Nama spesies virus Fitur virus. Jenis-jenis virus komputer dan mengapa berbahaya

Bagian situs

Pilihan Editor:

Periklanan

rumah - Melayani

Jenis virus

Nama parameter	Arti
Topik artikel:	Jenis virus
Rubrik (kategori tematik)	Komputer

Apa itu Virus, sejarah penciptaannya

Virus

John von Neumann mengusulkan metode untuk menciptakan mekanisme replikasi diri pada tahun 1951

Munculnya virus komputer pertama kali secara keliru dikaitkan dengan tahun 1970an dan bahkan 1960an. Biasanya disebut sebagai “virus”, program seperti Animal, Creeper, Cookie Monster (yang pertama dan terakhir dalam terminologi modern adalah worm, CREEPER bukanlah virus atau worm, melainkan program yang bergerak sendiri, yaitu ketika baru salinan CREEPER diluncurkan pada komputer jarak jauh, salinan sebelumnya berhenti berfungsi.)

Virus menyebar dengan menyalin tubuhnya dan memastikan eksekusi selanjutnya: memasukkan dirinya ke dalam kode yang dapat dieksekusi dari program lain, mengganti program lain, mendaftarkan dirinya di autorun, dan banyak lagi. Virus atau pembawanya tidak hanya program yang berisi kode mesin, tetapi juga informasi apa pun yang berisi perintah yang dijalankan secara otomatis - misalnya, file batch dan dokumen Microsoft Word dan Excel yang berisi makro. Pada saat yang sama, untuk menembus komputer, virus dapat menggunakan kerentanan pada perangkat lunak populer (misalnya, Adobe Flash, Internet Explorer, Outlook), yang mana distributor menyuntikkannya ke dalam data biasa (gambar, teks, dll.) bersama dengan sebuah eksploitasi mengeksploitasi kerentanan.

Ketika worm berkembang biak, mereka hanya menyalin kodenya ke beberapa direktori disk dengan harapan bahwa salinan baru ini suatu hari nanti akan diluncurkan oleh pengguna.

Virus pertama yang diketahui adalah Virus 1,2,3 dan Elk Cloner untuk PC Apple II. Kedua virus ini memiliki fungsi yang sangat mirip dan muncul secara independen satu sama lain dalam waktu singkat pada tahun 1981.

Virus komputer diberi nama dengan analogi dengan virus biologis karena mekanisme penyebarannya yang serupa.

Rupanya, kata “virus” pertama kali digunakan dalam kaitannya dengan program Gregory Benford dalam cerita fiksi ilmiah “The Scarred Man,” yang diterbitkan di majalah Venture pada Mei 1970.

Antivirus pertama muncul pada tahun 1984.

sesuai dengan habitat virusnya

‣‣‣ Virus berkas

‣‣‣ Booting virus

‣‣‣ Gabungan virus makro jaringan

‣‣‣ Virus dokumen

‣‣‣ Virus jaringan

‣‣‣ File-boot

Menurut cara penularannya ke habitat:

Virus penduduk- ketika komputer terinfeksi, ia meninggalkan bagian tetapnya di RAM, yang kemudian menghalangi akses sistem operasi ke objek infeksi dan tertanam di dalamnya.

Virus non-residen tidak menginfeksi memori komputer dan aktif dalam waktu terbatas.

Menurut kemampuan destruktifnya:

tidak berbahaya (tidak mempengaruhi pengoperasian komputer, kecuali mengurangi memori bebas karena distribusinya)
tidak berbahaya (mengurangi ruang disk kosong)
berbahaya (menyebabkan kegagalan)
Sangat berbahaya (kerusakan bagian mekanisme, hilangnya program, rusaknya data)

Sesuai dengan karakteristik algoritma virus .

Virus pendamping adalah virus yang tidak mengubah file.

Virus worm adalah virus yang menyebar di jaringan komputer dan, seperti virus pendampingnya, tidak mengubah file atau sektor pada disk. Mereka menembus memori komputer dari jaringan komputer, menghitung alamat jaringan komputer lain dan mengirimkan salinan dirinya ke alamat tersebut. Virus semacam itu terkadang membuat file yang berfungsi pada disk sistem, tetapi mungkin tidak mengakses sumber daya komputer sama sekali (kecuali RAM).

Virus polimorfik- virus yang mengubah kodenya dalam program yang terinfeksi sedemikian rupa sehingga dua salinan virus yang sama mungkin tidak cocok dalam satu bit pun. Virus komputer jenis ini sepertinya yang paling berbahaya saat ini. Virus tersebut tidak hanya mengenkripsi kodenya menggunakan jalur enkripsi yang berbeda, tetapi juga mengandung kode pembangkitan enkripsi dan dekripsi, yang membedakannya dari virus enkripsi biasa, yang juga dapat mengenkripsi bagian kodenya, tetapi pada saat yang sama memiliki kode enkripsi dan dekripsi yang konstan. .

Virus tersembunyi - Mereka menipu program antivirus dan akibatnya tetap tidak terdeteksi. Namun, ada cara sederhana untuk menonaktifkan mekanisme kamuflase virus siluman. Cukup dengan mem-boot komputer dari floppy disk sistem yang tidak terinfeksi dan segera, tanpa meluncurkan program lain dari disk komputer (yang mungkin juga terinfeksi), pindai komputer dengan program anti-virus. Ketika dimuat dari floppy disk sistem, virus tidak dapat memperoleh kendali dan memasang modul residen di RAM yang menerapkan mekanisme siluman. Program antivirus akan dapat membaca informasi yang sebenarnya tertulis di disk dan dengan mudah mendeteksi virus.

Kuda Troya (Khusus untuk Dan =)) - Ini adalah program yang berisi beberapa fungsi destruktif, yang diaktifkan ketika kondisi pemicu tertentu terjadi. Biasanya program semacam itu disamarkan sebagai beberapa utilitas yang berguna. “Kuda Troya” adalah program yang, selain fungsi yang dijelaskan dalam dokumentasi, mengimplementasikan beberapa fungsi lain yang terkait dengan pelanggaran keamanan dan tindakan destruktif. Ada beberapa kasus di mana program semacam itu dibuat untuk memfasilitasi penyebaran virus. Daftar program semacam itu dipublikasikan secara luas di media asing. Mereka biasanya menyamar sebagai program permainan atau hiburan dan menimbulkan kerugian disertai dengan gambar atau musik yang indah.

Cacing - virus yang menyebar di jaringan global, menginfeksi seluruh sistem, bukan program individual. Ini merupakan jenis virus yang paling berbahaya, karena sasaran serangan dalam hal ini adalah sistem informasi berskala nasional. Dengan munculnya Internet global, jenis pelanggaran keamanan ini menimbulkan ancaman terbesar, karena setiap dari 40 juta komputer yang terhubung ke jaringan ini dapat terkena serangan tersebut kapan saja.

Jenis-jenis virus - konsep dan jenisnya. Klasifikasi dan ciri-ciri kategori "Varietas virus" 2017, 2018.

Departemen Pendidikan Administrasi Distrik Ordzhonikidze

Virus komputer

Abstrak tentang ilmu komputer

Pelaksana:

Novikov Alexander

9 kelas "B".

Pengawas:

Nazimova Elena Anatolyevna

Guru IT

Yekaterinburg 1999

Apa itu virus komputer?

Virus komputer adalah program kecil yang ditulis khusus yang dapat “menghubungkan” dirinya dengan program lain dan juga melakukan berbagai tindakan yang tidak diinginkan pada komputer. Sebuah program yang mengandung virus disebut “terinfeksi”. Ketika program tersebut mulai bekerja, virus akan mengambil kendali terlebih dahulu. Virus menemukan dan “menginfeksi” program lain, dan juga melakukan beberapa tindakan berbahaya (misalnya, merusak file atau tabel alokasi file pada disk, “menyumbat” RAM, dll.). Virus adalah sebuah program yang mempunyai kemampuan untuk memperbanyak dirinya sendiri. Kemampuan ini merupakan satu-satunya sifat yang melekat pada semua jenis virus. Virus ini tidak dapat hidup dalam “isolasi total”. Artinya saat ini tidak mungkin membayangkan sebuah virus yang tidak akan menggunakan kode program lain, informasi tentang struktur file, atau bahkan hanya nama program lain. Alasannya cukup jelas: virus pasti menyediakannya

mentransfer kendali kepada diri Anda sendiri.

Jenis utama virus komputer

Terdapat sistem yang sepenuhnya formal untuk mengklasifikasikan virus komputer dan menamainya sedemikian rupa untuk menghindari situasi di mana virus yang sama memiliki nama berbeda yang tidak dapat dikenali dalam klasifikasi pengembang perangkat lunak antivirus yang berbeda. Meskipun demikian, masih belum mungkin untuk mengatakan bahwa terdapat penyatuan lengkap antara nama dan karakteristik virus. Hal ini sebagian besar ditentukan oleh fakta bahwa pada saat beberapa “aturan main” dirumuskan, alat antivirus sudah ada yang bekerja dalam sistem notasinya sendiri. Penyatuan umum memerlukan upaya besar dan modifikasi program dan dokumentasi. Dalam beberapa kasus, hal ini telah dilakukan. Kami akan berasumsi bahwa rata-rata pengguna tidak perlu mempelajari semua seluk-beluk fungsi virus: objek serangan, metode infeksi, ciri-ciri manifestasi, dll. Namun disarankan untuk mengetahui jenis virus apa. adalah, untuk memahami skema umum pekerjaan mereka.

Di antara berbagai virus, kelompok utama berikut dapat dibedakan:

– mem-boot virus; Ini adalah nama yang diberikan untuk virus yang menginfeksi sektor boot floppy disk dan hard drive;

– virus file; dalam kasus yang paling sederhana, virus tersebut menginfeksi file yang dapat dieksekusi; Jika semuanya kurang lebih jelas dengan virus boot, maka virus file adalah konsep yang kurang pasti; Misalnya saja, cukup dikatakan bahwa virus file mungkin tidak mengubah file sama sekali (virus satelit dan virus dari keluarga Dir-II);

– virus file boot; Virus tersebut memiliki kemampuan untuk menginfeksi kode sektor boot dan kode file. Jumlah virus seperti itu tidak banyak, tetapi di antara virus tersebut terdapat contoh yang sangat jahat (misalnya, virus OneHalf yang terkenal).

Virus ditulis dalam apa yang disebut bahasa makro, secara formal berbasis file, tetapi tidak menginfeksi file yang dapat dieksekusi, tetapi file data, namun, dirancang sedemikian rupa sehingga dapat terinfeksi - hal ini sudah menjadi hati nurani penerbit perangkat lunak.

File rusak dan terinfeksi

Virus komputer dapat merusak, mis. ubah dengan tepat file apa pun pada disk yang tersedia di komputer. Namun beberapa jenis file dapat terinfeksi virus. Ini berarti bahwa virus dapat “menyuntikkan” dirinya ke dalam file-file ini, mis. mengubahnya sehingga mengandung virus yang, dalam keadaan tertentu, dapat mulai bekerja.

Perlu dicatat bahwa teks program dan dokumen, file informasi database, tabel pengolah tabel, dan file serupa lainnya tidak dapat terinfeksi virus; itu hanya dapat merusaknya.

Jenis file berikut ini dapat terinfeksi virus:

1. File yang dapat dieksekusi, itu. file dengan ekstensi nama .COM dan .EXE, serta file overlay yang dimuat saat program lain dijalankan. Virus dalam file executable yang terinfeksi mulai bekerja ketika program tempatnya berada diluncurkan. Yang paling berbahaya adalah virus file yang, setelah diluncurkan, tetap tersimpan di memori - mereka dapat menginfeksi file dan menyebabkan kerusakan hingga komputer di-boot ulang berikutnya. Dan jika mereka menginfeksi program apa pun yang diluncurkan dari file AUTOEXEC.BAT atau CONFIG.SYS, maka virus akan mulai bekerja kembali saat Anda melakukan boot ulang dari hard drive.

2. Pemuat sistem operasi dan master boot

perekaman harddisk. Area ini dipengaruhi oleh virus boot.

Virus semacam itu mulai bekerja ketika komputer melakukan booting dan menjadi residen, mis. disimpan secara permanen di memori komputer. Mekanisme distribusinya adalah infeksi boot record dari floppy disk yang dimasukkan ke dalam komputer. Seringkali virus tersebut terdiri dari dua bagian, karena boot record dan master boot record berukuran kecil dan sulit untuk menampung keseluruhan program virus. Bagian virus yang tidak cocok di dalamnya terletak di bagian lain dari disk, misalnya, di akhir direktori root disk atau di cluster di area data disk (biasanya seperti itu) cluster dinyatakan cacat sehingga program virus tidak tertimpa ketika data ditulis ke disk).

3. Driver perangkat, itu. file yang ditentukan dalam aplikasi Perangkat dari file CONFIG.SYS. Virus yang terkandung di dalamnya mulai bekerja setiap kali perangkat terkait diakses. Virus yang menginfeksi driver perangkat sangat jarang terjadi, karena driver jarang ditulis ulang dari satu komputer ke komputer lain. Hal yang sama berlaku untuk file sistem DOS - infeksinya juga secara teori mungkin terjadi, tetapi untuk distribusinya tidak efektif.

Biasanya, setiap jenis virus tertentu hanya dapat menginfeksi satu atau dua jenis file. Virus yang paling umum adalah virus yang menginfeksi file yang dapat dieksekusi. Beberapa virus hanya menginfeksi file .COM, beberapa hanya menginfeksi file .EXE, dan sebagian besar menginfeksi keduanya. Virus kedua yang paling umum adalah virus boot. Beberapa virus menginfeksi file dan area boot disk. Virus yang menginfeksi driver perangkat sangat jarang terjadi; biasanya virus tersebut dapat menginfeksi file yang dapat dieksekusi.

Virus yang mengubah sistem file

Baru-baru ini, jenis virus baru telah menyebar luas - virus yang mengubah sistem file pada disk. Virus ini biasa disebut Dir. Virus tersebut menyembunyikan tubuhnya di beberapa bagian disk (biasanya cluster terakhir dari disk) dan menandainya di tabel alokasi file (FAT) sebagai akhir file. Untuk semua file .COM dan .EXE, penunjuk ke bagian pertama file yang terdapat dalam elemen direktori terkait diganti dengan tautan ke bagian disk yang berisi virus, dan penunjuk yang benar, yang dikodekan, disembunyikan di bagian yang tidak digunakan dari elemen direktori. Oleh karena itu, ketika program apa pun diluncurkan, virus dimuat ke dalam memori, setelah itu tetap berada di memori, terhubung ke program DOS untuk memproses file di disk, dan

memberikan tautan yang benar untuk semua panggilan ke elemen direktori.

