt-Tabelle fest und übertragen die Kontrolle, nachdem der Virus seine Arbeit beendet hat, an ein reguläres Programm, dessen Adresse zuvor in war die Interrupt-Tabelle. Dies wird als Abfangen der Kontrolle bezeichnet.

Es gibt automatisierte Programme zum Erstellen neuer Viren, mit denen Sie den Quelltext des Virus interaktiv in Assemblersprache erstellen können. Beim Eingeben des Pakets können Sie Optionen festlegen, mit denen Sie festlegen können, welche zerstörerischen Aktionen der Virus ausführen wird, ob er seinen Maschinencodetext verschlüsselt, wie schnell er Dateien auf Datenträgern infiziert und so weiter.

Das Wichtigste, was der Virus braucht, ist, die Kontrolle zu erlangen, um seine Arbeit aufnehmen zu können. Wenn der Virus sofort mit der Ausführung der ihm innewohnenden Aktion beginnen würde, wäre es einfacher, ihn zu identifizieren und den Computer davon zu befreien. Die Schwierigkeit besteht darin, dass Viren möglicherweise nicht sofort auftreten, wenn sie auf dem Computer auftauchen, sondern erst nach einer bestimmten Zeit, beispielsweise an einem bestimmten Tag.

In der modernen Welt gibt es viele Antivirenprogramme, die Viren erkennen und zerstören können. Allerdings können nicht alle Viren erkannt werden, da immer mehr neue Formen auftauchen.

Um zu verhindern, dass das Virenprogramm das Antivirenprogramm verdirbt, sollten Sie es von der Systemdiskette laden, den Computer von der Systemdiskette starten und das Antivirenprogramm starten.

Halten Sie Ihre Antivirensoftware auf dem neuesten Stand, da neuere Versionen möglicherweise mehr Arten von Viren erkennen. Um die neuesten Versionen von Antivirenprogrammen zu aktualisieren, können Sie diese über ein Modem empfangen oder sich an Spezialisten von Antivirenunternehmen wenden.

Literaturverzeichnis

A. Kostsov, V. Kostsov. Tolle Enzyklopädie. Alles rund um den Personal Computer. – M.: „Martin“, 2003. – 720 S.

Informatik: Lehrbuch. – 3. Überarbeitung Hrsg. / Ed. N. V. Makarova. – M.: Finanzen und Statistik, 2005. – 768 S.: Abb.

Informatik für Juristen und Wirtschaftswissenschaftler. / Herausgegeben von S. V. Simonovich und anderen – St. Petersburg: St. Petersburg, 2001. – 688 S. 6 Abb.

Einleitung………………………….……………………………………………………………3

1. Computerviren. Klassifizierung………………………………….4

2. Ersteller von Malware …………………………………………...5

3. Beschreibung der Schadsoftware…………………………………………....6

3.1. Polymorphe Viren……………………………………………………7

3.2. Stealth-Viren………………………………………………………………………………7

3.3 Trojanische Viren……………………………………………………….7

3.4 Würmer………………………………………………………………………………..8

4. Anzeichen von Viren……………………………………………8

5. Antivirenprogramme bekämpfen………………………………………………………..9

Fazit………………………………………………………………………………10

Referenzliste………………………………………………………..11

Einführung

Computer sind zu echten menschlichen Assistenten geworden, auf die weder ein kommerzielles Unternehmen noch eine staatliche Organisation verzichten können. Allerdings ist in diesem Zusammenhang das Problem der Informationssicherheit besonders akut geworden.

Viren, die in der Computertechnik weit verbreitet sind, begeistern die ganze Welt. Viele Computernutzer sind besorgt über Gerüchte, dass Cyberkriminelle Computerviren nutzen, um in Netzwerke einzudringen, Banken auszurauben und geistiges Eigentum zu stehlen.

Heutzutage ist die weit verbreitete Nutzung von Personalcomputern leider mit der Entstehung selbstreproduzierender Virenprogramme verbunden, die den normalen Betrieb des Computers stören, die Dateistruktur von Datenträgern zerstören und die auf dem Computer gespeicherten Informationen beschädigen .

In den Medien gibt es zunehmend Berichte über verschiedene Arten von Piratentricks von Computer-Hooligans, über das Aufkommen immer fortschrittlicherer selbstreproduzierender Programme. In jüngerer Zeit galt es als absurd, Textdateien mit einem Virus zu infizieren – das wird nun niemanden mehr überraschen. Trotz der in vielen Ländern verabschiedeten Gesetze zur Bekämpfung von Computerkriminalität und der Entwicklung spezieller Antivirensoftware nimmt die Zahl neuer Softwareviren ständig zu. Dies setzt voraus, dass der Benutzer eines Personalcomputers über Kenntnisse über die Natur von Viren, die Infektionsmethoden durch Viren und den Schutz davor verfügt.

1. Computerviren

Computer Virus ist ein Programm (ein bestimmter Satz ausführbarer Codes/Anweisungen), das in der Lage ist, Kopien von sich selbst zu erstellen (die nicht unbedingt vollständig mit dem Original identisch sind) und diese in verschiedene Objekte/Ressourcen von Computersystemen, Netzwerken usw. zu implementieren. ohne Wissen des Benutzers. Gleichzeitig behalten Kopien die Fähigkeit zur Weiterverbreitung.

Virusklassifizierung:

1) je nach Lebensraum des Virus

Dateiviren Am häufigsten sind sie in ausführbare Dateien mit den Erweiterungen .exe und .com (die häufigsten Viren) eingebettet, sie können aber auch in Dateien mit Betriebssystemkomponenten, externen Gerätetreibern, Objektdateien und Bibliotheken, in Befehls-Batchdateien und Programmen eingebettet sein Dateien in der prozeduralen Programmiersprache (sie infizieren ausführbare Dateien während der Übersetzung).

Bootviren sind in den Boot-Sektor einer Diskette (Boot-Sektor) oder in den Sektor eingebettet, der das Boot-Programm der Systemfestplatte enthält (Master-Boot-Record). Beim Laden von DOS von einer infizierten Festplatte ändert ein solcher Virus das Startprogramm oder die Dateizuordnungstabelle auf der Festplatte, was zu Schwierigkeiten beim Betrieb des Computers führt oder sogar den Start des Betriebssystems unmöglich macht.

Datei-Boot Viren vereinen die Fähigkeiten der beiden vorherigen Gruppen und weisen die größte „Effizienz“ der Infektion auf.

Netzwerkviren Für ihre Verbreitung nutzen sie Befehle und Protokolle von Telekommunikationssystemen (E-Mail, Computernetzwerke).

Dokumentviren(oft als Makroviren bezeichnet) infizieren und beschädigen Textdateien (.doc) und Tabellenkalkulationsdateien einiger beliebter Editoren.

Kombinierte Netzwerkmakroviren Sie infizieren nicht nur die von ihnen erstellten Dokumente, sondern versenden auch Kopien dieser Dokumente per E-Mail.

2) durch die Art der Kontamination des Lebensraums;

Bewohner Virus Wenn ein Computer infiziert ist, belässt er seinen residenten Teil im RAM, der dann den Zugriff des Betriebssystems auf infizierte Objekte abfängt und sich in diese einschleust. Nicht residente Viren infizieren den Speicher des Computers nicht und sind nur für eine begrenzte Zeit aktiv.

3) nach zerstörerischen Fähigkeiten

Harmlos, diese. die den Betrieb des Computers in keiner Weise beeinträchtigen (außer der Reduzierung des freien Speichers auf der Festplatte aufgrund ihrer Verteilung);

Ungefährlich , deren Einfluss durch eine Verringerung des freien Speichers auf der Festplatte sowie durch Grafik-, Ton- usw. Effekte begrenzt wird;

4) entsprechend den Merkmalen des Virenalgorithmus .

Begleitviren- Dies sind Viren, die keine Dateien verändern.

Viren – „Würmer“ (Wurm)- Viren, die sich in einem Computernetzwerk verbreiten und wie Begleitviren keine Dateien oder Sektoren auf Datenträgern verändern. Sie dringen aus einem Computernetzwerk in den Speicher des Computers ein, berechnen die Netzwerkadressen anderer Computer und senden Kopien von sich selbst an diese Adressen. Solche Viren erstellen manchmal Arbeitsdateien auf Systemfestplatten, greifen jedoch möglicherweise überhaupt nicht auf Computerressourcen zu (mit Ausnahme des RAM).

2. Malware-Ersteller

Der Großteil der Viren und Trojaner-Programme wurde in der Vergangenheit von Studenten und Schülern erstellt, die gerade erst eine Programmiersprache gelernt hatten, sich daran versuchen wollten, aber keine sinnvollere Verwendung dafür fanden. Solche Viren wurden und werden bis heute nur zur Selbstbestätigung ihrer Autoren geschrieben.

Auch die zweite Gruppe der Virenersteller besteht aus jungen Menschen (in der Regel Studenten), die die Kunst des Programmierens noch nicht vollständig beherrschen. Aus der Feder solcher „Handwerker“ stammen oft Viren, die äußerst primitiv sind und viele Fehler enthalten („Studenten“-Viren). Das Leben solcher Virenschreiber ist mit der Entwicklung des Internets und dem Aufkommen zahlreicher Websites, die das Schreiben von Computerviren lehren, deutlich einfacher geworden. Oftmals findet man hier vorgefertigte Quelltexte, an denen man nur minimale „Autoren“-Änderungen vornehmen und auf die empfohlene Weise kompilieren muss.

Die dritte, gefährlichste Gruppe, die „professionelle“ Viren erzeugt und in die Welt setzt. Diese sorgfältig durchdachten und debuggten Programme werden von professionellen, oft sehr talentierten Programmierern erstellt. Solche Viren verwenden oft recht originelle Algorithmen zum Eindringen in Systemdatenbereiche, Fehler in Sicherheitssystemen von Betriebsumgebungen, Social Engineering und andere Tricks.

Es gibt eine eigene vierte Gruppe von Virenautoren – „Forscher“, die sich mit der Erfindung grundlegend neuer Infektionsmethoden, dem Verstecken, der Bekämpfung von Antivirenprogrammen usw. befassen. Oftmals verbreiten die Autoren solcher Viren ihre Kreationen nicht, sondern fördern aktiv ihre Ideen durch zahlreiche Internetressourcen, die sich der Erstellung von Viren widmen. Gleichzeitig ist auch die Gefahr, die von solchen „Forschungs“-Viren ausgeht, sehr groß – da diese Ideen in die Hände von „Profis“ aus der vorherigen Gruppe geraten sind, tauchen diese Ideen sehr schnell in neuen Viren auf.

3. Beschreibung der Schadsoftware

Zu den Schadsoftware zählen Netzwerkwürmer, klassische Dateiviren, Trojaner, Hacker-Dienstprogramme und andere Programme, die vorsätzlich dem Computer, auf dem sie ausgeführt werden, oder anderen Computern im Netzwerk Schaden zufügen.

3.1 Polymorphe Viren

Polymorphe Viren- Viren, die ihren Code in infizierten Programmen so verändern, dass zwei Kopien desselben Virus möglicherweise nicht in einem einzigen Bit übereinstimmen. Diese Art von Computervirus scheint heute die gefährlichste zu sein. Solche Viren verschlüsseln ihren Code nicht nur mit unterschiedlichen Verschlüsselungspfaden, sondern enthalten auch Code zur Generierung von Ver- und Entschlüsselern, was sie von gewöhnlichen Verschlüsselungsviren unterscheidet, die ebenfalls Teile ihres Codes verschlüsseln können, aber gleichzeitig über einen konstanten Ver- und Entschlüsselungscode verfügen .

3.2 Stealth-Viren

Stealth-Viren Antivirenprogramme täuschen und so unentdeckt bleiben. Es gibt jedoch eine einfache Möglichkeit, den Tarnmechanismus von Stealth-Viren zu deaktivieren. Es reicht aus, den Computer von einer nicht infizierten Systemdiskette zu starten und den Computer sofort mit einem Antivirenprogramm zu scannen, ohne andere Programme von der Computerdiskette (die ebenfalls infiziert sein kann) zu starten. Wenn der Virus von einer Systemdiskette geladen wird, kann er nicht die Kontrolle erlangen und ein residentes Modul im RAM installieren, das den Stealth-Mechanismus implementiert. Ein Antivirenprogramm kann die tatsächlich auf der Festplatte geschriebenen Informationen lesen und den Virus leicht erkennen.

3.3 Trojanische Viren

Trojanisches Pferd- Dies ist ein Programm, das eine destruktive Funktion enthält, die aktiviert wird, wenn eine bestimmte Auslösebedingung eintritt. Normalerweise werden solche Programme als nützliche Dienstprogramme getarnt. „Trojanische Pferde“ sind Programme, die zusätzlich zu den in der Dokumentation beschriebenen Funktionen auch einige andere Funktionen implementieren, die mit Sicherheitsverletzungen und zerstörerischen Aktionen verbunden sind. Es gab Fälle, in denen solche Programme erstellt wurden, um die Verbreitung von Viren zu erleichtern. Listen solcher Programme werden in großem Umfang in der ausländischen Presse veröffentlicht. Meist werden sie als Spiel- oder Unterhaltungssendungen getarnt und richten mit schönen Bildern oder Musik begleitet Schaden an.

Software-Lesezeichen enthalten auch eine Funktion, die für das Flugzeug schädlich ist, aber diese Funktion versucht im Gegenteil so unauffällig wie möglich zu sein, weil Je länger das Programm keinen Verdacht erregt, desto länger kann das Lesezeichen funktionieren.