Jadi, ketika virus sedang berjalan, sistem file pada disk tampak normal sepenuhnya. Jika dilihat sekilas pada disk yang terinfeksi pada komputer yang "bersih" tidak akan terlihat sesuatu yang aneh. Kecuali, ketika Anda mencoba membaca atau menyalin file program dari floppy disk yang terinfeksi, hanya 512 atau 1024 byte yang akan dibaca atau disalin, meskipun file tersebut lebih panjang. Dan ketika Anda menjalankan program apa pun yang dapat dieksekusi dari disk yang terinfeksi virus tersebut, disk ini, seolah-olah secara ajaib, mulai berfungsi (tidak mengherankan, karena komputer kemudian terinfeksi).

Ketika dianalisis pada komputer “bersih” menggunakan program ChkDsk atau NDD, sistem file dari disk yang terinfeksi virus Dir tampaknya rusak total. Dengan demikian, program ChkDsk menghasilkan sekumpulan pesan tentang perpotongan file (“...cross linked on cluster…”) dan tentang rantai cluster yang hilang (“... cluster yang hilang ditemukan di ... rantai”). Anda tidak boleh memperbaiki kesalahan ini dengan program ChkDsk atau NDD - ini akan menyebabkan kerusakan parah pada disk. Untuk memperbaiki disk yang terinfeksi virus ini, Anda sebaiknya hanya menggunakan program anti-virus khusus (misalnya, Aidstest versi terbaru).

"Tidak Terlihat" dan

virus yang dapat memodifikasi dirinya sendiri

Untuk mencegah deteksi, beberapa virus menggunakan teknik kamuflase yang agak licik. Kita akan membicarakan dua di antaranya: virus “tak terlihat” dan virus yang dapat memodifikasi dirinya sendiri.

Virus yang "tidak terlihat". Banyak virus residen (baik virus file maupun virus boot) mencegah pendeteksiannya dengan mencegat panggilan DOS (dan juga program aplikasi) ke file dan area disk yang terinfeksi dan menampilkannya dalam bentuk aslinya (tidak terinfeksi). Tentu saja, efek ini hanya terlihat pada komputer yang terinfeksi - pada komputer yang "bersih", perubahan pada file dan area boot disk dapat dengan mudah dideteksi.

Perhatikan bahwa beberapa program antivirus dapat mendeteksi virus “tak terlihat” bahkan pada komputer yang terinfeksi. Jadi, program ADinf dari perusahaan Dialog-Nauka membaca disk untuk tujuan ini tanpa menggunakan layanan DOS, dan program AVSP dari perusahaan Dialog-MSU “menonaktifkannya” untuk sementara waktu

pemeriksaan virus (cara terakhir tidak selalu berhasil).

Untuk memerangi virus, beberapa program antivirus menggunakan kemampuan virus file “tak terlihat” untuk “menyembuhkan” file yang terinfeksi. Mereka membaca (ketika virus sedang berjalan) informasi dari file yang terinfeksi dan menulisnya ke disk dalam sebuah file atau file di mana informasi ini disimpan dalam bentuk yang tidak terdistorsi. Kemudian, setelah boot dari floppy disk yang “bersih”, file yang dapat dieksekusi dikembalikan ke bentuk aslinya.

Virus yang dapat memodifikasi dirinya sendiri. Metode lain yang digunakan virus untuk menghindari deteksi adalah dengan memodifikasi tubuhnya. Banyak virus menyimpan sebagian besar tubuhnya dalam bentuk kode, sehingga disassembler tidak dapat memahami mekanisme kerjanya. Virus yang dapat memodifikasi dirinya sendiri menggunakan teknik ini dan sering kali mengubah parameter pengkodean ini, dan sebagai tambahan, mereka mengubah bagian awalnya, yang berfungsi untuk memecahkan kode perintah virus lainnya. Jadi, di dalam tubuh virus semacam itu tidak ada satu pun rantai byte konstan yang dapat digunakan untuk mengidentifikasi virus. Hal ini tentu saja mempersulit program pendeteksi untuk menemukan virus tersebut.

Namun, program pendeteksi masih belajar untuk menangkap virus “sederhana” yang dapat memodifikasi dirinya sendiri. Pada virus ini, variasi dalam mekanisme untuk mendekripsi bagian virus yang dikodekan hanya berhubungan dengan penggunaan register komputer tertentu, konstanta enkripsi, penambahan perintah “tidak penting”, dll. Dan program pendeteksi telah beradaptasi untuk mendeteksi perintah di bagian awal virus, meskipun menyembunyikan perubahan di dalamnya. Namun baru-baru ini, virus dengan mekanisme modifikasi diri yang sangat kompleks telah muncul. Di dalamnya, bagian awal virus dihasilkan secara otomatis menggunakan algoritma yang sangat kompleks: setiap instruksi penting dari decryptor ditransmisikan oleh satu dari ratusan ribu opsi yang memungkinkan, sementara lebih dari setengah dari semua perintah Intel-8088 digunakan. Masalah pengenalan virus semacam itu cukup rumit dan belum mendapatkan solusi yang sepenuhnya dapat diandalkan. Namun, beberapa program antivirus mempunyai alat untuk menemukan virus tersebut, dan Dr. Web - juga metode heuristik untuk mendeteksi bagian kode program yang "mencurigakan", yang merupakan ciri khas virus yang dapat memodifikasi dirinya sendiri.

Metode dasar perlindungan terhadap virus komputer

Untuk melindungi dari virus, Anda dapat menggunakan:

– alat perlindungan informasi umum, yang juga berguna sebagai jaminan terhadap kerusakan fisik pada disk, program yang tidak berfungsi, atau tindakan pengguna yang salah;

– tindakan pencegahan untuk mengurangi kemungkinan tertular virus;

program khusus untuk perlindungan virus.

Alat keamanan informasi umum berguna lebih dari sekadar perlindungan virus. Ada dua jenis utama dana ini:

menyalin informasi – membuat salinan file dan area disk sistem;

kontrol akses mencegah penggunaan informasi yang tidak sah, khususnya, perlindungan terhadap perubahan program dan data oleh virus, program yang tidak berfungsi, dan tindakan pengguna yang salah.

Meskipun langkah-langkah keamanan informasi umum sangat penting untuk perlindungan terhadap virus, langkah-langkah tersebut masih belum cukup. Penting juga untuk menggunakan program khusus untuk melindungi dari virus. Program-program ini dapat dibagi menjadi beberapa jenis: detektor, dokter (fag), auditor (program untuk memantau perubahan dalam file dan area sistem disk), dokter-auditor, filter (program residen untuk perlindungan terhadap virus) dan vaksin (imunisasi). Mari kita berikan definisi singkat tentang konsep-konsep ini, dan kemudian pertimbangkan secara rinci.

Program detektor memungkinkan Anda mendeteksi file yang terinfeksi salah satu dari beberapa virus yang dikenal.

Program dokter , atau fag , “mengobati” program atau disk yang terinfeksi dengan “menggigit” tubuh virus dari program yang terinfeksi, mis. memulihkan program ke keadaan sebelum virus terinfeksi.

Program auditor Pertama, mereka mengingat informasi tentang status program dan area sistem disk, dan kemudian membandingkan statusnya dengan status aslinya. Jika ada perbedaan yang terdeteksi, pengguna akan diberitahu.

Dokter-inspektur – ini adalah campuran auditor dan dokter, mis. program yang tidak hanya mendeteksi perubahan pada file dan area sistem disk, tetapi juga dapat secara otomatis mengembalikannya ke keadaan semula jika terjadi perubahan.

Filter program berlokasi di RAM komputer dan mencegat panggilan ke sistem operasi yang digunakan oleh virus untuk mereproduksi dan menyebabkan kerusakan, dan melaporkannya kepada pengguna.

Program vaksin atau imunisasi , memodifikasi program dan disk sedemikian rupa sehingga tidak mempengaruhi pengoperasian program, tetapi virus yang melakukan vaksinasi menganggap program atau disk tersebut sudah terinfeksi. Program-program ini sangat tidak efektif dan tidak dipertimbangkan lebih lanjut.

Program detektor dan dokter

Dalam kebanyakan kasus, Anda dapat menemukan program pendeteksi yang sudah dikembangkan untuk mendeteksi virus yang telah menginfeksi komputer Anda. Program-program ini memeriksa apakah file pada drive yang ditentukan pengguna berisi kombinasi byte khusus untuk virus tertentu. Ketika terdeteksi di file apa pun, pesan terkait ditampilkan di layar. Banyak detektor memiliki mode untuk menyembuhkan atau menghancurkan file yang terinfeksi.

Perlu ditekankan bahwa program pendeteksi hanya dapat mendeteksi virus yang “dikenal” olehnya. Program Pemindaian dari McAfee Associates dan Aidstest D.N. Lozinsky memungkinkan Anda mendeteksi sekitar 1000 virus, tetapi totalnya ada lebih dari lima ribu! Beberapa program pendeteksi, misalnya Norton AntiVirus atau AVSP dari Dialog-MGU, dapat dikonfigurasi untuk virus jenis baru; program tersebut hanya perlu menentukan kombinasi byte yang melekat pada virus tersebut. Namun, tidak mungkin mengembangkan program yang dapat mendeteksi virus yang sebelumnya tidak dikenal.

Jadi, fakta bahwa suatu program tidak dikenali oleh pendeteksi sebagai terinfeksi tidak berarti program tersebut sehat - program tersebut mungkin berisi virus baru atau versi virus lama yang sedikit dimodifikasi, yang tidak diketahui oleh program pendeteksi.

Program auditor

Program audit memiliki dua tahap kerja. Pertama, mereka mengingat informasi tentang status program dan area sistem disk (sektor boot dan sektor dengan tabel partisi hard disk). Diasumsikan bahwa saat ini program dan area disk sistem tidak terinfeksi. Setelah itu, dengan menggunakan program auditor, Anda dapat membandingkan status program dan area disk sistem dengan status aslinya kapan saja. Tentang diidentifikasi

perbedaan dilaporkan kepada pengguna.

Banyak pengguna memasukkan perintah untuk menjalankan program audit dalam file batch AUTOEXEC.BAT sehingga status program dan disk diperiksa setiap kali sistem operasi melakukan booting. Hal ini memungkinkan Anda mendeteksi infeksi virus komputer ketika belum menimbulkan banyak kerugian. Selain itu, program audit yang sama akan dapat menemukan file yang rusak karena virus.

Filter program

Salah satu alasan mengapa fenomena virus komputer menjadi mungkin adalah kurangnya sarana yang efektif dalam sistem operasi MS DOS untuk melindungi informasi dari akses yang tidak sah. Karena kurangnya sarana perlindungan, virus komputer dapat mengubah program tanpa disadari dan bebas dari hukuman, tabel alokasi file rusak, dll.

Dalam hal ini, berbagai perusahaan dan pemrogram telah mengembangkan program filter, atau program residen, untuk melindungi dari virus, yang sampai batas tertentu mengkompensasi kelemahan DOS ini. Program-program ini terletak di dalam RAM komputer dan “mencegat” panggilan ke sistem operasi yang digunakan oleh virus untuk mereproduksi dan menyebabkan kerusakan. Tindakan “mencurigakan” tersebut, khususnya, mengubah file .COM dan .EXE, menghapus atribut “read-only” dari file, menulis langsung ke disk (menulis ke alamat absolut), memformat disk, menginstal “resident” (terletak secara permanen di RAM) program.

Setiap kali tindakan yang tidak mencurigakan diminta, sebuah pesan ditampilkan di layar komputer yang menunjukkan tindakan apa yang diminta dan program apa yang ingin dilakukan. Anda dapat mengizinkan tindakan ini atau menolaknya (Gambar 1).

Beberapa program filter tidak “menangkap” tindakan mencurigakan, tetapi memeriksa program yang diminta untuk dieksekusi dari virus. Dapat dimengerti bahwa hal ini menyebabkan komputer melambat.

Tingkat perlindungan yang diberikan oleh program filter tidak boleh dilebih-lebihkan, karena banyak virus, untuk mereproduksi dan menyebabkan kerusakan, mengakses program sistem operasi secara langsung, tanpa menggunakan metode standar untuk memanggil program ini melalui interupsi, dan program residen hanya mencegat interupsi ini untuk melindungi melawan virus. Selain itu, program filter tidak membantu melawan infeksi hard drive oleh virus yang menyebar melalui sektor boot, karena infeksi tersebut terjadi ketika memuat DOS, mis. sebelum menjalankan program apa pun atau menginstal driver.

Namun, keuntungan menggunakan program filter sangat signifikan - program ini memungkinkan Anda mendeteksi banyak virus pada tahap yang sangat awal, ketika virus belum sempat berkembang biak dan merusak apa pun. Dengan cara ini Anda dapat meminimalkan kerugian akibat virus.

Apa yang bisa dan tidak bisa mereka lakukan

virus komputer

Karena ketidaktahuan tentang mekanisme kerja virus komputer, serta di bawah pengaruh berbagai rumor dan publikasi yang tidak kompeten di media, sering kali timbul semacam ketakutan terhadap virus, yang disebut-sebut. "virusofobia". Kompleks ini memiliki dua manifestasi.

1. Kecenderungan untuk menghubungkan kerusakan data atau fenomena yang tidak biasa pada komputer dengan virus. Misalnya, floppy disk tidak dapat diformat; untuk “fobia virus” ini bukan kemungkinan cacat pada floppy disk atau drive, tetapi akibat virus. Jika blok buruk muncul di hard drive, tentu saja virus juga harus disalahkan. Faktanya, fenomena tidak biasa pada komputer lebih sering disebabkan oleh kesalahan pengguna, kesalahan program, atau kerusakan perangkat keras.

2. Pemikiran yang berlebihan tentang kemampuan virus. Beberapa orang berpikir, misalnya, memasukkan floppy disk yang terinfeksi ke dalam drive saja sudah cukup agar komputer dapat terinfeksi virus. Hal ini juga diyakini secara luas untuk menghubungkan komputer

ke dalam jaringan, atau bahkan hanya berdiri di ruangan yang sama, menginfeksi satu komputer pasti akan langsung menginfeksi komputer lainnya.

Obat terbaik untuk fobia virus adalah pengetahuan tentang cara kerja virus, apa yang bisa dan tidak bisa dilakukannya. Virus adalah program biasa dan tidak dapat melakukan tindakan supernatural apa pun.