3.4Würmer

Würmer werden Viren genannt, die sich über globale Netzwerke verbreiten und ganze Systeme und nicht einzelne Programme infizieren. Dies ist die gefährlichste Art von Virus, da in diesem Fall Informationssysteme von nationaler Ebene zum Angriffsobjekt werden. Mit dem Aufkommen des globalen Internets stellt diese Art von Sicherheitsverletzung die größte Bedrohung dar, da jeder der 40 Millionen Computer, die mit diesem Netzwerk verbunden sind, jederzeit diesem Risiko ausgesetzt sein kann.

4. Anzeichen von Viren

Wenn Ihr Computer mit einem Virus infiziert ist, ist es wichtig, ihn zu erkennen. Dazu sollten Sie die wichtigsten Anzeichen von Viren kennen. Dazu gehören die folgenden:

1. Betriebseinstellung oder Fehlbedienung bisher erfolgreich funktionierender Programme

2. Computer ist langsam

3. Unfähigkeit, das Betriebssystem zu laden

4. Verschwinden von Dateien und Verzeichnissen oder Beschädigung ihres Inhalts

5. Ändern des Datums und der Uhrzeit der Dateiänderung

6. Größenänderung von Dateien

7. Unerwarteter erheblicher Anstieg der Anzahl der Dateien auf der Festplatte

8. Deutliche Reduzierung der Größe des freien RAM

9. Anzeige unerwarteter Nachrichten oder Bilder

10. Unerwartete Tonsignale geben

11. Häufiges Einfrieren und Computerabstürze

Es ist zu beachten, dass die oben genannten Phänomene nicht unbedingt durch das Vorhandensein eines Virus verursacht werden, sondern auch auf andere Ursachen zurückzuführen sein können. Daher ist es immer schwierig, den Zustand eines Computers richtig zu diagnostizieren.

5. Antivirenprogramme bekämpfen

Zu allen Zeiten gab es Schadprogramme, die sich recht aktiv schützten. Ein solcher Schutz kann Folgendes umfassen:

Das System gezielt nach einem Antivirenprogramm, einer Firewall oder einem anderen Sicherheitsdienstprogramm durchsuchen und dessen Betrieb stören. Ein Beispiel wäre eine Malware, die in der Liste der Prozesse nach dem Namen eines bestimmten Antivirenprogramms sucht und versucht, dieses Antivirenprogramm zu entladen.

Blockieren von Dateien und Öffnen mit exklusivem Zugriff als Gegenmaßnahme gegen Datei-Antivirenprogramme;

Änderung der Hosts-Datei, um den Zugriff auf Antiviren-Update-Sites zu blockieren;

Erkennt Sicherheitsaufforderungsfenster und simuliert das Klicken auf die Schaltfläche „Zulassen“.

Tatsächlich handelt es sich bei einem gezielten Angriff auf Verteidigungsanlagen eher um eine „Zwangsmaßnahme“, die jemanden schützt, der an die Wand gedrängt wird, als um einen aktiven Angriff. Unter modernen Bedingungen, wenn Antivirenprogramme nicht nur den Code von Schadprogrammen, sondern auch deren Verhalten analysieren, sind diese mehr oder weniger schutzlos: Weder Polymorphismus noch Verpackung noch das Verstecken von Technologien im System bieten ihnen vollständigen Schutz. Daher kann Schadsoftware nur einzelne Erscheinungsformen oder Funktionen des „Feindes“ angreifen. Außerhalb der unumgänglichen Notwendigkeit wäre diese Methode der Selbstverteidigung nicht so beliebt, da sie unter dem Gesichtspunkt eines möglichst umfassenden Schutzes zu nachteilig ist.

Abschluss

Aus all dem können wir schließen, dass ein Computervirus ein speziell geschriebenes kleines Programm ist, das sich anderen Programmen „zuordnen“ und verschiedene unerwünschte Aktionen auf dem Computer ausführen kann. Ein Programm, das einen Virus enthält, wird als „infiziert“ bezeichnet. Wenn ein solches Programm zu arbeiten beginnt, übernimmt zunächst der Virus die Kontrolle. Der Virus findet und „infiziert“ andere Programme und führt auch einige schädliche Aktionen aus (z. B. beschädigt er Dateien oder die Dateizuordnungstabelle auf der Festplatte, „verstopft“ den Arbeitsspeicher usw.). Ein Virus ist ein Programm, das die Fähigkeit besitzt, sich selbst zu reproduzieren. Diese Fähigkeit ist die einzige Eigenschaft, die allen Arten von Viren innewohnt. Das Virus kann nicht in „vollständiger Isolation“ existieren. Das bedeutet, dass es heutzutage unmöglich ist, sich einen Virus vorzustellen, der nicht irgendwie den Code anderer Programme, Informationen über die Dateistruktur oder auch nur die Namen anderer Programme verwenden würde. Der Grund dafür ist ganz klar: Das Virus muss irgendwie dafür sorgen, dass die Kontrolle auf sich selbst übergeht.

Der wirksamste Schutz vor Computerviren besteht darin, keine Informationen von außen in den Computer einzuschleusen. Aber leider ist es fast unmöglich, sich zu 100 % vor Viren zu schützen (das heißt, der Benutzer tauscht Disketten mit Freunden aus, spielt Spiele und erhält auch Informationen von anderen).

Literaturverzeichnis

1. Leontiev V.P. Die neueste Enzyklopädie des Personal Computers 2003. – 5. Auflage, überarbeitet. und zusätzlich - M.: OLMA-PRESS, 2003

2. Levin A.Sh. Selbstanleitung zum Arbeiten am Computer. - 9. Auflage, St. Petersburg: Peter, 2006

3. www.yandex. ru

4. www.google. ru

4. CD-ROM. Das Beste vom Besten: Aufsätze, Studienarbeiten, Diplome, 2007

Haushalts-Bootstrap-Sektorviren. Programme, die in das Ende des Boot-Programms auf Laufwerk C: geschrieben werden oder es ersetzen und ab dem Zeitpunkt der Infektion sowohl dieses als auch ihre eigenen Funktionen ausführen. Diese Viren dringen beim Booten von einer infizierten Diskette in den Computer ein. Wenn das Bootprogramm gelesen und ausgeführt wird, wird der Virus in den Speicher geladen und infiziert alles, wofür es „entworfen“ ist.

Bootviren des Master-Boot-Records. Sie infizieren den Master Boot Record des Systems auf Festplatten und den Bootsektor auf Disketten. Diese Art von Virus übernimmt die Kontrolle über das System auf der untersten Ebene, indem er Anweisungen zwischen der Hardware des Computers und dem Betriebssystem abfängt.

• · Makroviren: Einige Computerprogramme verwenden Makrosprachen, um häufig ausgeführte Vorgänge zu automatisieren. Je leistungsfähiger Computer wurden, desto komplexer wurden auch die von ihnen gelösten Probleme. Einige Makrosprachen bieten die Möglichkeit, Dateien in anderen Formaten als dem Originaldokument zu schreiben. Mit dieser Funktion können Virenautoren Makros erstellen, die Dokumente infizieren. Makroviren werden normalerweise über Microsoft Word- und Excel-Dateien verbreitet.
• · Kombinationsviren: Viren, die eine Kombination der oben aufgeführten Eigenschaften aufweisen. Sie können Dateien, Bootsektoren und Master-Boot-Records infizieren.
• · Dateiviren: Schauen wir uns nun an, wie ein einfacher Dateivirus funktioniert. Im Gegensatz zu Bootviren, die fast immer resident sind, sind Dateiviren nicht unbedingt resident. Betrachten wir das Funktionsschema eines nicht residenten Dateivirus. Nehmen wir an, wir haben eine infizierte ausführbare Datei. Wenn eine solche Datei gestartet wird, erlangt der Virus die Kontrolle, führt einige Aktionen aus und überträgt die Kontrolle an den „Host“.

Welche Aktionen führt der Virus aus? Es sucht nach einem neuen zu infizierenden Objekt – einer Datei eines geeigneten Typs, die noch nicht infiziert wurde. Durch die Infektion einer Datei schleust sich der Virus in deren Code ein, um bei der Ausführung der Datei die Kontrolle zu erlangen. Zusätzlich zu seiner Hauptfunktion – der Fortpflanzung – kann der Virus durchaus etwas Kompliziertes tun (z. B. fragen, spielen) – dies hängt bereits von der Vorstellungskraft des Autors des Virus ab. Wenn der Dateivirus resident ist, installiert er sich im Speicher und kann Dateien infizieren und andere Fähigkeiten entfalten, nicht nur, während die infizierte Datei ausgeführt wird. Wenn ein Virus eine ausführbare Datei infiziert, ändert er immer seinen Code – daher kann eine Infektion einer ausführbaren Datei immer erkannt werden. Durch die Änderung des Dateicodes führt der Virus jedoch nicht unbedingt zu weiteren Änderungen:

• · er ist nicht verpflichtet, die Dateilänge zu ändern
• ungenutzte Codeabschnitte
• · Es ist nicht erforderlich, den Anfang der Datei zu ändern

Schließlich umfassen Dateiviren häufig Viren, die „irgendeinen Bezug zu Dateien haben“, aber nicht in deren Code eingebettet sein müssen.

Wenn also eine Datei gestartet wird, übernimmt der Virus die Kontrolle (das Betriebssystem startet sie selbst), installiert sich resident im Speicher und überträgt die Kontrolle an die aufgerufene Datei.

• · Boot-File-Viren: Wir werden das Boot-File-Virus-Modell nicht berücksichtigen, da Sie keine neuen Informationen erfahren. Aber hier ist eine gute Gelegenheit, kurz auf den in letzter Zeit äußerst „populären“ Bootdateivirus OneHalf einzugehen, der den Master-Bootsektor (MBR) und ausführbare Dateien infiziert. Der größte zerstörerische Effekt ist die Verschlüsselung von Festplattensektoren. Bei jedem Start verschlüsselt der Virus einen weiteren Teil der Sektoren und meldet dies freudig, nachdem er die Hälfte der Festplatte verschlüsselt hat. Das Hauptproblem bei der Behandlung dieses Virus besteht darin, dass es nicht ausreicht, den Virus einfach aus dem MBR und den Dateien zu entfernen; Sie müssen die von ihm verschlüsselten Informationen entschlüsseln.
• · Polymorphe Viren: Die meisten Fragen beziehen sich auf den Begriff „polymorpher Virus“. Diese Art von Computervirus scheint heute die gefährlichste zu sein. Lassen Sie uns erklären, was es ist.

Polymorphe Viren sind Viren, die ihren Code in infizierten Programmen so verändern, dass zwei Kopien desselben Virus möglicherweise nicht in einem einzigen Bit übereinstimmen.

Solche Viren verschlüsseln ihren Code nicht nur mit unterschiedlichen Verschlüsselungspfaden, sondern enthalten auch Code zur Generierung von Ver- und Entschlüsselern, was sie von gewöhnlichen Verschlüsselungsviren unterscheidet, die ebenfalls Teile ihres Codes verschlüsseln können, aber gleichzeitig über einen konstanten Ver- und Entschlüsselungscode verfügen .

Polymorphe Viren sind Viren mit selbstmodifizierenden Entschlüsselern. Der Zweck einer solchen Verschlüsselung: Wenn Sie über eine infizierte Originaldatei verfügen, können Sie deren Code durch regelmäßige Demontage immer noch nicht analysieren. Dieser Code ist verschlüsselt und besteht aus einem bedeutungslosen Befehlssatz. Die Entschlüsselung wird während der Ausführung vom Virus selbst durchgeführt. In diesem Fall sind Optionen möglich: Er kann sich auf einmal entschlüsseln, oder er kann eine solche Entschlüsselung „on the fly“ durchführen, er kann bereits verwendete Abschnitte erneut verschlüsseln. All dies geschieht, um die Analyse des Virencodes zu erschweren.

· Stealth-Viren: Beim Scannen eines Computers lesen Antivirenprogramme Daten (Dateien und Systembereiche) von Festplatten und Disketten unter Verwendung des Betriebssystems und des BIOS-Basis-Eingabe-/Ausgabesystems. Eine Reihe von Viren hinterlassen nach dem Start spezielle Module im RAM des Computers, die Programme abfangen, die auf das Festplatten-Subsystem des Computers zugreifen. Wenn ein solches Modul erkennt, dass ein Programm versucht, eine infizierte Datei oder einen infizierten Systembereich der Festplatte zu lesen, ersetzt es die gelesenen Daten im Handumdrehen, als ob sich kein Virus auf der Festplatte befände.

Stealth-Viren täuschen Antivirenprogramme vor und bleiben so unentdeckt. Es gibt jedoch eine einfache Möglichkeit, den Tarnmechanismus von Stealth-Viren zu deaktivieren. Es reicht aus, den Computer von einer nicht infizierten Systemdiskette zu starten und den Computer sofort mit einem Antivirenprogramm zu scannen, ohne andere Programme von der Computerdiskette (die ebenfalls infiziert sein kann) zu starten.

Wenn der Virus von einer Systemdiskette geladen wird, kann er nicht die Kontrolle erlangen und ein residentes Modul im RAM installieren, das den Stealth-Mechanismus implementiert. Ein Antivirenprogramm kann die tatsächlich auf der Festplatte geschriebenen Informationen lesen und den Virus leicht erkennen.

· Trojanische Pferde, Software-Lesezeichen und Netzwerkwürmer: Ein Trojanisches Pferd (siehe Anhang 2, Abb. 2) ist ein Programm, das eine zerstörerische Funktion enthält, die aktiviert wird, wenn eine bestimmte Auslösebedingung eintritt. Normalerweise werden solche Programme als nützliche Dienstprogramme getarnt. Viren können Trojaner übertragen oder andere Programme „trojanisieren“ – also destruktive Funktionen in sie einführen.