Agar komputer dapat terinfeksi virus, program yang berisi virus tersebut harus dijalankan setidaknya satu kali. Oleh karena itu, infeksi awal komputer dengan virus dapat terjadi pada salah satu kasus berikut:

– program yang terinfeksi jenis .COM atau .EXE atau modul program overlay yang terinfeksi telah dijalankan di komputer;

– komputer melakukan booting dari floppy disk yang berisi sektor boot yang terinfeksi;

sistem operasi yang terinfeksi atau driver perangkat yang terinfeksi telah diinstal di komputer;

Oleh karena itu, tidak ada alasan untuk khawatir komputer Anda akan terinfeksi virus jika:

Teks program, dokumen, file informasi database atau pemroses tabel, dll. disalin ke komputer. File-file ini bukan program dan oleh karena itu tidak dapat terinfeksi virus;

Pada komputer yang tidak terinfeksi, file disalin dari satu floppy disk ke floppy disk lainnya. Jika komputer “sehat”, maka baik komputer itu sendiri maupun floppy disk yang disalin tidak akan terinfeksi virus. Satu-satunya pilihan untuk menularkan virus dalam situasi ini adalah dengan menyalin file yang terinfeksi: dalam hal ini, salinannya, tentu saja, juga akan “terinfeksi”, tetapi baik komputer maupun file lainnya tidak akan terinfeksi;

Menggunakan pengolah kata, pengolah spreadsheet, sistem manajemen basis data, dan program lain yang tersedia di hard drive komputer yang tidak terinfeksi, file informasi yang terdapat di floppy disk diproses.

Tindakan yang harus dilakukan jika terinfeksi virus

Jika komputer Anda terinfeksi virus (atau jika Anda mencurigainya), empat aturan harus diikuti.

Pertama-tama, tidak perlu terburu-buru dan mengambil keputusan yang terburu-buru - tindakan yang tidak dipertimbangkan dengan baik tidak hanya menyebabkan hilangnya beberapa file yang dapat dipulihkan, tetapi juga infeksi ulang pada komputer.

2. Satu tindakan harus segera dilakukan - Anda harus mematikan komputer agar virus tidak melanjutkan tindakan merusaknya.

3. Semua tindakan untuk mendeteksi jenis infeksi dan mengobati komputer harus dilakukan hanya ketika komputer di-boot dari floppy disk “referensi” yang dilindungi sistem operasi. Dalam hal ini, Anda sebaiknya hanya menggunakan program (file yang dapat dieksekusi) yang disimpan di floppy disk yang dilindungi penulisan. Kegagalan untuk mematuhi aturan ini dapat mengakibatkan konsekuensi yang sangat serius, karena ketika memuat DOS atau menjalankan program dari disk yang terinfeksi, virus dapat diaktifkan di komputer, dan jika virus sedang berjalan, perawatan komputer tidak ada gunanya, karena ini akan disertai dengan infeksi lebih lanjut pada disk dan program.

4. Jika program filter residen digunakan untuk melindungi dari virus, maka keberadaan virus dalam program apa pun dapat dideteksi pada tahap yang sangat awal, ketika virus belum sempat menginfeksi program lain dan merusak file apa pun. Dalam hal ini, Anda harus me-reboot DOS dari floppy disk dan menghapus program yang terinfeksi, lalu menulis ulang program ini dari floppy disk referensi atau memulihkannya dari arsip. Untuk mengetahui apakah virus telah merusak file lain, Anda harus menjalankan program audit untuk memeriksa perubahan pada file, sebaiknya dengan daftar file yang banyak untuk dipindai. Untuk menghindari infeksi lebih lanjut pada komputer Anda selama proses pemindaian, Anda harus menjalankan file program audit yang dapat dieksekusi yang terletak di floppy disk.

Perawatan komputer. Jika virus telah berhasil menginfeksi atau merusak beberapa file di disk komputer Anda, Anda harus melakukan langkah-langkah berikut.

Reboot sistem operasi DOS dengan floppy disk referensi yang telah disiapkan sebelumnya. Floppy disk ini, seperti floppy disk lain yang digunakan dalam pemulihan virus komputer, harus memiliki label proteksi tulis untuk mencegah virus menginfeksi atau merusak file di floppy disk. Perhatikan bahwa reboot tidak boleh dilakukan menggunakan pintasan keyboard Ctrl+Alt+Del, Karena beberapa virus berhasil “bertahan” dari reboot seperti itu.

Jika komputer Anda memiliki program konfigurasi (disebut ketika Anda menekan kombinasi tombol tertentu saat komputer boot), Anda harus menjalankan program ini dan memeriksa apakah pengaturan konfigurasi komputer telah diatur dengan benar, karena mereka mungkin dirusak oleh virus. Jika pemasangannya salah, maka harus dipasang ulang.

Jika terdapat program pendeteksi untuk mendeteksi virus yang menginfeksi komputer Anda, sebaiknya jalankan program tersebut untuk memindai disk komputer. Untuk menemukan program yang Anda perlukan, Anda dapat menjalankan program pendeteksi yang ada satu per satu untuk memindai disk yang terinfeksi (lebih baik tidak menggunakan mode program pendeteksi yang mendisinfeksi atau menghapus file yang terinfeksi tanpa konfirmasi). Pertama, masuk akal untuk menjalankan program yang mendeteksi beberapa virus sekaligus, misalnya Scan atau Aidstest. Jika salah satu program pendeteksi melaporkan bahwa ia telah menemukan virus, maka program tersebut harus digunakan dalam proses menghilangkan konsekuensi dari infeksi virus pada komputer, seperti yang dijelaskan di bawah ini. Namun perlu dicatat bahwa sering kali komputer terinfeksi beberapa virus sekaligus, oleh karena itu, setelah menemukan satu virus, Anda tidak perlu tenang, mungkin ada virus kedua atau ketiga di komputer.

Selanjutnya, Anda harus menetralisir semua disk yang mungkin terinfeksi virus secara berurutan, seperti dijelaskan di bawah ini. Perhatikan bahwa jika hard drive di komputer dibagi menjadi beberapa drive logis, maka ketika mem-boot dari floppy disk, hanya satu drive logis yang dapat diakses - drive tempat sistem operasi DOS dimuat. Dalam hal ini, pertama-tama Anda harus menetralkan drive logis tempat DOS melakukan booting, lalu melakukan booting dari hard drive dan menetralisir drive logis lainnya.

Perawatan cakram. Jika disk memiliki salinan arsip dari semua file yang Anda perlukan, cara termudah adalah memformat ulang disk dan kemudian memulihkan semua file pada disk tersebut menggunakan salinan arsip. Sekarang mari kita asumsikan bahwa disk berisi file yang diperlukan, salinannya tidak ada dalam arsip. Untuk lebih pastinya, kami berasumsi bahwa disk ini terletak di drive (B :). Anda perlu melakukan hal berikut:

Jalankan program pendeteksi pada disk yang mendeteksi virus yang menginfeksi komputer (jika tidak jelas pendeteksi mana yang mendeteksi virus, sebaiknya jalankan program pendeteksi satu per satu hingga salah satu mendeteksi virus). Dalam hal ini, lebih baik tidak menetapkan rejimen pengobatan.

Jika program pendeteksi mendeteksi virus boot, Anda dapat menggunakan mode perawatannya dengan aman untuk menghilangkan virus. Jika virus seperti Dir terdeteksi, virus tersebut juga harus dihapus menggunakan satu atau beberapa program antivirus, dan jangan pernah menggunakan program seperti NDD dan ChkDsk untuk ini.

Sekarang Anda tahu bahwa tidak ada virus tipe Dir pada disk, Anda dapat memeriksa integritas sistem file dan permukaan

disk menggunakan program NDD: NDD B: C. Jika kerusakan pada sistem file signifikan, maka disarankan untuk menyalin semua file yang diperlukan dari disk, salinannya tidak ada dalam arsip, ke floppy disk dan memformat ulang disk. Jika disk memiliki struktur file yang rumit, Anda dapat mencoba memperbaikinya menggunakan program DiskEdit dari Norton Utilites.

Jika informasi tentang file pada disk untuk program audit disimpan, maka berguna untuk menjalankan program audit untuk mendiagnosis perubahan pada file. Ini memungkinkan Anda menentukan file mana yang telah terinfeksi atau rusak oleh virus. Jika program audit juga menjalankan fungsi dokter, Anda dapat mempercayainya untuk memulihkan file yang rusak.

Hapus semua file yang tidak perlu dari disk, serta file yang salinannya ada di arsip. File-file yang belum dimodifikasi oleh virus (ini dapat diinstal menggunakan program audit) tidak perlu dihapus.

Dalam situasi apa pun Anda tidak boleh meninggalkan file .COM dan .EXE pada disk yang program auditnya melaporkan bahwa file tersebut telah diubah. File .COM dan .EXE yang tidak diketahui apakah telah dimodifikasi oleh virus atau tidak, sebaiknya dibiarkan di disk hanya jika benar-benar diperlukan.

Jika disk yang Anda proses adalah disk sistem (yaitu, Anda dapat mem-boot sistem operasi DOS dari disk tersebut), maka Anda harus menulis ulang sektor boot dan file sistem operasi ke dalamnya. Hal ini dapat dilakukan dengan perintah SYS.

Jika komputer Anda telah terinfeksi virus file dan Anda belum melakukan perawatan apa pun dengan bantuan dokter-inspektur, Anda harus menjalankan program dokter untuk merawat disk ini. File terinfeksi yang tidak dapat dipulihkan oleh program dokter harus dimusnahkan. Tentu saja jika

Abstrak terkait.

Virus komputer adalah program berukuran kecil yang ditulis secara khusus (yaitu, sekumpulan kode tertentu yang dapat dieksekusi) yang dapat “mengatribusikan” dirinya ke program lain (“menginfeksi”), membuat salinan dirinya sendiri dan menyuntikkannya ke dalam file, area sistem komputer , dll. .d., dan juga melakukan berbagai tindakan yang tidak diinginkan di komputer.

Ada virus jaringan - produk perangkat lunak berbahaya yang mereproduksi dan menyebar secara mandiri di jaringan. Mereka dapat mempengaruhi informasi jaringan dan sistem serta informasi pengguna.

Virus komputer mendapatkan namanya karena kemiripan tertentu dengan virus “biologis” dalam hal:

Kemampuan reproduksi diri;

Kecepatan propagasi yang tinggi;

Selektivitas sistem yang terkena dampak (setiap virus hanya mempengaruhi sistem tertentu atau kelompok sistem yang homogen);

Kemampuan untuk “menginfeksi” sistem yang tidak terinfeksi;

Kesulitan dalam melawan virus, dll.

Kasus infeksi massal komputer Internet yang paling terkenal, yang menimbulkan konsekuensi serius, adalah kejadian darurat pada tanggal 2 November 1988, ketika ribuan komputer praktis dinonaktifkan akibat penyebaran virus Morris (WORM), yang merupakan a program kompleks 60 kilobyte yang ditulis dalam bahasa C. Program ini bekerja pada beberapa sistem operasi yang berbeda, meskipun serupa: BSD-Unix, VAX, SunOS. Setelah “menetap” di satu komputer, virus mencoba menginfeksi semua PC lain yang terhubung ke komputer tersebut. Pertama kali mencoba menemukan korban berikutnya dengan mencoba membuat koneksi menggunakan layanan Telnet, atau SMTP, atau Rexec. Jika komputer terdeteksi di ujung sambungan yang lain, virus mencoba menginfeksinya dengan salah satu dari tiga cara. Dalam kasus hubungan saling percaya antara komputer yang sudah terinfeksi dan korban baru, infeksi terjadi menggunakan perintah standar dari prosesor perintah Bourne rch. Dengan tidak adanya hubungan seperti itu, infeksi terjadi menggunakan utilitas fingerd atau sendmail. Untuk infeksi menggunakan utilitas fingerd, 536 byte data ditulis ke buffer input utilitas ini. Ketika buffer meluap, kode yang dikembalikan dari utilitas ternyata sama dengan instruksi untuk mengeksekusi kode virus. Untuk menginfeksi menggunakan perintah sendmail, opsi debug dari perintah ini digunakan, yang dimaksudkan untuk debugging. Dengan bantuannya, perintah dimasukkan ke komputer korban, yang mengarah pada penyalinan virus ke PC. Setelah menembus komputer korban, virus menemukan file kata sandi Unix dan mencoba menebak kata sandi pengguna komputer yang memiliki hak istimewa. Virus ini berisi beberapa algoritma pemisahan kata sandi. Salah satu dari mereka mencoba menebak kata sandi menggunakan berbagai turunan nama pengguna, yang lain memiliki tabel bawaan berisi 432 kata sandi paling umum, dan yang ketiga mencoba menebak kata sandi menggunakan metode brute force. Untuk mempercepat proses pemisahan kata sandi, virus meluncurkan beberapa proses paralel. Setelah menerima kata sandi semua pengguna, virus mencoba menggunakannya untuk menangkap komputer berikut. Dalam waktu singkat keberadaannya (tidak lebih dari sehari), virus ini berkembang biak tanpa batas waktu dan melumpuhkan sebagian besar sistem komputer besar di Amerika Serikat yang terhubung ke Internet dengan kerjanya.

Pada tanggal 16 Oktober 1999, sebuah pesan muncul di Internet tentang serangan terhadap jaringan SPAN sistem VAX/VMS oleh worm jaringan W.COM. Virus ini hanya menyerang sistem operasi DEC VMS dan menyebar melalui jaringan yang menggunakan protokol keluarga DECnet. Jaringan TCP/IP tidak berisiko terinfeksi, tetapi dapat berfungsi sebagai media transportasi penyebaran virus jika paket DECnet yang dienkapsulasi dikirimkan melalui jaringan TCP/IP.

Worm W.COM memodifikasi file yang dapat dieksekusi dengan menambahkan kodenya sendiri ke dalamnya, sehingga ancaman terhadap pengembang senjata nuklir ditampilkan di layar. Untuk mereproduksi, worm mencari pengguna di jaringan tanpa kata sandi atau dengan kata sandi yang cocok dengan nama pengguna. Ketika pengguna tersebut ditemukan, worm diluncurkan atas namanya dan memodifikasi file baru. Konsekuensi terburuk terjadi ketika worm dieksekusi sebagai pengguna yang memiliki hak istimewa. Dalam hal ini, ia membuat pengguna baru dan mengubah kata sandi pengguna yang ada, yaitu menciptakan kondisi untuk inisialisasinya di masa mendatang. Penetrasi ke sistem lain dilakukan dengan pencarian acak melalui alamat jaringan dan mengakses sistem jarak jauh atas nama pengguna aktif.

Virus di Internet sering kali menyamar sebagai file zip atau file terkompresi. Kasus indikatif terjadi pada tahun 1995, ketika file pkz300B.exe atau pkz300B.zip dapat dihapus. Saat diluncurkan atau dibuka ritsletingnya, arsip yang dapat diperluas sendiri diaktifkan, menyebabkan hard drive diformat ulang.