„Trojanische Pferde“ sind Programme, die zusätzlich zu den in der Dokumentation beschriebenen Funktionen auch einige andere Funktionen implementieren, die mit Sicherheitsverletzungen und zerstörerischen Aktionen verbunden sind. Es gab Fälle, in denen solche Programme erstellt wurden, um die Verbreitung von Viren zu erleichtern. Listen solcher Programme werden in großem Umfang in der ausländischen Presse veröffentlicht. Meist werden sie als Spiel- oder Unterhaltungssendungen getarnt und richten mit schönen Bildern oder Musik begleitet Schaden an.

· Software-Lesezeichen enthalten auch eine Funktion, die für das Flugzeug schädlich ist, aber diese Funktion versucht im Gegenteil so unauffällig wie möglich zu sein, weil Je länger das Programm keinen Verdacht erregt, desto länger kann das Lesezeichen funktionieren.

Wenn Viren und Trojanische Pferde durch lawinenartige Selbstverbreitung oder völlige Zerstörung Schaden anrichten, besteht die Hauptfunktion wurmartiger Viren, die in Computernetzwerken agieren, darin, das angegriffene System zu hacken, d. h. Überwindung des Schutzes, um Sicherheit und Integrität zu gefährden.

Bei mehr als 80 % der vom FBI untersuchten Computerkriminalität dringen „Cracker“ über das Internet in das angegriffene System ein. Wenn ein solcher Versuch gelingt, kann die Zukunft eines Unternehmens, dessen Aufbau Jahre gedauert hat, innerhalb von Sekunden gefährdet sein.

Dieser Vorgang kann mithilfe eines Virus namens Netzwerkwurm automatisiert werden.

· Würmer sind Viren, die sich über globale Netzwerke verbreiten und ganze Systeme und nicht einzelne Programme infizieren. Dies ist die gefährlichste Art von Virus, da in diesem Fall Informationssysteme von nationaler Ebene zum Angriffsobjekt werden. Mit dem Aufkommen des globalen Internets stellt diese Art von Sicherheitsverletzung die größte Bedrohung dar, da jeder der 40 Millionen Computer, die mit diesem Netzwerk verbunden sind, jederzeit diesem Risiko ausgesetzt sein kann.

Virenprogramm Computer

Wie bereits erwähnt, sind die häufigsten Trojaner, polymorphe Viren und nicht-polymorphe Verschlüsselungsviren, Stealth-Viren, langsame Viren, Retro-Viren, zusammengesetzte Viren, waffenfähige Viren, Phagenviren und Makroviren. Jeder von ihnen führt bestimmte Aktionen aus:

1. Trojanische Pferde sind Viren, die sich in Datendateien (z. B. komprimierten Dateien oder Dokumenten) verstecken. Um einer Entdeckung zu entgehen, sind einige Arten von Trojanern auch in ausführbaren Dateien versteckt. Somit kann dieses Programm sowohl in Programmdateien als auch in komprimierten Bibliotheksdateien gefunden werden. Allerdings enthalten Trojanische Pferde oft nur Virenroutinen. Die vielleicht beste Definition von Trojanischen Pferden stammt von Dan Edwards, einem ehemaligen Hacker, der jetzt Antivirensoftware für die NSA (National Security Administration) entwickelt. Laut Dan ist ein Trojanisches Pferd „ein unsicheres Programm, das sich als harmlose Anwendung tarnt, beispielsweise als Archivierungsprogramm, als Spiel oder (bekannt aus dem Jahr 1990) als Virenerkennungs- und -vernichtungsprogramm.“ Die meisten neuen Antivirenprogramme erkennen fast alle Trojaner.

Eines der bekanntesten Trojanischen Pferde war das Programm Crackerjack. Wie alle anderen im Internet verfügbaren Tools zum Knacken von Passwörtern testete dieses Programm die relative Sicherheit der Passwörter in der ausgewählten Datei. Nach dem Start zeigte es eine Liste gehackter Passwörter an und forderte den Benutzer auf, diese Datei zu löschen. Die erste Version des Programms knackte nicht nur Passwörter, sondern übermittelte diese auch an den Autor des Trojanischen Pferdes. Crackerjack hat sich als recht nützliches Tool erwiesen, wie Sie selbst sehen können. Laden Sie dazu einfach das Programm aus dem Internet herunter.

2. Polymorphe Viren sind Viren, die ihren Körper verschlüsseln und daher durch Überprüfung der Virensignatur einer Entdeckung entgehen können. Bevor ein solcher Virus seine Arbeit aufnimmt, entschlüsselt er sich selbst mithilfe eines speziellen Entschlüsselungsverfahrens. Wie in Kapitel 4 erläutert, wandelt das Entschlüsselungsverfahren verschlüsselte Informationen in einfache Informationen um. Um den Virenkörper zu entschlüsseln, übernimmt das Entschlüsselungsverfahren die Kontrolle über die Maschine. Nach der Entschlüsselung geht die Kontrolle über den Computer auf den entschlüsselten Virus über. Die ersten Verschlüsselungsviren waren nicht polymorph. Mit anderen Worten: Das Virenentschlüsselungsverfahren änderte sich nicht von Kopie zu Kopie. Daher könnten Antivirenprogramme den Virus anhand der dem Entschlüsselungsverfahren innewohnenden Signatur erkennen. Doch bald änderte sich die Situation radikal. Polymorphe Viren sind sehr schwer zu erkennen. Tatsache ist, dass sie mit jeder neuen Infektion völlig neue Entschlüsselungsverfahren generieren. Dadurch ändert sich die Virensignatur von Datei zu Datei. Um das Verschlüsselungsverfahren zu ändern, wird ein relativ einfacher Maschinencodegenerator verwendet, ein sogenannter Mutationsgenerator. Es verwendet einen Zufallszahlengenerator und einen recht einfachen Algorithmus zum Ändern der Virensignatur. Mit seiner Hilfe kann ein Programmierer jeden Virus in einen polymorphen Virus umwandeln. Dazu muss o den Text des Virus so ändern, dass er vor jeder Erstellung seiner Kopie den Mutationsgenerator aufruft.

Obwohl polymorphe Viren mit herkömmlichen Scanmethoden (z. B. dem Vergleich von Codezeilen) nicht erkannt werden können, werden sie dennoch von speziellen Antivirenprogrammen erkannt. So können polymorphe Viren nachgewiesen werden. Dieser Vorgang nimmt jedoch viel Zeit in Anspruch und die Erstellung eines Antivirenprogramms erfordert viel mehr Aufwand. Die neuesten Updates von Antivirensoftware suchen nach Verschlüsselungsverfahren, die polymorphe Viren erkennen. Ein polymorpher Virus ändert seine Signatur, wenn er eine weitere Kopie erstellt. von Datei zu Datei.

• 3. Stealth-Viren sind Viren, die in einer infizierten Datei vorgenommene Änderungen verbergen. Dazu überwachen sie Systemfunktionen zum Lesen von Dateien oder Sektoren auf Speichermedien. Wird eine solche Funktion aufgerufen, versucht der Virus, die empfangenen Ergebnisse zu verändern: Statt echter Informationen übergibt der Virus die Daten einer nicht infizierten Datei an die Funktion. Daher kann das Antivirenprogramm keine Änderungen in der Datei erkennen. Um Systemaufrufe abfangen zu können, muss sich der Virus jedoch im Speicher der Maschine befinden. Alle einigermaßen guten Antivirenprogramme können solche Viren beim Download eines infizierten Programms erkennen. Ein gutes Beispiel für einen Stealth-Virus ist Brain, einer der ersten dokumentierten DOS-Viren. Dieser Bootvirus überwachte alle E/A-Vorgänge des Festplattensystems und leitete den Aufruf um, wenn das System versuchte, einen infizierten Bootsektor zu lesen. In diesem Fall las das System die Informationen nicht aus dem Bootsektor, sondern von dem Ort, an dem der Virus eine Kopie dieses Sektors gespeichert hatte. Stealth-Viren sind auch Number-, Beast- und Frodo-Viren. Im Programmiererjargon fangen sie den Interrupt 21H ab, den Haupt-DOS-Interrupt. Daher wird jeder Benutzerbefehl, der das Vorhandensein eines Virus erkennen kann, vom Virus an eine bestimmte Stelle im Speicher umgeleitet. Dadurch kann der Benutzer den Virus nicht „bemerken“. Stealth-Viren haben in der Regel entweder eine unsichtbare Größe oder sind unsichtbar zu lesen. Viren mit unsichtbarer Größe gehören zu einer Unterart von Viren, die Dateien infizieren. Solche Viren fügen ihren Körper in die Datei ein und führen dadurch zu einer Vergrößerung der Datei. Der Virus ändert jedoch die Dateigrößeninformationen, sodass der Benutzer seine Anwesenheit nicht erkennen kann. Mit anderen Worten: Das System gibt an, dass die Länge der infizierten Datei der Länge der normalen (nicht infizierten) Datei entspricht. Viren, die nicht lesbar sind (wie Stoned.Monkey), fangen Anfragen zum Lesen eines infizierten Boot-Datensatzes oder einer infizierten Boot-Datei ab und stellen als Antwort die Originalinformationen bereit, die nicht vom Virus verändert wurden. Auch hier kann der Benutzer das Vorhandensein des Virus nicht erkennen. Stealth-Viren sind recht einfach zu erkennen. Die meisten Standard-Antivirenprogramme fangen Stealth-Viren ab. Dazu reicht es aus, ein Antivirenprogramm auszuführen, bevor der Virus im Speicher der Maschine abgelegt wird. Sie müssen Ihren Computer von einer leeren Boot-Diskette starten und dann ein Antivirenprogramm ausführen. Wie bereits erwähnt, können sich Stealth-Viren nur dann tarnen, wenn sie sich bereits im Speicher befinden. Ist dies nicht der Fall, erkennt das Antivirenprogramm problemlos das Vorhandensein solcher Viren auf der Festplatte.
• 4. Langsame Viren sind sehr schwer zu erkennen, da sie nur Dateien infizieren, die vom Betriebssystem geändert oder kopiert werden. Mit anderen Worten: Ein langsamer Virus infiziert jede ausführbare Datei und tut dies in dem Moment, in dem der Benutzer einige Vorgänge mit dieser Datei ausführt. Beispielsweise kann ein langsamer Virus den Startdatensatz einer Diskette infizieren, wenn Systembefehle ausgeführt werden, die diesen Datensatz ändern (z. B. FORMAT oder SYS). Ein langsamer Virus kann eine Kopie einer Datei infizieren, ohne die Quelldatei zu infizieren. Einer der bekanntesten langsamen Viren ist Darth_Vader, der nur COM-Dateien und nur während des Schreibens infiziert.

Das Erkennen langsamer Viren ist ein ziemlich komplexer Prozess. Der Integritätswächter muss die neue Datei erkennen und den Benutzer darüber informieren, dass die Datei keinen Prüfsummenwert hat. Integrity Guardian ist ein Antivirenprogramm, das den Inhalt von Festplatten sowie die Größe und Prüfsumme jeder darauf befindlichen Datei überwacht. Stellt der Verwahrer Änderungen im Inhalt oder in der Größe fest, wird er den Nutzer unverzüglich benachrichtigen. Die Meldung wird jedoch auch ausgegeben, wenn der Benutzer selbst eine neue Datei erstellt. Daher ist es wahrscheinlicher, dass der Benutzer den Integritätsbewahrer anweist, eine neue Prüfsumme für die neue (infizierte) Datei zu berechnen.

Das erfolgreichste Mittel gegen langsame Viren sind Integritäts-Shells. Integrity Shells sind residente Integritätswächter. Sie befinden sich ständig im Speicher des Computers und überwachen die Erstellung jeder neuen Datei, sodass der Virus praktisch keine Chance hat. Eine andere Möglichkeit, die Integrität zu überprüfen, besteht darin, Fallen zu erstellen. Dabei erstellt ein spezielles Antivirenprogramm mehrere COM- und EXE-Dateien mit bestimmten Inhalten. Anschließend prüft das Programm den Inhalt dieser Dateien. Wenn ein langsamer Virus sie infiziert, erfährt der Benutzer sofort davon. Beispielsweise könnte ein langsamer Virus ein Programm zum Kopieren von Dateien überwachen. Wenn DOS die Kopieranforderung erfüllt, platziert der Virus seinen Körper in einer neuen Kopie der Datei.