Pada tahun 1999, muncul virus makro yang mencuri kunci sistem enkripsi PGP. Itu termasuk dalam kelas yang oleh beberapa ahli disebut virus spyware. Virus ini dibuat dengan tujuan untuk mencuri informasi yang tersimpan di komputer orang lain. Caligula tiba di PC bersama dengan dokumen yang terinfeksi dalam format Microsoft Word. Saat berada di PC baru, virus makro ini memeriksa apakah salinan perangkat lunak PGP diinstal di dalamnya. Jika sistem seperti itu berhasil dideteksi, kunci rahasia sandi yang digunakan di dalamnya - komponen terpenting dari sudut pandang keamanan data yang dienkripsi menggunakan algoritma PGP - akan disalin ke salah satu server FTP di Internet .

Virus Soubig dapat diterjemahkan dari bahasa Inggris sebagai “sangat besar” dan pertama kali diumumkan pada tanggal 18 Agustus 2003. Soubig mewakili generasi baru virus super dan berbahaya karena memiliki kemampuan luar biasa untuk menyebar dan bereproduksi sendiri. Versi Soubig miliknya sangat berbahaya - Eph. Tujuan dari virus ini adalah untuk menginfeksi email. Keunikannya adalah ia dapat mengubah isi teks pesan elektronik dan menyerang setiap komputer melalui email dengan ratusan pesan berbeda.

Pada tahun 2005, salah satu virus yang aktif adalah worm W32.Codbot.AL. Virus ini menyebar dengan mengeksploitasi kerentanan yang diketahui dalam proses SQL Server LSASS dan RPC-DCOM. Untuk menginstal dirinya sendiri di komputer, ia mendaftarkan dirinya sebagai proses sistem yang berjalan setiap kali sistem dimulai. Saat berjalan, ia terhubung ke berbagai server IRC dan mendengarkan perintah. Virus dapat menerima segala macam perintah, seperti mengumpulkan informasi komputer, merekam penekanan tombol, mengaktifkan layanan FTP, dan bahkan mengunduh dan menjalankan program jahat lainnya.

Worm kedua, W32.Semapi.A, didistribusikan melalui email dalam pesan dengan header berbeda, pengirim dan properti lainnya, sebagai lampiran dengan nama dan ekstensi berbeda-beda. Ketika worm terinstal di komputer, ia menyalin beberapa file ke hard drive dan membuat serangkaian entri registri untuk memastikan bahwa worm tersebut berjalan setiap kali komputer dihidupkan. Ia kemudian mencari alamat email di semua file dengan ekstensi tertentu di komputer yang terpengaruh dan mengirimkan salinan dirinya ke file tersebut.

Trojan Banker.XP mencoba mendapatkan data rahasia, seperti kata sandi untuk mengakses berbagai layanan di komputer yang terinfeksi. Setelah diterima, dia mengkompilasinya dan mengirimkannya ke peretas.

Pada bulan Juni 2005, Kaspersky Lab mengumumkan pendaftaran program jahat pertama yang mempengaruhi sistem otomasi terkenal 1C: Enterprise. Virus ini disebut Tanga.

Tanga menyebar di sistem 1C: Enterprise 7.7 dengan menginfeksi file pengguna yang bertanggung jawab atas laporan eksternal dan memiliki ekstensi “ERT”. Metode penempatan Tanga dalam file yang terinfeksi sebagian besar mirip dengan virus makro yang menginfeksi dokumen dan tabel dalam paket perangkat lunak Microsoft Office. Modul berbahaya terletak di blok data khusus dan diaktifkan ketika file laporan dibuka. Untuk beroperasi, virus menggunakan perpustakaan khusus "Compound.dll". Jika file ini hilang dari sistem, virus tidak akan berjalan.

Perlu dicatat bahwa penulis Tanga versi ini menunjukkan pemahaman tentang kompleksitas pekerjaan para ahli anti-virus dan melakukan segalanya untuk meminimalkan waktu analisis kode dan kerusakan dari kemungkinan distribusinya. Untuk melakukan hal ini, pembuat virus menghilangkan fungsi destruktifnya, menjadikan program ini aman bahkan jika terjadi infeksi.

Virus komputer dapat diklasifikasikan menurut kriteria berikut:

− menurut habitat virus:

· jaringan;

· mengajukan;

· sepatu bot;

− menurut cara penularannya:

· penduduk;

· bukan penduduk;

− menurut kemampuan destruktif:

· tidak berbahaya;

· berbahaya;

· sangat berbahaya;

− sesuai dengan fitur algoritma virus.

Pencarian teks lengkap:

Beranda > Tes >Informatika

Kementerian Pendidikan dan Ilmu Pengetahuan Federasi Rusia

Universitas Perdagangan dan Ekonomi Rusia

Institut Kazan (cabang)

Departemen Matematika dan Matematika Tinggi

Tes No.1

disiplin: "Informatika"

VIRUS KOMPUTER

Dilakukan:

mahasiswa korespondensi tahun pertama

departemen khusus fakultas

Kelompok "Keuangan dan Kredit".

Diperiksa:

Kazan, 2007

RENCANA

Perkenalan

Hakikat dan wujud virus komputer

Jenis utama dan jenis virus komputer

Bagaimana virus menyebar?

Deteksi virus komputer

5. Tindakan pencegahan terhadap virus

Kesimpulan

Bibliografi

Perkenalan

Virus komputer– program yang dibuat khusus yang dirancang untuk melakukan tindakan tertentu yang mengganggu pekerjaan di komputer. Banyak program virus yang tidak berbahaya, namun sayangnya tidak semuanya sepenuhnya tidak berbahaya. Pertama, mereka memakan ruang di RAM dan disk. Kedua, mereka mungkin mengandung kesalahan, yang dapat menyebabkan sistem crash dan reboot. Oleh karena itu, jika virus tersebut tidak berbahaya, Anda tetap harus menyingkirkannya.

Saat ini terdapat beberapa jenis dan jenis virus. Jenis utama virus komputer adalah: virus perangkat lunak, virus boot, dan virus makro. Saat ini diketahui lebih dari 5.000 jenis virus perangkat lunak, dan dapat diklasifikasikan menurut kriteria berikut: habitat; metode infeksi habitat; dampak; fitur algoritma.

Cara utama virus memasuki komputer adalah disket (floppy dan laser), serta jaringan komputer. Hard drive Anda dapat terinfeksi virus ketika Anda mem-boot komputer Anda dari floppy disk yang berisi virus. Infeksi semacam itu juga bisa terjadi secara tidak sengaja, misalnya, jika floppy disk tidak dihapus dari drive A: dan komputer telah di-boot ulang, sedangkan floppy disk tersebut mungkin bukan sistem. Jauh lebih mudah untuk menginfeksi floppy disk. Virus dapat masuk ke dalamnya meskipun floppy disk dimasukkan ke dalam drive disk komputer yang terinfeksi dan, misalnya, daftar isinya dibaca. Namun cara paling umum untuk menyebarkan virus adalah melalui jaringan komputer, dan khususnya Internet, ketika program lain, seperti game, ditulis ulang dan diluncurkan. Mungkin ada kasus lain yang jarang terjadi ketika hard drive lain dimasukkan ke komputer, yang telah terinfeksi. Untuk menghindari hal ini, boot dari floppy disk sistem dan pindai hard drive dengan program anti-virus khusus, atau, lebih baik lagi, partisi dan format disk dengan program Fdisk dan Format.

Untuk mengidentifikasi virus, terdapat program anti virus khusus yang dapat mendeteksi dan menghancurkan virus. Pilihan program antivirus cukup banyak. Ini adalah Aidstest (Lozinsky), Dr Web, Norton antivirus untuk Windows, kit DSAV dan lain-lain.

Hakikat dan wujud virus komputer

Sayangnya, meluasnya penggunaan komputer pribadi ternyata dikaitkan dengan munculnya program virus yang dapat mereplikasi diri yang mengganggu pengoperasian normal komputer, merusak struktur file disk, dan merusak informasi yang tersimpan di komputer. Sekali virus komputer menembus satu komputer, ia dapat menyebar ke komputer lain.

Penyebab munculnya dan penyebaran virus komputer, di satu sisi, tersembunyi dalam psikologi kepribadian manusia dan sisi bayangannya (iri hati, balas dendam, kesombongan pencipta yang tidak dikenal), di sisi lain, karena kurangnya pengetahuan. perlindungan perangkat keras dan penangkal dari sistem operasi komputer pribadi.

Meskipun undang-undang yang diterapkan di banyak negara untuk memerangi kejahatan komputer dan pengembangan perangkat lunak anti-virus khusus, jumlah virus perangkat lunak baru terus bertambah. Hal ini mengharuskan pengguna komputer pribadi untuk memiliki pengetahuan tentang sifat virus, metode infeksi virus dan perlindungan terhadapnya.

Ketika komputer Anda terinfeksi virus, sangat penting untuk segera mendeteksinya. Untuk melakukan ini, Anda harus mengetahui tanda-tanda utama virus. Ini termasuk:

penghentian operasi atau pengoperasian yang salah dari program yang sebelumnya berfungsi dengan baik;

kinerja komputer lambat;

ketidakmampuan untuk memuat sistem operasi;

hilangnya file dan direktori atau kerusakan isinya;

mengubah tanggal dan waktu modifikasi file;

mengubah ukuran file;

peningkatan signifikan yang tidak terduga dalam jumlah file di disk;

pengurangan signifikan dalam ukuran RAM bebas;

Menampilkan pesan atau gambar yang tidak terduga4

memberikan sinyal suara yang tidak terduga;

Sering macet dan crash di komputer.

Namun berdasarkan semua tanda tersebut, tidak mungkin untuk mengatakan dengan pasti bahwa virus telah memasuki komputer. Karena mungkin ada malfungsi lain, yang penyebabnya adalah malfungsi atau kurangnya debugging pada sistem. Misalnya, di komputer yang dibeli, saat Anda memulainya, alih-alih simbol Rusia, simbol yang tidak dapat dipahami yang Anda lihat untuk pertama kali ditampilkan. Alasannya mungkin karena driver Cyrillic untuk tampilan tidak diinstal. Alasan yang sama - kurangnya driver untuk printer - mungkin juga menjelaskan perilaku aneh printer. Kegagalan sistem mungkin disebabkan oleh sirkuit mikro yang buruk di dalam unit sistem atau pada sambungan kabel.

Jenis utama dan jenis virus komputer

Jenis utama virus komputer adalah:

virus perangkat lunak;

mem-boot virus;

makrovirus.

Virus komputer juga termasuk yang disebut trojan

kuda (program Trojan, Trojan).

Virus perangkat lunak.

Virus perangkat lunak adalah blok kode program yang sengaja ditanamkan ke dalam program aplikasi lain. Saat Anda menjalankan program yang membawa virus, kode virus yang ditanamkan di dalamnya akan diluncurkan.

Pengoperasian kode ini menyebabkan perubahan yang tersembunyi dari pengguna dalam sistem file hard drive dan/atau dalam konten program lain. Misalnya, kode virus dapat mereproduksi dirinya sendiri di dalam program lain - proses ini disebut reproduksi. Setelah waktu tertentu, setelah membuat salinan dalam jumlah yang cukup, virus perangkat lunak dapat melanjutkan tindakan destruktif: mengganggu pengoperasian program dan sistem operasi, menghapus informasi yang tersimpan di hard drive. Proses ini disebut serangan virus.

Virus yang paling merusak dapat memulai pemformatan hard drive. Karena memformat disk adalah proses yang cukup panjang yang tidak boleh luput dari perhatian pengguna, dalam banyak kasus virus perangkat lunak hanya terbatas pada penggandaan data di sektor sistem hard disk, yang setara dengan hilangnya tabel sistem file. Dalam hal ini, data pada hard drive tetap tidak tersentuh, namun tidak dapat digunakan tanpa menggunakan alat khusus, karena tidak diketahui sektor mana pada disk yang termasuk dalam file mana. Secara teori, pemulihan data dapat dilakukan dalam kasus ini, namun intensitas tenaga kerja dari pekerjaan ini bisa sangat tinggi.

Dipercaya bahwa tidak ada virus yang dapat merusak perangkat keras komputer. Namun, ada kalanya perangkat keras dan perangkat lunak saling berhubungan sehingga kerusakan perangkat lunak harus diatasi dengan mengganti perangkat keras. Misalnya, pada sebagian besar motherboard modern, sistem input/output dasar (BIOS) disimpan dalam perangkat memori read-only yang dapat ditulis ulang (yang disebut memori kilat).

Kemampuan untuk menimpa informasi dalam chip memori flash digunakan oleh beberapa virus perangkat lunak untuk menghancurkan data BIOS.

Dalam hal ini, untuk memulihkan fungsionalitas komputer, perlu mengganti chip yang menyimpan BIOS atau memprogram ulang menggunakan perangkat lunak khusus.

demi keamanan, dan jika data yang tidak diminta diterima dari sumber yang tidak dikenal, data tersebut harus dimusnahkan tanpa pemeriksaan. Metode umum untuk mendistribusikan program Trojan adalah sebagai lampiran pada email dengan “rekomendasi” untuk mengekstrak dan menjalankan program yang dianggap berguna.

virus boot.

Virus boot berbeda dari virus perangkat lunak dalam cara penyebarannya. Mereka tidak menyerang file program, tetapi area sistem tertentu dari media magnetik (floppy dan hard drive). Selain itu, ketika komputer dihidupkan, mereka dapat ditempatkan sementara di RAM.

Biasanya, infeksi terjadi ketika komputer melakukan booting dari media magnetis yang area sistemnya berisi virus boot. Misalnya, ketika Anda mencoba mem-boot komputer dari floppy disk, virus pertama-tama menembus ke dalam RAM dan kemudian ke sektor boot hard drive. Kemudian komputer ini sendiri menjadi sumber penyebaran virus boot tersebut.

Makrovirus.

Jenis virus khusus ini menginfeksi dokumen yang dijalankan dalam program aplikasi tertentu. Memiliki sarana untuk melaksanakan apa yang disebut perintah makro Secara khusus, dokumen tersebut mencakup dokumen pengolah kata Microsoft Word (memiliki ekstensi

Dokter). Infeksi terjadi ketika file dokumen dibuka di jendela program, kecuali kemampuan untuk menjalankan perintah makro dinonaktifkan dalam program.

Seperti jenis virus lainnya, akibat dari suatu serangan dapat berkisar dari yang relatif tidak berbahaya hingga yang merusak.

Jenis utama virus komputer.

Saat ini, terdapat lebih dari 5.000 virus perangkat lunak yang diketahui, mereka dapat diklasifikasikan menurut kriteria berikut (Gbr. 1):

habitat;

metode pencemaran habitat;

pengaruh;

fitur algoritma.

Gambar.1 Klasifikasi virus komputer:

a – berdasarkan habitat; b – berdasarkan cara penularan;

c – menurut tingkat dampaknya; d – sesuai dengan fitur algoritma.