• 5. Ein Retrovirus ist ein Virus, der versucht, Antivirenprogramme zu umgehen oder zu stören. Mit anderen Worten: Diese Viren greifen Antivirensoftware an. Computerprofis bezeichnen Retroviren als Antivirenprogramme. (Verwechseln Sie Antivirenprogramme nicht mit Antivirenviren – Viren, die andere Viren zerstören sollen.) Das Erstellen eines Retrovirus ist eine relativ einfache Aufgabe. Schließlich haben Virenentwickler Zugriff auf alle Antivirenprogramme. Durch den Kauf eines solchen Programms untersuchen sie dessen Funktionsweise, finden Lücken in der Verteidigung und erstellen dann auf der Grundlage der entdeckten Fehler einen Virus. Die meisten Retroviren suchen und löschen Dateien, die Virensignaturdaten enthalten. Daher kann das Antivirenprogramm, das diese Datei verwendet hat, nicht mehr normal funktionieren. Komplexere Retroviren durchsuchen und löschen Datenbanken, die Informationen über die Integrität von Dateien enthalten. Das Löschen einer solchen Datenbank hat für den Integritätswächter die gleichen Auswirkungen wie das Löschen von Dateien mit Virensignaturen in einem Antivirenprogramm. Viele Retroviren erkennen die Aktivierung von Antivirenprogrammen und verstecken sich dann vor dem Programm oder stoppen dessen Ausführung. Darüber hinaus können sie den Zerstörungsvorgang starten, bevor das Antivirenprogramm ihre Anwesenheit erkennt. Einige Retroviren modifizieren die Antiviren-Computing-Shell und beeinträchtigen so die Ausführung von Antivirenprogrammen. Darüber hinaus gibt es Retroviren, die Mängel in Antivirensoftware ausnutzen, um diese zu verlangsamen oder die Wirksamkeit des Programms zu beeinträchtigen.
• 6. Zusammengesetzte Viren infizieren sowohl ausführbare Dateien als auch Bootsektoren von Festplatten. Darüber hinaus können sie Bootsektoren von Disketten infizieren. Sie erhielten diesen Namen, weil sie einen Computer auf verschiedene Weise infizieren. Mit anderen Worten: Sie sind nicht auf einen Dateityp oder einen bestimmten Speicherort auf der Festplatte beschränkt. Wenn Sie ein infiziertes Programm ausführen, infiziert der Virus den Boot-Record Ihrer Festplatte. Wenn Sie das Gerät das nächste Mal einschalten, wird der Virus aktiviert und infiziert alle laufenden Programme. Einer der bekanntesten zusammengesetzten Viren ist One-Half, der die Eigenschaften eines Stealth-Virus und eines polymorphen Virus aufweist.
• 7. Bewaffnete Viren schützen sich durch einen speziellen Code, der es sehr schwierig macht, den Virus aufzuspüren und zu zerlegen. Bewaffnete Viren können einen „Dummy“ verwenden, um sich zu schützen. Hierbei handelt es sich um einen Code, der es dem Entwickler von Antivirenprogrammen ermöglicht, vom echten Virencode abzulenken. Darüber hinaus kann der Virus ein spezielles Fragment enthalten, das darauf hinweist, dass sich der Virus an einem Ort befindet, obwohl er dort tatsächlich nicht vorhanden ist. Einer der bekanntesten waffenfähigen Viren ist Whale.
• 8. Viren sind Begleiter. Diese Viren haben ihren Namen erhalten, weil sie parallel zu der Datei, die sie infizieren, eine Datei mit demselben Namen, aber einer anderen Erweiterung erstellen. Beispielsweise könnte ein Begleitvirus seinen Körper in der Datei winword.com speichern. Dadurch startet das Betriebssystem vor jedem Start der Datei winword.exe die Datei winword.com, die sich im Speicher des Computers befindet. Typischerweise werden Begleitviren von Phagenviren erzeugt.
• 9. Die letzte klassische Art von Viren sind Phagenviren. Ein Phagenvirus ist ein Programm, das andere Programme oder Datenbanken verändert. Computerfachleute nennen diese Viren Phagen, weil sie sich wie lebende Mikroorganismen verhalten. Phagenviren sind in der Natur besonders schädliche Mikroorganismen, die den Inhalt einer Zelle durch ihren eigenen ersetzen. Typischerweise ersetzen Phagen Programmtexte durch ihren eigenen Code. Am häufigsten sind sie Erzeuger von Begleitviren. Phagen sind die gefährlichste Virusart. Tatsache ist, dass sie nicht nur andere Programme vermehren und infizieren, sondern auch danach streben, alle infizierten Programme zu zerstören.
• 10. Wurm. Im ersten Kapitel dieser Kursarbeit habe ich bereits über den berühmten Internet-Wurm gesprochen, der Ende der 80er Jahre auftauchte. Wie bereits erwähnt, war der Internetwurm (auch Morris-Wurm genannt) der erste Virus, der das Internet infizierte. Dieser Virus machte den Betrieb des Computers unmöglich, indem er eine große Anzahl von Kopien von sich selbst im Speicher des Computers erstellte. Da der Wurm versucht, den infizierten Computer zu stoppen, muss der Ersteller des Virus ihm die Möglichkeit geben, sich über das Netzwerk von einem Computer zum anderen zu bewegen. Ich habe bereits darüber gesprochen, wie Würmer sich mithilfe der in Kapitel zwei beschriebenen Protokolle und Systeme auf andere Computer kopieren. Die Remote-Wiedergabe ist erforderlich, da der Benutzer nach dem Stoppen des Computers versucht, alle Viren auf der Festplatte zu entfernen. Würmer müssen ihre Wirtsprogramme nicht ändern, um sich zu verbreiten. Um ordnungsgemäß zu funktionieren, benötigen Würmer Betriebssysteme, die Remote-Ausführungsfunktionen bieten und die Ausführung eingehender Programme auf dem Computer ermöglichen. Im Jahr 1988 verfügte nur ein Betriebssystem über solche Fähigkeiten – Unix. Bis vor kurzem konnten viele PCs nicht mit einem Wurm infiziert werden – weder DOS noch Windows 95 erlauben dies. Windows NT verfügt jedoch bereits über Remote-Ausführungsfunktionen und kann daher den Betrieb von Wurmviren unterstützen.

Einer der häufigsten Viren im Internet ist WINSTART. Der Name leitet sich vom Namen der Datei – winstart.bat – ab, in der sich normalerweise der Körper des Virus befindet. Dieser Wurm kopiert sich wie viele andere im Speicher der Maschine, bis das Betriebssystem deaktiviert wird. Danach friert der Computer automatisch ein. Während seiner Ausführung sucht der Virus gleichzeitig nach dem nächsten Opfer. Ironischerweise ist ein Wurm nicht nur eine bestimmte Art von Virus, sondern auch ein sehr nützliches Antiviren-Tool. Der Nachteil der meisten Standard-Auditing-Tools und Integritätswächter besteht darin, dass sie auch Opfer von Viren werden können. Es ist jedoch möglich, Sicherheitsinformationen und Programme auf isolierten und unveränderlichen Medien zu speichern. Für diese Zwecke sind WORM-Festplatten am besten geeignet. („Write-once, read-many“ – ein Datensatz, mehrfaches Lesen; das englische Wort „Wurm“ wird als „Wurm“ übersetzt. – Anmerkung des Übersetzers). Ein WORM-Festplattenlaufwerk ist normalerweise ein optisches Speichergerät, das mehrere WORM-Festplatten verarbeiten kann.

Zu den Computerviren zählen auch sogenannte Trojanische Pferde (trojanische Programme, Trojaner).

Softwareviren.

Softwareviren sind Programmcodeblöcke, die gezielt in andere Anwendungsprogramme eingebettet werden. Wenn Sie ein Programm ausführen, das einen Virus enthält, wird der darin implantierte Virencode gestartet.