Tergantung pada habitat Virus dapat dibagi menjadi virus jaringan, file, boot, dan file-boot.

Virus jaringan didistribusikan melalui berbagai jaringan komputer.

virus berkas tertanam terutama dalam modul yang dapat dieksekusi, mis. ke file dengan ekstensi COM dan EXE. Virus file dapat tertanam di jenis file lain, tetapi biasanya, setelah ditulis ke dalam file tersebut, mereka tidak pernah mendapatkan kendali dan, oleh karena itu, kehilangan kemampuan untuk bereproduksi.

virus boot tertanam di sektor boot disk (Boot) atau di sektor yang berisi program boot disk sistem (Master Boot Record).

Virus boot file menginfeksi file dan sektor boot disk.

Melalui metode infeksi virus dibagi menjadi residen dan non-residen.

Virus penduduk ketika menginfeksi komputer, ia meninggalkan bagian residennya di RAM, yang kemudian menghalangi akses sistem operasi ke objek infeksi (file, sektor boot, dll.) dan menyuntikkan dirinya ke dalamnya. Virus residen berada di memori dan aktif hingga komputer dimatikan atau di-boot ulang.

Virus non-residen tidak menginfeksi memori komputer dan aktif dalam waktu terbatas.

Berdasarkan tingkat dampaknya Virus dapat dibagi menjadi beberapa jenis berikut:

tidak berbahaya, tidak mengganggu pengoperasian komputer, tetapi mengurangi jumlah RAM bebas dan memori disk, tindakan virus tersebut dimanifestasikan dalam beberapa efek grafis atau suara;

berbahaya virus yang dapat menyebabkan berbagai masalah pada komputer Anda;

sangat berbahaya, yang dampaknya dapat mengakibatkan hilangnya program, rusaknya data, dan terhapusnya informasi pada area sistem pada disk.

Bagaimana virus menyebar?

Ada beberapa cara, terutama melalui floppy disk. Jika Anda menerima floppy disk dari teman yang memiliki virus di komputernya, kemungkinan besar floppy disk tersebut akan terinfeksi. Ada dua opsi yang memungkinkan di sini. Yang pertama adalah virus terletak di area sistem disk, dan yang kedua adalah terdapat satu atau lebih file yang terinfeksi. Seperti yang telah disebutkan, virus harus mendapatkan kendali, jadi jika itu adalah floppy disk sistem, maka ketika boot darinya, Anda dapat menginfeksi komputer. Jika ini adalah floppy disk sistem, dan Anda mencoba mem-boot komputer dari floppy disk tersebut dan pesan: Non system disk (non-system disk) muncul di layar, maka dalam hal ini Anda dapat menginfeksi komputer Anda, karena disket mana pun memiliki pemuat sistem operasi dan ketika Anda menyalakannya akan menerima kendali.

Opsi kedua adalah file yang terinfeksi. Tidak semua file dapat terinfeksi. Jadi misalnya ada teks surat atau dokumen lain yang diketik menggunakan editor Norton Commander, maka tidak akan ada virus di sana. Bahkan jika itu berakhir di sana secara tidak sengaja, setelah melihat file menggunakan editor yang sama atau serupa, Anda dapat melihat karakter yang tidak dapat dipahami di awal atau akhir file tersebut, yang lebih baik dimusnahkan. Editor lain membuat file yang berisi informasi kontrol, seperti ukuran atau jenis font, indentasi, berbagai tabel konversi, dll. Sebagai aturan, hampir tidak mungkin untuk terinfeksi melalui file tersebut. Namun, editor Word versi 6.0 dan 7.0 memiliki kemampuan untuk memuat perintah makro di awal dokumen yang kontrolnya akan ditransfer, sehingga virus dapat menyebar melalui dokumen.

Cara penyebaran virus lainnya adalah dengan mentransfer ke media penyimpanan lain, misalnya pada drive CD-ROM, yang cukup jarang terjadi. Kebetulan ketika membeli perangkat lunak berlisensi, ternyata perangkat tersebut terinfeksi virus, tetapi kasus seperti itu sangat jarang terjadi.

Keunikan disk CD-ROM adalah tidak ada informasi yang ditulis ke dalamnya. Jika disk CD-ROM yang bebas virus ada di komputer yang terinfeksi, maka komputer tersebut tidak akan terinfeksi. Namun, jika berisi informasi yang terinfeksi virus, maka tidak ada program anti-virus yang dapat membersihkan disk dari virus.

Cara paling umum untuk menyebarkan virus adalah melalui jaringan komputer, dan khususnya Internet, ketika program lain, seperti game, ditulis ulang dan diluncurkan. Mungkin ada kasus lain yang jarang terjadi ketika hard drive lain dimasukkan ke komputer, yang telah terinfeksi. Untuk menghindari hal ini, boot dari floppy disk sistem dan pindai hard drive dengan program anti-virus khusus, atau, lebih baik lagi, partisi dan format disk dengan program Fdisk dan Format.

Deteksi virus komputer

Untuk mengidentifikasi virus, terdapat program anti virus khusus yang dapat mendeteksi dan menghancurkan virus. Namun, tidak semua virus dapat dideteksi karena semakin banyak jenis virus baru yang bermunculan.

Program antivirus mirip dengan obat, yaitu ia bekerja secara selektif terhadap beberapa virus dan mengabaikan virus lainnya. Jadi jika suatu program antivirus diluncurkan di komputer setiap hari (minggu, bulan), maka masih belum ada kepastian seratus persen akan mendeteksi virus.

Pilihan program antivirus cukup banyak. Ini adalah Aidstest (Lozinsky), Dr Web, Norton antivirus untuk Windows, kit DSAV dan lain-lain. Menurut cara kerjanya, mereka dapat dibagi menjadi tiga jenis:

1) Detektor, memproduksi pemindaian. Ini adalah bentuk paling sederhana dan paling umum, yang melibatkan melihat file dan catatan boot untuk memeriksa isinya guna mendeteksi tanda tangan (tanda tangan adalah kode program virus). Selain memindai tanda tangan, metode analisis heuristik dapat digunakan: dengan memeriksa kode untuk mengidentifikasi kode karakteristik virus, detektor menghapus virus yang terdeteksi, yang disebut polifag. Program tersebut dapat melakukan analisis heuristik dan mendeteksi virus baru.

2) Auditor– program yang mengingat keadaan file dan area sistem, seringkali dengan menghitung checksum atau ukuran file.

3) Program - filter, atau penjaga penduduk, ditempatkan secara permanen di RAM komputer dan menganalisis file yang diluncurkan dan floppy disk yang dimasukkan. Mereka memberi tahu pengguna tentang upaya untuk mengubah sektor boot, tampilan program residen, kemampuan untuk menulis ke disk, dll.

4) Perlindungan perangkat keras adalah pengontrol yang dimasukkan ke dalam konektor ekspansi dan memonitor akses ke floppy dan hard drive. Anda dapat melindungi bagian-bagian tertentu, seperti catatan boot, file yang dapat dieksekusi, file konfigurasi, dll. Tidak seperti metode sebelumnya, metode ini juga dapat berfungsi ketika komputer terinfeksi.

5) Ada juga program yang diinstal di dalamnya BIOS komputer ketika, ketika mencoba menulis ke sektor boot, pesan tentang hal ini muncul di layar.

Tindakan pencegahan terhadap virus

Untuk pencegahan yang Anda butuhkan:

1. Arsipkan data. Pengarsipan adalah pencatatan file pada media yang dapat dipindahkan. Paling sering, peran ini dimainkan oleh floppy disk atau pita magnetik yang digunakan pada perangkat khusus (pita). Misalnya, tidak perlu mengingat file Windows jika Anda memiliki disket instalasi yang dapat digunakan untuk me-reboot sistem dan memulihkan file. Oleh karena itu, jika komputer hanya memiliki floppy disk di antara perangkat yang dapat dilepas, maka Anda perlu mengingat informasi yang sulit dipulihkan.

Pengarsipan. Biasanya, informasi dicatat di lebih dari satu disk. Katakanlah informasi tersebut ditempatkan pada satu floppy disk, dan penyalinannya dilakukan seminggu sekali. Pertama, informasi dicatat pada tanggal 4 Agustus, selanjutnya, pada tanggal 11 Agustus, pencatatan dilakukan ke floppy disk lain dari direktori yang sama. Pada tanggal 18 Agustus, perekaman dilakukan lagi pada floppy disk pertama, pada tanggal 25 Agustus pada floppy disk kedua, kemudian pada floppy disk pertama, dan seterusnya, untuk ini Anda harus memiliki setidaknya dua floppy disk. Faktanya adalah ketika menulis ke floppy disk, kegagalan dapat terjadi dan sebagian besar informasi akan hilang. Di komputer di rumah, Anda perlu membuat salinan dari waktu ke waktu, tetapi frekuensinya ditentukan oleh pengguna.

2. Agar semuanya informasi, diterima dari komputer lain, diperiksa program antivirus. Telah ditulis sebelumnya bahwa beberapa file, misalnya dengan informasi grafik, cukup aman dari sudut pandang infeksi virus. Oleh karena itu, jika informasi semacam ini hanya terdapat pada floppy disk, maka informasi tersebut tidak berbahaya. Jika virus terdeteksi, maka Anda perlu memeriksa semua komputer yang terhubung ke komputer yang terinfeksi melalui floppy disk atau jaringan. Penting untuk menghapus virus tidak hanya dari hard drive, tetapi juga dari floppy disk dan file arsip. Jika Anda mencurigai adanya virus di komputer Anda atau informasi ditransfer ke komputer Anda menggunakan floppy disk atau Internet, Anda dapat menginstal program antivirus dieksekutif otomatis. DI DALAMpada, sehingga saat Anda menghidupkan komputer, komputer mulai berfungsi.

3. Jangan boot dari floppy disk yang tidak dikenal. Saat melakukan booting dari harddisk, pastikan tidak ada floppy disk di drive A: atau B:, terutama dari mesin lain.

Kesimpulan

Virus komputer– program yang dibuat khusus yang dirancang untuk melakukan tindakan tertentu yang mengganggu pekerjaan di komputer.

Sekali virus komputer menembus satu komputer, ia dapat menyebar ke komputer lain.

Program virus ditulis dalam bahasa Majelis agar mempunyai ukuran kecil dan eksekusi cepat, meskipun ada program yang ditulis dalam C, Pascal dan bahasa lainnya. Banyak program virus residen menggunakan prinsip yang dikembangkan dalam driver, yaitu, mereka menetapkan alamat program virus di tabel interupsi, dan setelah virus selesai bekerja, mereka mentransfer kendali ke program biasa, yang alamatnya sebelumnya ada di tabel interupsi. Ini disebut intersepsi kendali.

Ada program otomatis untuk membuat virus baru yang memungkinkan Anda membuat teks sumber virus secara interaktif dalam bahasa Majelis. Saat memasuki paket, Anda dapat mengatur opsi yang memungkinkan Anda menentukan tindakan destruktif apa yang akan dilakukan virus, apakah virus akan mengenkripsi teks kode mesinnya, seberapa cepat virus akan menginfeksi file di disk, dan sebagainya.

Hal utama yang dibutuhkan virus ini adalah mendapatkan kendali agar dapat mulai bekerja. Jika virus segera mulai melakukan tindakan yang melekat di dalamnya, maka akan lebih mudah untuk mengidentifikasi dan membersihkan komputer dari virus tersebut. Kesulitannya, virus mungkin tidak langsung muncul saat muncul di komputer, melainkan setelah waktu tertentu, misalnya pada hari tertentu.

Di dunia modern, ada banyak program antivirus yang mampu mendeteksi dan menghancurkan virus. Namun, tidak semua virus dapat dideteksi karena semakin banyak jenis virus baru yang bermunculan.

Untuk mencegah program virus merusak program antivirus, program tersebut harus dimuat dari floppy disk sistem, mem-boot komputer dari disk sistem dan meluncurkan program antivirus.

Selalu perbarui perangkat lunak antivirus Anda karena versi yang lebih baru mungkin mendeteksi lebih banyak jenis virus. Untuk memperbarui program antivirus versi terbaru, Anda dapat menerimanya melalui modem, atau Anda dapat menghubungi spesialis dari perusahaan antivirus.

Bibliografi

A. Kostsov, V. Kostsov. Ensiklopedia yang bagus. Semua tentang komputer pribadi. – M.: “Martin”, 2003. – 720 hal.

Ilmu Komputer: Buku Teks. – revisi ke-3 ed. / Ed. N.V. Makarova. – M.: Keuangan dan Statistik, 2005. – 768 hal.: sakit.

Ilmu komputer untuk pengacara dan ekonom. / Diedit oleh S. V. Simonovich dan lainnya - St. Petersburg: St. Petersburg, 2001. - 688 hal. 6 sakit.

virus- variasi komputer program, ciri khasnya adalah... melindungi informasi di komputer, memerangi komputer virus, situs porno anak dan keamanan informasi...

Pendahuluan………………….……………………………………………………………3

1. Virus komputer. Klasifikasi…………………………….4

2. Pembuat malware………………………………………...5

3. Deskripsi malware……………………………………....6

3.1. Virus polimorfik…………………………………………………7

3.2.Virus siluman…………………………………………………………………………………7

3.3 Virus Trojan………………………………………………….7

3.4 Cacing…………………………………………………………………………………..8

4. Tanda-tanda virus………………………………………8

5. Melawan antivirus…………………………………………………..9

Kesimpulan................................................................................................................10

Daftar referensi…………………………………………………..11

Perkenalan

Komputer telah menjadi asisten nyata bagi manusia, dan baik perusahaan komersial maupun organisasi pemerintah tidak dapat hidup tanpanya. Namun, dalam hal ini, masalah keamanan informasi menjadi sangat akut.

Virus yang tersebar luas dalam teknologi komputer telah membuat heboh seluruh dunia. Banyak pengguna komputer khawatir dengan rumor bahwa penjahat dunia maya menggunakan virus komputer untuk meretas jaringan, merampok bank, dan mencuri kekayaan intelektual.

Sayangnya, meluasnya penggunaan komputer pribadi saat ini ternyata dikaitkan dengan munculnya program virus yang dapat mereplikasi diri sendiri yang mengganggu pengoperasian normal komputer, merusak struktur file disk, dan merusak informasi yang disimpan di komputer. .

Semakin banyak pemberitaan di media tentang berbagai macam trik bajak laut para hooligan komputer, tentang munculnya program-program yang semakin canggih untuk mereplikasi diri. Baru-baru ini, menginfeksi file teks dengan virus dianggap tidak masuk akal - sekarang hal ini tidak akan mengejutkan siapa pun. Meskipun undang-undang yang diterapkan di banyak negara untuk memerangi kejahatan komputer dan pengembangan perangkat lunak anti-virus khusus, jumlah virus perangkat lunak baru terus bertambah. Hal ini mengharuskan pengguna komputer pribadi untuk memiliki pengetahuan tentang sifat virus, metode infeksi virus dan perlindungan terhadapnya.

1. Virus komputer

Virus komputer adalah sebuah program (sekumpulan kode/instruksi tertentu yang dapat dieksekusi) yang mampu membuat salinan dirinya sendiri (tidak harus sepenuhnya identik dengan aslinya) dan mengimplementasikannya ke berbagai objek/sumber daya sistem komputer, jaringan, dll. tanpa sepengetahuan pengguna. Pada saat yang sama, salinannya tetap memiliki kemampuan untuk didistribusikan lebih lanjut.

Klasifikasi virus:

1) menurut habitat virus

virus berkas paling sering mereka tertanam dalam file yang dapat dieksekusi dengan ekstensi .exe dan .com (virus yang paling umum), tetapi mereka juga dapat tertanam dalam file dengan komponen sistem operasi, driver perangkat eksternal, file objek dan perpustakaan, dalam file batch perintah, program file dalam bahasa pemrograman prosedural (mereka menginfeksi file yang dapat dieksekusi selama terjemahan).

virus boot tertanam di sektor boot floppy disk (sektor boot) atau di sektor yang berisi program boot disk sistem (master boot record). Saat memuat DOS dari disk yang terinfeksi, virus tersebut mengubah program boot atau mengubah tabel alokasi file pada disk, menimbulkan kesulitan dalam pengoperasian komputer atau bahkan membuat sistem operasi tidak dapat dijalankan.

File-boot virus mengintegrasikan kemampuan dua kelompok sebelumnya dan memiliki “efisiensi” infeksi terbesar.

Virus jaringan Mereka menggunakan perintah dan protokol sistem telekomunikasi (email, jaringan komputer) untuk distribusinya.

Virus dokumen(sering disebut virus makro) menginfeksi dan merusak file teks (.doc) dan file spreadsheet dari beberapa editor populer.

Virus makro jaringan gabungan tidak hanya menginfeksi dokumen yang mereka buat, tetapi juga mengirimkan salinan dokumen tersebut melalui email.

2) dengan cara mencemari habitat;

Penduduk virus Ketika komputer terinfeksi, ia meninggalkan bagian tetapnya di RAM, yang kemudian menghalangi akses sistem operasi ke objek infeksi dan menyuntikkan dirinya ke dalamnya. Virus non-residen tidak menginfeksi memori komputer dan aktif dalam waktu terbatas.

3) menurut kemampuan destruktifnya

Tidak berbahaya, itu. yang tidak mempengaruhi pengoperasian komputer dengan cara apa pun (kecuali pengurangan memori bebas pada disk sebagai akibat dari distribusinya);

Tidak berbahaya , pengaruhnya dibatasi oleh penurunan memori bebas pada disk dan efek grafis, suara, dll;

4) sesuai dengan fitur algoritma virus .

Virus pendamping- Ini adalah virus yang tidak mengubah file.

Virus - “cacing” (cacing)- virus yang menyebar di jaringan komputer dan, seperti virus pendamping, tidak mengubah file atau sektor pada disk. Mereka menembus memori komputer dari jaringan komputer, menghitung alamat jaringan komputer lain dan mengirimkan salinan dirinya ke alamat tersebut. Virus semacam itu terkadang membuat file yang berfungsi pada disk sistem, tetapi mungkin tidak mengakses sumber daya komputer sama sekali (kecuali RAM).

2. Pembuat malware

Sebagian besar virus dan program Trojan di masa lalu diciptakan oleh siswa dan anak sekolah yang baru saja mempelajari bahasa pemrograman, ingin mencobanya, tetapi tidak dapat menemukan kegunaan yang lebih layak bagi mereka. Virus semacam itu dulu dan sedang ditulis hingga hari ini hanya untuk penegasan diri penulisnya.

Kelompok pembuat virus yang kedua juga terdiri dari anak-anak muda (biasanya pelajar) yang belum sepenuhnya menguasai seni pemrograman. Dari pena “pengrajin” seperti itu sering kali keluar virus yang sangat primitif dan mengandung banyak kesalahan (“virus pelajar”). Kehidupan para pembuat virus menjadi lebih mudah dengan berkembangnya Internet dan munculnya berbagai situs web yang bertujuan untuk mengajarkan cara menulis virus komputer. Seringkali di sini Anda dapat menemukan teks sumber yang sudah jadi, di mana Anda hanya perlu membuat sedikit perubahan "penulis" dan mengkompilasinya dengan cara yang disarankan.

Kelompok ketiga, paling berbahaya, yang menciptakan dan menyebarkan virus “profesional” ke dunia. Program yang dipikirkan dengan cermat dan di-debug ini dibuat oleh programmer profesional, seringkali sangat berbakat. Virus semacam itu sering kali menggunakan algoritme yang cukup orisinal untuk menembus area data sistem, kesalahan dalam sistem keamanan lingkungan operasi, rekayasa sosial, dan trik lainnya.

Ada kelompok keempat pembuat virus yang terpisah - “peneliti” yang terlibat dalam penemuan metode infeksi baru yang mendasar, penyembunyian, penangkal antivirus, dll. Seringkali pembuat virus tersebut tidak mendistribusikan ciptaan mereka, tetapi secara aktif mempromosikan ide-ide mereka. melalui berbagai sumber daya Internet yang didedikasikan untuk membuat virus. Pada saat yang sama, bahaya yang ditimbulkan oleh virus “penelitian” tersebut juga sangat besar - setelah jatuh ke tangan “profesional” dari kelompok sebelumnya, ide-ide ini dengan cepat muncul pada virus baru.

3. Deskripsi malware

Perangkat lunak berbahaya mencakup worm jaringan, virus file klasik, Trojan horse, utilitas peretasan, dan program lain yang dengan sengaja menyebabkan kerusakan pada komputer tempat program tersebut dijalankan atau komputer lain di jaringan.

3.1 Virus polimorfik

Virus polimorfik- virus yang mengubah kodenya dalam program yang terinfeksi sedemikian rupa sehingga dua salinan dari virus yang sama mungkin tidak cocok dalam satu bit pun. Virus komputer jenis ini sepertinya yang paling berbahaya saat ini. Virus tersebut tidak hanya mengenkripsi kodenya menggunakan jalur enkripsi yang berbeda, tetapi juga mengandung kode pembangkitan enkripsi dan dekripsi, yang membedakannya dari virus enkripsi biasa, yang juga dapat mengenkripsi bagian kodenya, tetapi pada saat yang sama memiliki kode enkripsi dan dekripsi yang konstan. .

3.2 Virus tersembunyi

Virus tersembunyi menipu program antivirus dan, akibatnya, tetap tidak terdeteksi. Namun, ada cara sederhana untuk menonaktifkan mekanisme kamuflase virus siluman. Cukup dengan mem-boot komputer dari floppy disk sistem yang tidak terinfeksi dan segera, tanpa meluncurkan program lain dari disk komputer (yang mungkin juga terinfeksi), pindai komputer dengan program anti-virus. Ketika dimuat dari floppy disk sistem, virus tidak dapat memperoleh kendali dan memasang modul residen di RAM yang menerapkan mekanisme siluman. Program antivirus akan dapat membaca informasi yang sebenarnya tertulis di disk dan dengan mudah mendeteksi virus.

3.3 virus trojan

kuda Troya- ini adalah program yang berisi beberapa fungsi destruktif, yang diaktifkan ketika kondisi pemicu tertentu terjadi. Biasanya program semacam itu disamarkan sebagai beberapa utilitas yang berguna. “Kuda Troya” adalah program yang, selain fungsi yang dijelaskan dalam dokumentasi, juga mengimplementasikan beberapa fungsi lain yang terkait dengan pelanggaran keamanan dan tindakan destruktif. Ada beberapa kasus di mana program semacam itu dibuat untuk memfasilitasi penyebaran virus. Daftar program semacam itu dipublikasikan secara luas di media asing. Mereka biasanya menyamar sebagai program permainan atau hiburan dan menimbulkan kerugian disertai dengan gambar atau musik yang indah.

Penanda perangkat lunak juga mengandung beberapa fungsi yang berbahaya bagi pesawat, tetapi fungsi ini, sebaliknya, berusaha untuk tidak terlalu mencolok, karena Semakin lama program tersebut tidak menimbulkan kecurigaan, semakin lama bookmark tersebut dapat bekerja.

3.4 Cacing

Cacing disebut virus yang menyebar ke seluruh jaringan global, menginfeksi seluruh sistem, bukan program individual. Ini adalah jenis virus yang paling berbahaya, karena dalam hal ini sistem informasi berskala nasional menjadi sasaran serangan. Dengan munculnya Internet global, jenis pelanggaran keamanan ini menimbulkan ancaman terbesar, karena setiap dari 40 juta komputer yang terhubung ke jaringan ini dapat terkena serangan tersebut kapan saja.

4. Tanda-tanda virus

Ketika komputer Anda terinfeksi virus, penting untuk mendeteksinya. Untuk melakukan ini, Anda harus mengetahui tanda-tanda utama virus. Ini termasuk yang berikut:

1. penghentian pengoperasian atau pengoperasian yang salah dari program yang sebelumnya berhasil berfungsi

2. komputer lambat

3. ketidakmampuan memuat sistem operasi

4. hilangnya file dan direktori atau kerusakan isinya

5. mengubah tanggal dan waktu modifikasi file

6. mengubah ukuran file

7. peningkatan signifikan yang tidak terduga dalam jumlah file di disk

8. pengurangan signifikan dalam ukuran RAM bebas

9. Menampilkan pesan atau gambar yang tidak terduga

10. memberikan sinyal suara yang tidak terduga

11. Sering macet dan komputer crash

Perlu diperhatikan bahwa fenomena di atas belum tentu disebabkan oleh adanya virus, namun mungkin disebabkan oleh sebab lain. Oleh karena itu, selalu sulit untuk mendiagnosis kondisi komputer dengan benar.

5. Melawan antivirus

Setiap saat, ada program jahat yang melindungi dirinya sendiri dengan cukup aktif. Perlindungan tersebut dapat mencakup:

Sengaja mencari sistem untuk mencari antivirus, firewall, atau utilitas keamanan lainnya dan mengganggu pengoperasiannya. Contohnya adalah malware yang mencari nama antivirus tertentu dalam daftar proses dan mencoba menghapus antivirus tersebut;

Memblokir file dan membukanya dengan akses eksklusif sebagai tindakan balasan terhadap antivirus file;

Modifikasi file host untuk memblokir akses ke situs pembaruan anti-virus;

Mendeteksi jendela prompt keamanan dan mensimulasikan mengklik tombol Izinkan.

Faktanya, serangan yang ditargetkan terhadap pertahanan lebih merupakan “tindakan yang dipaksakan”, melindungi seseorang yang terjepit di dinding, dibandingkan serangan aktif. Dalam kondisi modern, ketika antivirus tidak hanya menganalisis kode program jahat, tetapi juga perilakunya, program tersebut kurang lebih tidak berdaya: baik polimorfisme, pengemasan, atau bahkan teknologi penyembunyian dalam sistem tidak memberikan perlindungan penuh kepada mereka. Oleh karena itu, malware hanya dapat menargetkan manifestasi atau fungsi individu dari “musuh”. Di luar kebutuhan yang tidak dapat dihindari, metode pertahanan diri ini tidak akan begitu populer, karena terlalu merugikan dari sudut pandang perlindungan seluas-luasnya.

Kesimpulan

Dari uraian di atas, kita dapat menyimpulkan bahwa virus komputer adalah program kecil yang ditulis khusus yang dapat “menghubungkan” dirinya dengan program lain, serta melakukan berbagai tindakan yang tidak diinginkan pada komputer. Sebuah program yang mengandung virus disebut “terinfeksi”. Ketika program tersebut mulai bekerja, virus akan mengambil kendali terlebih dahulu. Virus menemukan dan “menginfeksi” program lain, dan juga melakukan beberapa tindakan berbahaya (misalnya, merusak file atau tabel alokasi file pada disk, “menyumbat” RAM, dll.). Virus adalah sebuah program yang mempunyai kemampuan untuk memperbanyak dirinya sendiri. Kemampuan ini merupakan satu-satunya sifat yang melekat pada semua jenis virus. Virus ini tidak dapat hidup dalam “isolasi total”. Artinya saat ini tidak mungkin membayangkan sebuah virus yang tidak akan menggunakan kode program lain, informasi tentang struktur file, atau bahkan hanya nama program lain. Alasannya cukup jelas: virus harus memastikan bahwa kendali berpindah ke dirinya sendiri.

Cara paling efektif untuk melindungi dari virus komputer adalah dengan tidak memasukkan informasi ke dalam komputer dari luar. Namun sayangnya, hampir tidak mungkin untuk melindungi diri Anda 100% dari virus (ini berarti pengguna bertukar floppy disk dengan teman dan bermain game, serta menerima informasi dari orang lain).

Bibliografi

1. Leontiev V.P. Ensiklopedia Komputer Pribadi Terbaru 2003. - Edisi ke-5, direvisi. dan tambahan - M.: OLMA-PRESS, 2003

2. Levin A.Sh. Manual instruksi mandiri untuk bekerja di komputer - Edisi ke-9, St.Petersburg: Peter, 2006

3.www.yandex. ru

4.www.google. ru

4. CD-ROM. Yang terbaik dari yang terbaik: esai, makalah, diploma, 2007

Virus sektor bootstrap rumah tangga. Program yang ditulis di bagian belakang program boot pada drive C: atau menggantikannya, menjalankan keduanya dan fungsinya sendiri sejak infeksi. Virus ini masuk ke mesin saat boot dari floppy disk yang terinfeksi. Ketika program booting dibaca dan dijalankan, virus dimuat ke dalam memori dan menginfeksi apa pun yang “dirancang” untuk dilakukan.

Virus boot dari master boot record. Mereka menginfeksi Master Boot Record sistem pada hard drive dan sektor boot pada floppy disk. Virus jenis ini mengambil kendali sistem pada tingkat paling bawah dengan mencegat instruksi antara perangkat keras komputer dan sistem operasi.