Die Ausführung dieses Codes führt zu für den Benutzer verborgenen Änderungen im Dateisystem von Festplatten und/oder im Inhalt anderer Programme. Beispielsweise kann sich viraler Code im Körper anderer Programme reproduzieren – dieser Vorgang wird als Replikation bezeichnet. Nach einer gewissen Zeit, nachdem eine ausreichende Anzahl von Kopien erstellt wurde, kann ein Softwarevirus destruktive Aktionen ausführen: den Betrieb von Programmen und dem Betriebssystem stören und auf der Festplatte gespeicherte Informationen löschen. Dieser Vorgang wird als Virenangriff bezeichnet.

Die zerstörerischsten Viren können die Formatierung von Festplatten veranlassen. Da das Formatieren einer Festplatte ein ziemlich langwieriger Vorgang ist, der vom Benutzer nicht unbemerkt bleiben sollte, beschränken sich Softwareviren in vielen Fällen darauf, Daten nur in den Systemsektoren der Festplatte zu vermehren, was einem Verlust von Dateisystemtabellen gleichkommt. In diesem Fall bleiben die Daten auf der Festplatte unangetastet, können jedoch nicht ohne den Einsatz spezieller Tools verwendet werden, da nicht bekannt ist, welche Sektoren der Festplatte zu welchen Dateien gehören. Theoretisch ist in diesem Fall eine Datenwiederherstellung möglich, allerdings kann der Arbeitsaufwand dieser Arbeiten extrem hoch sein.

Man geht davon aus, dass kein Virus die Computerhardware beschädigen kann. Es kann jedoch vorkommen, dass Hardware und Software so eng miteinander verbunden sind, dass eine Beschädigung der Software durch den Austausch der Hardware behoben werden muss. Beispielsweise speichern die meisten modernen Motherboards das grundlegende Eingabe-/Ausgabesystem (BIOS) in einem wiederbeschreibbaren Nur-Lese-Speicher (sogenannter Flash-Speicher).

Die Fähigkeit, Informationen in einem Flash-Speicherchip zu überschreiben, wird von einigen Softwareviren genutzt, um BIOS-Daten zu zerstören.

In diesem Fall ist es zur Wiederherstellung der Funktionalität des Computers erforderlich, entweder den Chip, auf dem das BIOS gespeichert ist, auszutauschen oder ihn mithilfe einer speziellen Software neu zu programmieren.

Softwareviren dringen in den Computer ein, wenn sie ungeprüfte Programme ausführen, die sie auf externen Medien (Diskette, CD usw.) oder aus dem Internet empfangen haben. Besonderes Augenmerk sollte zu Beginn auf die Wörter gelegt werden. Wenn Sie infizierte Dateien einfach kopieren, kann Ihr Computer nicht infiziert werden. In diesem Zusammenhang müssen alle aus dem Internet empfangenen Daten einer obligatorischen Sicherheitsprüfung unterzogen werden. Wenn unverlangt Daten aus einer unbekannten Quelle eingehen, sollten diese ohne Prüfung vernichtet werden. Eine gängige Methode zur Verbreitung von Trojanern ist der Anhang einer E-Mail mit einer „Empfehlung“, das vermeintlich nützliche Programm zu extrahieren und auszuführen.

Bootviren.

Bootviren unterscheiden sich von Softwareviren in der Art und Weise, wie sie sich verbreiten. Sie greifen keine Programmdateien an, sondern bestimmte Systembereiche magnetischer Datenträger (Disketten und Festplatten). Darüber hinaus können sie beim Einschalten des Computers vorübergehend im RAM liegen.

Typischerweise tritt eine Infektion auf, wenn ein Computer von einem magnetischen Medium startet, dessen Systembereich einen Boot-Virus enthält. Wenn Sie beispielsweise versuchen, einen Computer von einer Diskette zu starten, dringt der Virus zunächst in den Arbeitsspeicher und dann in den Bootsektor der Festplatte ein. Dann wird dieser Computer selbst zur Verbreitungsquelle des Bootvirus.

Makroviren.

Dieser spezielle Virustyp infiziert Dokumente, die in bestimmten Anwendungsprogrammen ausgeführt werden. Die Möglichkeit haben, sogenannte Makrobefehle auszuführen. Zu diesen Dokumenten gehören insbesondere Microsoft Word-Textverarbeitungsdokumente (sie haben die Erweiterung .Doc). Eine Infektion tritt auf, wenn eine Dokumentdatei in einem Programmfenster geöffnet wird, es sei denn, die Möglichkeit zur Ausführung von Makrobefehlen ist im Programm deaktiviert.

Wie bei anderen Arten von Viren kann das Ergebnis eines Angriffs von relativ harmlos bis zerstörerisch reichen.

Haupttypen von Computerviren.

Derzeit sind mehr als 5.000 Softwareviren bekannt, die nach folgenden Kriterien klassifiziert werden können (Abb. 1):

• -Lebensraum;
• -Methode der Kontamination des Lebensraums;
• -Auswirkungen;
• -Merkmale des Algorithmus:

Abhängig von ihrem Lebensraum können Viren in Netzwerk-, Datei-, Boot- und File-Boot-Viren unterteilt werden.

Netzwerkviren verbreiten sich über verschiedene Computernetzwerke.

Dateiviren sind hauptsächlich in ausführbaren Modulen eingebettet, d. h. auf Dateien mit COM- und EXE-Erweiterungen. Dateiviren können in andere Dateitypen eingebettet werden, aber wenn sie einmal in solche Dateien geschrieben wurden, erlangen sie in der Regel nie die Kontrolle und verlieren daher die Fähigkeit zur Reproduktion.

Bootviren sind in den Bootsektor der Festplatte (Boot) oder in den Sektor eingebettet, der das Bootprogramm der Systemfestplatte enthält (Master Boot Record).

Dateibootviren infizieren sowohl Dateien als auch Bootsektoren von Festplatten.

Basierend auf der Infektionsmethode werden Viren in residente und nicht residente Viren unterteilt.

• - Wenn ein residenter Virus einen Computer infiziert, hinterlässt er seinen residenten Teil im RAM, der dann den Zugriff des Betriebssystems auf infizierte Objekte (Dateien, Bootsektoren usw.) abfängt und sich in diese einschleust. Residente Viren verbleiben im Speicher und sind aktiv, bis der Computer ausgeschaltet oder neu gestartet wird.
• - Nicht residente Viren infizieren den Computerspeicher nicht und sind nur für eine begrenzte Zeit aktiv.

Basierend auf dem Ausmaß der Beeinträchtigung können Viren in die folgenden Typen eingeteilt werden:

• - ungefährlich, beeinträchtigen den Betrieb des Computers nicht, verringern jedoch die Menge an freiem RAM und Festplattenspeicher; die Wirkung solcher Viren äußert sich in einigen Grafik- oder Soundeffekten;
• - gefährliche Viren, die zu verschiedenen Problemen mit Ihrem Computer führen können;
• - sehr gefährlich, dessen Auswirkungen zum Verlust von Programmen, zur Zerstörung von Daten und zum Löschen von Informationen in Systembereichen der Festplatte führen können.