· Virus makro: Beberapa program komputer menggunakan bahasa makro untuk mengotomatisasi prosedur yang sering dilakukan. Seiring dengan semakin canggihnya komputer, permasalahan yang dipecahkannya menjadi semakin kompleks. Beberapa bahasa makro menyediakan kemampuan untuk menulis file dalam format selain dokumen aslinya. Fitur ini dapat digunakan oleh pembuat virus untuk membuat makro yang menginfeksi dokumen. Virus makro biasanya menyebar melalui file Microsoft Word dan Excel.
· Virus kombinasi: virus yang menunjukkan kombinasi sifat-sifat yang tercantum di atas. Mereka dapat menginfeksi file, sektor boot, dan catatan boot master.
· Virus file: sekarang mari kita lihat cara kerja virus file sederhana. Tidak seperti virus boot, yang hampir selalu menetap, virus file belum tentu menetap. Mari kita pertimbangkan skema fungsi virus file non-residen. Katakanlah kita memiliki file executable yang terinfeksi. Ketika file tersebut diluncurkan, virus memperoleh kendali, melakukan beberapa tindakan dan mentransfer kendali ke “host”

Tindakan apa yang dilakukan virus? Ia mencari objek baru untuk terinfeksi - file dengan tipe yang sesuai yang belum terinfeksi. Dengan menginfeksi suatu file, virus menyuntikkan dirinya ke dalam kodenya untuk mendapatkan kendali ketika file tersebut dieksekusi. Selain fungsi utamanya - reproduksi, virus mungkin melakukan sesuatu yang rumit (misalnya, bertanya, bermain) - ini tergantung pada imajinasi pembuat virus. Jika virus file menetap, maka virus tersebut akan menginstal dirinya sendiri di memori dan akan dapat menginfeksi file serta menunjukkan kemampuan lain tidak hanya saat file yang terinfeksi sedang berjalan. Saat menginfeksi file yang dapat dieksekusi, virus selalu mengubah kodenya - oleh karena itu, infeksi pada file yang dapat dieksekusi selalu dapat dideteksi. Namun dengan mengubah kode file, virus tidak serta merta melakukan perubahan lain:

· dia tidak berkewajiban mengubah panjang file
bagian kode yang tidak digunakan
· tidak perlu mengubah awal file

Terakhir, virus file sering kali menyertakan virus yang “memiliki hubungan tertentu dengan file” tetapi tidak harus tertanam dalam kodenya.

Jadi, ketika file apa pun diluncurkan, virus memperoleh kendali (sistem operasi meluncurkannya sendiri), menginstal dirinya sendiri di memori dan mentransfer kendali ke file yang dipanggil.

· Virus file boot: kami tidak akan mempertimbangkan model virus file boot, karena Anda tidak akan mempelajari informasi baru apa pun. Tapi inilah kesempatan bagus untuk membahas secara singkat virus file boot OneHalf yang sangat “populer” baru-baru ini, yang menginfeksi master boot sector (MBR) dan file yang dapat dieksekusi. Efek destruktif utama adalah enkripsi sektor hard drive. Setiap kali diluncurkan, virus mengenkripsi bagian sektor lainnya, dan, setelah mengenkripsi separuh hard drive, dengan senang hati melaporkan hal ini. Masalah utama dalam menangani virus ini adalah tidak cukup hanya menghapus virus dari MBR dan file; Anda harus mendekripsi informasi yang dienkripsi olehnya.
· Virus polimorfik: Sebagian besar pertanyaan terkait dengan istilah “virus polimorfik”. Virus komputer jenis ini sepertinya yang paling berbahaya saat ini. Mari kita jelaskan apa itu.

Virus polimorfik adalah virus yang mengubah kodenya dalam program yang terinfeksi sedemikian rupa sehingga dua salinan virus yang sama mungkin tidak cocok dalam satu bit.

Virus tersebut tidak hanya mengenkripsi kodenya menggunakan jalur enkripsi yang berbeda, tetapi juga mengandung kode pembangkitan enkripsi dan dekripsi, yang membedakannya dari virus enkripsi biasa, yang juga dapat mengenkripsi bagian kodenya, tetapi pada saat yang sama memiliki kode enkripsi dan dekripsi yang konstan. .

Virus polimorfik adalah virus dengan dekripsi yang dapat memodifikasi dirinya sendiri. Tujuan enkripsi tersebut: jika Anda memiliki file yang terinfeksi dan asli, Anda tetap tidak dapat menganalisis kodenya menggunakan pembongkaran biasa. Kode ini dienkripsi dan merupakan serangkaian perintah yang tidak berarti. Dekripsi dilakukan oleh virus itu sendiri selama eksekusi. Dalam hal ini, ada pilihan yang mungkin: dia dapat mendekripsi dirinya sendiri sekaligus, atau dia dapat melakukan dekripsi tersebut “dengan cepat”, dia dapat mengenkripsi ulang bagian yang telah digunakan. Semua ini dilakukan untuk mempersulit analisis kode virus.

· Virus tersembunyi: Saat memindai komputer, program antivirus membaca data - file dan area sistem dari hard drive dan floppy disk, menggunakan sistem operasi dan sistem input/output dasar BIOS. Sejumlah virus, setelah diluncurkan, meninggalkan modul khusus di RAM komputer yang mencegat program yang mengakses subsistem disk komputer. Jika modul tersebut mendeteksi bahwa suatu program sedang mencoba membaca file atau area sistem disk yang terinfeksi, modul tersebut akan menggantikan data yang dibaca dengan cepat, seolah-olah tidak ada virus di disk tersebut.

Virus tersembunyi menipu program antivirus dan akibatnya tetap tidak terdeteksi. Namun, ada cara sederhana untuk menonaktifkan mekanisme kamuflase virus siluman. Cukup dengan mem-boot komputer dari floppy disk sistem yang tidak terinfeksi dan segera, tanpa meluncurkan program lain dari disk komputer (yang mungkin juga terinfeksi), pindai komputer dengan program anti-virus.

Ketika dimuat dari floppy disk sistem, virus tidak dapat memperoleh kendali dan memasang modul residen di RAM yang menerapkan mekanisme siluman. Program antivirus akan dapat membaca informasi yang sebenarnya tertulis di disk dan dengan mudah mendeteksi virus.

· Kuda Troya, penanda perangkat lunak, dan worm jaringan: Kuda Troya (lihat Lampiran 2, Gambar 2) adalah program yang berisi beberapa fungsi destruktif yang diaktifkan ketika kondisi pemicu tertentu terjadi. Biasanya program semacam itu disamarkan sebagai beberapa utilitas yang berguna. Virus dapat membawa trojan horse atau melakukan “Trojanisasi” program lain - memasukkan fungsi destruktif ke dalamnya.

“Kuda Troya” adalah program yang, selain fungsi yang dijelaskan dalam dokumentasi, juga mengimplementasikan beberapa fungsi lain yang terkait dengan pelanggaran keamanan dan tindakan destruktif. Ada beberapa kasus di mana program semacam itu dibuat untuk memfasilitasi penyebaran virus. Daftar program semacam itu dipublikasikan secara luas di media asing. Mereka biasanya menyamar sebagai program permainan atau hiburan dan menimbulkan kerugian disertai dengan gambar atau musik yang indah.

· Penanda perangkat lunak juga mengandung beberapa fungsi yang berbahaya bagi pesawat, tetapi fungsi ini, sebaliknya, berusaha untuk tidak terlalu mencolok, karena Semakin lama program tersebut tidak menimbulkan kecurigaan, semakin lama bookmark tersebut dapat bekerja.

Jika virus dan kuda Troya menyebabkan kerusakan melalui penyebaran diri seperti longsoran salju atau penghancuran langsung, maka fungsi utama virus jenis worm yang beroperasi di jaringan komputer adalah untuk meretas sistem yang diserang, yaitu. mengatasi perlindungan untuk mengkompromikan keamanan dan integritas.

Di lebih dari 80% kejahatan komputer yang diselidiki oleh FBI, "cracker" menembus sistem yang diserang melalui Internet. Jika upaya tersebut berhasil, masa depan perusahaan yang pembangunannya memakan waktu bertahun-tahun dapat terancam dalam hitungan detik.

Proses ini dapat diotomatisasi dengan menggunakan virus yang disebut worm jaringan.

· Worm adalah virus yang menyebar di jaringan global, menginfeksi seluruh sistem, bukan program individual. Ini adalah jenis virus yang paling berbahaya, karena dalam hal ini sistem informasi berskala nasional menjadi sasaran serangan. Dengan munculnya Internet global, jenis pelanggaran keamanan ini menimbulkan ancaman terbesar, karena setiap dari 40 juta komputer yang terhubung ke jaringan ini dapat terkena serangan tersebut kapan saja.

program virus komputer

Seperti telah disebutkan, yang paling umum adalah Trojan horse, virus polimorfik dan virus enkripsi non-polimorfik, virus siluman, virus lambat, virus retro, virus majemuk, virus yang dipersenjatai, virus fag, dan virus makro. Masing-masing dari mereka melakukan beberapa tindakan spesifik:

1. Trojan horse adalah virus yang bersembunyi di file data (misalnya file atau dokumen terkompresi). Untuk menghindari deteksi, beberapa jenis kuda Troya juga disembunyikan dalam file yang dapat dieksekusi. Dengan demikian, program ini dapat ditemukan baik di file program maupun di file perpustakaan yang dikompresi. Namun, Trojan horse sering kali hanya berisi virus rutin. Mungkin definisi terbaik dari Trojan Horse datang dari Dan Edwards, mantan hacker yang kini mengembangkan perangkat lunak antivirus untuk NSA (National Security Administration). Menurut Dan, Trojan horse adalah "program tidak aman yang menyamar sebagai aplikasi tidak berbahaya, seperti pengarsip, permainan, atau (yang terkenal pada tahun 1990) program pendeteksi dan penghancuran virus." Kebanyakan program antivirus baru mendeteksi hampir semua trojan horse.

Salah satu kuda Troya yang paling terkenal adalah program Crackerjack. Seperti semua alat peretas kata sandi lainnya yang tersedia di Internet, program ini menguji kekuatan relatif dari kata sandi yang terletak di file yang dipilih. Setelah diluncurkan, ia menampilkan daftar kata sandi yang diretas dan meminta pengguna untuk menghapus file ini. Versi pertama dari program ini tidak hanya memecahkan kata sandi, tetapi juga mengirimkannya ke pembuat kuda Troya. Crackerjack ternyata merupakan alat yang sangat berguna, seperti yang Anda lihat sendiri. Untuk melakukan ini, cukup unduh program dari Internet.

2. Virus polimorfik adalah virus yang mengenkripsi tubuhnya sehingga dapat menghindari deteksi dengan memeriksa tanda tangan virus. Sebelum mulai bekerja, virus tersebut mendekripsi dirinya sendiri menggunakan prosedur dekripsi khusus. Sebagaimana dibahas dalam Bab 4, prosedur dekripsi mengubah informasi terenkripsi menjadi informasi biasa. Untuk mendekripsi tubuh virus, prosedur dekripsi mengambil kendali mesin. Setelah dekripsi, kendali komputer ditransfer ke virus yang didekripsi. Virus enkripsi pertama bersifat non-polimorfik. Dengan kata lain, prosedur dekripsi virus tidak berubah dari salinan ke salinan. Oleh karena itu, program antivirus dapat mendeteksi virus dengan tanda tangan yang melekat pada prosedur dekripsi. Namun tak lama kemudian situasinya berubah secara radikal. Virus polimorfik sangat sulit dideteksi. Faktanya adalah mereka menghasilkan prosedur dekripsi yang benar-benar baru dengan setiap infeksi baru. Berkat ini, tanda tangan virus berubah dari satu file ke file lainnya. Untuk mengubah prosedur enkripsi, digunakan generator kode mesin yang cukup sederhana, yang disebut generator mutasi. Ia menggunakan generator nomor acak dan algoritma yang cukup sederhana untuk mengubah tanda tangan virus. Dengan bantuannya, seorang programmer dapat mengubah virus apa pun menjadi virus polimorfik. Untuk melakukan ini, kita harus mengubah teks virus sehingga sebelum setiap pembuatan salinannya, ia memanggil generator mutasi.

Meskipun virus polimorfik tidak dapat dideteksi menggunakan metode pemindaian konvensional (seperti membandingkan baris kode), virus tersebut masih dapat dideteksi oleh program anti-virus khusus. Jadi, virus polimorfik bisa dideteksi. Namun, proses ini memerlukan banyak waktu, dan membuat program antivirus memerlukan lebih banyak usaha. Pembaruan terkini pada perangkat lunak antivirus mencari prosedur enkripsi yang mendeteksi virus polimorfik. Virus polimorfik mengubah tanda tangannya saat membuat salinan lain. dari file ke file.

3. Virus siluman adalah virus yang menyembunyikan perubahan yang dibuat pada file yang terinfeksi. Untuk melakukan hal ini, mereka memantau fungsi sistem untuk membaca file atau sektor pada media penyimpanan. Jika fungsi seperti itu dipanggil, virus mencoba mengubah hasil yang diterimanya: alih-alih informasi sebenarnya, virus meneruskan data dari file yang tidak terinfeksi ke fungsi tersebut. Dengan demikian, program antivirus tidak dapat mendeteksi perubahan apa pun pada file. Namun, untuk mencegat panggilan sistem, virus harus ada di memori mesin. Semua program antivirus yang cukup bagus dapat mendeteksi virus tersebut saat mengunduh program yang terinfeksi. Contoh yang baik dari virus siluman adalah salah satu virus DOS yang pertama kali didokumentasikan, Brain. Virus boot ini mengawasi semua operasi I/O sistem disk dan mengalihkan panggilan setiap kali sistem mencoba membaca sektor boot yang terinfeksi. Dalam hal ini, sistem membaca informasi bukan dari sektor boot, tetapi dari tempat virus menyimpan salinan sektor ini. Virus siluman juga merupakan virus Number, Beast, dan Frodo. Dalam bahasa programmer, mereka mencegat interupsi 21H, interupsi DOS utama. Oleh karena itu, setiap perintah pengguna yang mampu mendeteksi keberadaan virus akan dialihkan oleh virus ke lokasi tertentu di memori. Berkat ini, pengguna tidak dapat “menyadari” virus tersebut. Biasanya, virus siluman tidak terlihat ukurannya atau tidak terlihat untuk dibaca. Virus dengan ukuran yang tidak terlihat termasuk dalam subtipe virus yang menginfeksi file. Virus tersebut akan memasukkan tubuhnya ke dalam file, sehingga menyebabkan ukurannya bertambah. Namun virus mengubah informasi ukuran file sehingga pengguna tidak dapat mendeteksi keberadaannya. Dengan kata lain, sistem menunjukkan bahwa panjang file yang terinfeksi sama dengan panjang file normal (tidak terinfeksi). Virus yang tidak terlihat untuk dibaca (seperti Stoned.Monkey) mencegat permintaan untuk membaca catatan atau file boot yang terinfeksi dan sebagai tanggapannya memberikan informasi asli, tidak dimodifikasi oleh virus. Sekali lagi, pengguna tidak dapat mendeteksi keberadaan virus. Virus tersembunyi cukup mudah dideteksi. Sebagian besar program antivirus standar menangkap virus tersembunyi. Untuk melakukan ini, cukup menjalankan program anti-virus sebelum virus ditempatkan di memori mesin. Anda perlu memulai komputer Anda dari disket boot kosong dan kemudian menjalankan program antivirus. Seperti telah disebutkan, virus siluman hanya dapat menyamarkan dirinya jika sudah berada di memori. Jika tidak demikian, maka program antivirus akan dengan mudah mendeteksi keberadaan virus tersebut di harddisk.
4. Virus lambat sangat sulit dideteksi karena hanya menginfeksi file yang dimodifikasi atau disalin oleh sistem operasi. Dengan kata lain, virus yang lambat menginfeksi file apa pun yang dapat dieksekusi, dan melakukan ini saat pengguna melakukan beberapa operasi dengan file ini. Misalnya, virus yang lambat dapat menginfeksi catatan boot floppy disk ketika menjalankan perintah sistem yang mengubah catatan ini (misalnya, FORMAT atau SYS). Virus yang lambat dapat menginfeksi salinan file tanpa menginfeksi file sumber. Salah satu virus lambat yang paling terkenal adalah Darth_Vader, yang hanya menginfeksi file COM dan hanya saat sedang ditulis.

Mendeteksi virus yang lambat adalah proses yang agak rumit. Penjaga integritas harus mendeteksi file baru dan memberi tahu pengguna bahwa file tersebut tidak memiliki nilai checksum. Integrity Guardian adalah program antivirus yang memantau isi hard drive, serta ukuran dan checksum setiap file yang ada di dalamnya. Jika penjaga mendeteksi perubahan konten atau ukuran, ia akan segera memberi tahu pengguna. Namun, pesan tersebut juga akan dikeluarkan jika pengguna sendiri yang membuat file baru. Oleh karena itu, pengguna lebih cenderung menginstruksikan penjaga integritas untuk menghitung checksum baru untuk file baru (yang terinfeksi).

Obat paling sukses melawan virus lambat adalah cangkang integritas. Cangkang Integritas adalah penjaga integritas penduduk. Mereka terus-menerus berada di memori komputer dan memantau pembuatan setiap file baru, dan virus hampir tidak memiliki peluang. Cara lain untuk memeriksa integritas adalah dengan membuat jebakan. Di sini program anti-virus khusus membuat beberapa file COM dan EXE dengan konten tertentu. Program kemudian memeriksa isi file-file ini. Jika virus lambat menginfeksi mereka, pengguna akan segera mengetahuinya. Misalnya, virus yang lambat mungkin memantau program penyalinan file. Jika DOS memenuhi permintaan penyalinan, virus akan menempatkan tubuhnya di salinan berkas yang baru.

5. Virus retro adalah virus yang mencoba mem-bypass atau mengganggu program anti-virus. Dengan kata lain, virus ini menyerang perangkat lunak antivirus. Para profesional komputer menyebut virus retro sebagai anti-antivirus. (Jangan bingung antara anti-antivirus dengan virus anti-virus – virus yang dirancang untuk menghancurkan virus lain.) Membuat virus retro adalah tugas yang relatif sederhana. Bagaimanapun, pembuat virus memiliki akses ke semua program antivirus. Dengan membeli program semacam itu, mereka mempelajari cara kerjanya, menemukan celah dalam pertahanan, dan kemudian membuat virus berdasarkan kesalahan yang ditemukan. Kebanyakan virus retro mencari dan menghapus file yang berisi data tanda tangan virus. Dengan demikian, program antivirus yang menggunakan file ini tidak dapat berfungsi normal lagi. Retrovirus yang lebih kompleks mencari dan menghapus database yang berisi informasi tentang integritas file. Menghapus database semacam itu memiliki efek yang sama pada penjaga integritas seperti menghapus file dengan tanda tangan virus pada program anti-virus. Banyak virus retro mendeteksi aktivasi program antivirus dan kemudian bersembunyi dari program tersebut atau menghentikan eksekusinya. Selain itu, mereka dapat memulai prosedur penghancuran sebelum program antivirus mendeteksi keberadaan mereka. Beberapa retrovirus memodifikasi shell komputasi antivirus dan dengan demikian mempengaruhi pelaksanaan program antivirus. Selain itu, ada virus retro yang memanfaatkan kekurangan perangkat lunak antivirus untuk memperlambat atau meniadakan efektivitas program.
6. Virus gabungan menginfeksi file yang dapat dieksekusi dan sektor boot disk. Selain itu, mereka dapat menginfeksi sektor boot floppy disk. Mereka mendapat nama ini karena mereka menginfeksi komputer dengan berbagai cara. Dengan kata lain, mereka tidak terbatas pada satu jenis file atau lokasi disk tertentu. Jika Anda menjalankan program yang terinfeksi, virus akan menginfeksi catatan boot hard drive Anda. Saat berikutnya Anda menghidupkan mesin, virus akan aktif dan menginfeksi semua program yang sedang berjalan. Salah satu virus majemuk yang paling terkenal adalah One-Half yang memiliki ciri-ciri virus siluman dan virus polimorfik.
7. Virus yang dipersenjatai melindungi dirinya sendiri menggunakan kode khusus, sehingga sangat sulit untuk melacak dan membongkar virus tersebut. Virus bersenjata dapat menggunakan "boneka" untuk melindungi dirinya sendiri. Ini adalah kode yang memungkinkan Anda mengalihkan pengembang program anti-virus dari kode virus sebenarnya. Selain itu, virus mungkin menyertakan fragmen khusus yang menunjukkan bahwa virus tersebut berada di suatu tempat, meskipun sebenarnya virus tersebut tidak ada di sana. Salah satu virus senjata yang paling terkenal adalah Whale.
8. Virus adalah sahabat. Virus ini mendapatkan namanya karena, bersamaan dengan file yang mereka infeksi, mereka membuat file dengan nama yang sama, tetapi dengan ekstensi yang berbeda. Misalnya, virus pendamping mungkin menyimpan tubuhnya di file winword.com. Berkat ini, sebelum setiap peluncuran file winword.exe, sistem operasi akan meluncurkan file winword.com, yang akan ditempatkan di memori komputer. Biasanya, virus pendamping dihasilkan oleh virus fag.
9. Jenis virus klasik yang terakhir adalah virus fag. Virus fag adalah program yang memodifikasi program atau database lain. Para profesional komputer menyebut virus ini fag karena mereka bertindak seperti mikroorganisme hidup. Di alam, virus fag merupakan mikroorganisme berbahaya yang menggantikan isi sel dengan miliknya sendiri. Biasanya, fag mengganti teks program dengan kodenya sendiri. Paling sering mereka adalah generator virus pendamping. Fag adalah jenis virus yang paling berbahaya. Faktanya adalah mereka tidak hanya memperbanyak dan menginfeksi program lain, tetapi juga berusaha untuk menghancurkan semua program yang terinfeksi.
10. Cacing. Dalam bab pertama kursus ini, saya telah berbicara tentang worm Internet terkenal yang muncul di akhir tahun 80an. Seperti telah disebutkan, worm Internet (juga dikenal sebagai worm Morris) adalah virus pertama yang menginfeksi Internet. Virus ini membuat komputer tidak dapat dioperasikan dengan membuat salinan dirinya dalam jumlah besar di memori komputer. Karena worm mencoba menghentikan komputer yang terinfeksi, pembuat virus harus memberinya kemampuan untuk berpindah melalui jaringan dari satu mesin ke mesin lainnya. Saya telah membicarakan tentang bagaimana worm menyalin dirinya ke komputer lain menggunakan protokol dan sistem yang dijelaskan di Bab Dua. Pemutaran jarak jauh diperlukan karena setelah menghentikan mesin, pengguna akan mencoba membersihkan semua virus di hard drive. Worm tidak perlu mengubah program inangnya untuk menyebar. Agar dapat berfungsi dengan baik, worm memerlukan sistem operasi yang menyediakan kemampuan eksekusi jarak jauh dan memungkinkan program masuk untuk dieksekusi di komputer. Pada tahun 1988, hanya satu sistem operasi yang memiliki kemampuan seperti itu - Unix. Sampai saat ini, banyak komputer pribadi tidak dapat terinfeksi worm - baik DOS maupun Windows 95 tidak mengizinkannya.Namun, Windows NT sudah memiliki kemampuan eksekusi jarak jauh sehingga dapat mendukung pengoperasian virus worm.

Salah satu virus paling umum di Internet adalah WINSTART. Namanya didapat dari nama file - winstart.bat - yang biasanya berisi tubuh virus. Worm ini, seperti banyak worm lainnya, menyalin dirinya sendiri ke dalam memori mesin hingga sistem operasi dinonaktifkan. Setelah ini, komputer secara otomatis membeku. Selama eksekusinya, virus secara bersamaan mencari korban berikutnya. Ironisnya, worm bukan hanya jenis virus tertentu, tetapi juga merupakan alat antivirus yang sangat berguna. Kerugian dari sebagian besar alat audit standar dan penjaga integritas adalah bahwa alat tersebut juga dapat menjadi korban virus. Namun, informasi dan program keamanan dapat disimpan pada media yang terisolasi dan tidak dapat diubah. Disk WORM paling cocok untuk tujuan ini. ("Tulis sekali, baca-banyak" - satu catatan, banyak bacaan; kata bahasa Inggris worm diterjemahkan sebagai worm. - Catatan Penerjemah). Drive disk WORM biasanya merupakan perangkat penyimpanan optik yang dapat menangani beberapa disk WORM.

Virus komputer juga termasuk apa yang disebut Trojan horse (program Trojan, Trojan).

Virus perangkat lunak.

Pengoperasian kode ini menyebabkan perubahan yang tersembunyi dari pengguna dalam sistem file hard drive dan/atau dalam konten program lain. Misalnya, kode virus dapat mereproduksi dirinya sendiri di dalam program lain - proses ini disebut replikasi. Setelah waktu tertentu, setelah membuat salinan dalam jumlah yang cukup, virus perangkat lunak dapat melanjutkan tindakan destruktif: mengganggu pengoperasian program dan sistem operasi, menghapus informasi yang tersimpan di hard drive. Proses ini disebut serangan virus.

Dipercaya bahwa tidak ada virus yang dapat merusak perangkat keras komputer. Namun, ada kalanya perangkat keras dan perangkat lunak saling berhubungan sehingga kerusakan perangkat lunak harus diatasi dengan mengganti perangkat keras. Misalnya, sebagian besar motherboard modern menyimpan sistem input/output dasar (BIOS) dalam memori read-only yang dapat ditulis ulang (disebut memori flash).

Kemampuan untuk menimpa informasi dalam chip memori flash digunakan oleh beberapa virus perangkat lunak untuk menghancurkan data BIOS.

Dalam hal ini, untuk memulihkan fungsionalitas komputer, perlu mengganti chip yang menyimpan BIOS atau memprogram ulang menggunakan perangkat lunak khusus.

Virus perangkat lunak masuk ke komputer saat menjalankan program yang belum diverifikasi yang diterima di media eksternal (floppy disk, CD, dll.) atau diterima dari Internet. Perhatian khusus harus diberikan pada kata-kata saat memulai. Jika Anda hanya menyalin file yang terinfeksi, komputer Anda tidak akan terinfeksi. Dalam hal ini, semua data yang diterima dari Internet harus menjalani pemeriksaan keamanan wajib, dan jika data yang tidak diminta diterima dari sumber yang tidak dikenal, data tersebut harus dimusnahkan tanpa pemeriksaan. Metode umum untuk mendistribusikan program Trojan adalah sebagai lampiran pada email dengan “rekomendasi” untuk mengekstrak dan menjalankan program yang dianggap berguna.

virus boot.

Makrovirus.

Jenis virus khusus ini menginfeksi dokumen yang dijalankan dalam program aplikasi tertentu. Memiliki sarana untuk menjalankan apa yang disebut perintah makro. Secara khusus, dokumen tersebut mencakup dokumen pengolah kata Microsoft Word (memiliki ekstensi .Doc). Infeksi terjadi ketika file dokumen dibuka di jendela program, kecuali kemampuan untuk menjalankan perintah makro dinonaktifkan dalam program.

Seperti jenis virus lainnya, akibat dari suatu serangan dapat berkisar dari yang relatif tidak berbahaya hingga yang merusak.

Jenis utama virus komputer.

Saat ini, terdapat lebih dari 5.000 virus perangkat lunak yang diketahui, mereka dapat diklasifikasikan menurut kriteria berikut (Gbr. 1):

-habitat;
-metode pencemaran habitat;
-dampak;
-fitur algoritma:

Tergantung pada habitatnya, virus dapat dibagi menjadi virus jaringan, file, boot, dan file-boot.

Virus jaringan menyebar di berbagai jaringan komputer.

Virus file tertanam terutama dalam modul yang dapat dieksekusi, mis. ke file dengan ekstensi COM dan EXE. Virus file dapat tertanam di jenis file lain, tetapi biasanya, setelah ditulis ke dalam file tersebut, mereka tidak pernah mendapatkan kendali dan, oleh karena itu, kehilangan kemampuan untuk bereproduksi.

Virus boot tertanam di sektor boot disk (Boot) atau di sektor yang berisi program boot disk sistem (Master Boot Record).

Virus file-boot menginfeksi file dan sektor boot disk.

Berdasarkan cara penularannya, virus dibedakan menjadi residen dan non-residen.

- Ketika virus residen menginfeksi komputer, ia meninggalkan bagian residennya di RAM, yang kemudian memotong akses sistem operasi ke objek infeksi (file, sektor boot, dll.) dan menyuntikkan dirinya ke dalamnya. Virus residen berada di memori dan aktif hingga komputer dimatikan atau di-boot ulang.
- Virus non-residen tidak menginfeksi memori komputer dan aktif dalam waktu terbatas.

Berdasarkan derajat dampaknya, virus dibedakan menjadi beberapa jenis berikut:

- tidak berbahaya, tidak mengganggu pengoperasian komputer, tetapi mengurangi jumlah RAM bebas dan memori disk; tindakan virus tersebut dimanifestasikan dalam beberapa efek grafis atau suara;
- virus berbahaya yang dapat menyebabkan berbagai masalah pada komputer Anda;
- sangat berbahaya, dampaknya dapat mengakibatkan hilangnya program, rusaknya data, dan terhapusnya informasi pada area sistem pada disk.

Membaca:

Cara mem-boot dari DVD "instalasi" atau flash drive - Pengaturan BIOS dalam gambar Bagaimana cara mengatur timing RAM dengan benar? Menginstal Navitel di navigator dan komputer Ubah kata sandi di server Minecraft melalui akun pribadi Anda dan di klien Apa itu kabel speaker