Если вирус внедряется в исполняемые файлы и при их запуске активируется то этот вирус называется

Обновлено: 06.07.2024

Вредоносные приложения появились в 1960-х годах, вирусы – в 80-х годах. При заражении компьютера они способны нанести непоправимый вред хранимой на дисках информации, подчинить аппаратные ресурсы ПК воле автора зловредной программы. Рассмотрим основные способы заражения ПК и виды проявления деятельности вирусов.

Какие типы файлов подвержены заражению

Вирус – приложение либо код, написаны для причинения вреда компьютеру жертвы и/или получения выгоды её автором.

Поясним: кейлоггеры, например, не влияют на работу операционной системы, не вредят файлам пользователя, они перехватывают нажатия клавиш и отправляют их владельцу вредоноса.

Не все типы документов подвергаются заражению. В мультимедиафайлы встроить вредоносный код почти нереально. Потенциально опасными являются файлы, содержащие инструкции, наборы выполняемых команд:

Также уязвимы форматы, в которых хранятся офисные документы: docx, xmlx, pptx и прочие с поддержкой макросов.

Основные признаки заражения компьютера файловыми и прочими вирусами:

• Везде или только в браузере всплывает одинаковая реклама.
  
• Приложения зависают, самопроизвольно запускаются.
  
• Повысилась нагрузка на аппаратуру, сильно шумит вентилятор, мало свободной оперативной памяти.
  
• Частые системные ошибки, особенно при запуске программ.
  
• Медленная работа ПК.
  
• Запущены неизвестные процессы.
  
• Изменяются системные настройки.
  
• Возросшая сетевая активность.
  
• Не грузится операционная система, появляется уведомление, что данные зашифрованы.
  
• Нет доступа к рабочему столу или диску – они закодированы.
  
• Меняется дата создания/модификации файлов.
  
• Исчезает свободное пространство на дисках (особенно системном).

Существует несколько концепций классификации опасных приложений.

Файловые вирусы – это самая распространённая категория. Зловред записывает вредоносный код в отдельный документ или встраивает в тело исполняемого файла, офисного документа с поддержкой макрокоманд (макросов). Запустившись, он заражает другие документы, исполняет заложенные вредоносные алгоритмы. Распространяются со взломанными и прочими модифицированными приложениями, видеоиграми, под видом взломанных программ. Характеризуются широким спектром воздействий на компьютер.

К файловым относятся драйверные зловреды – интегрируются в низкоуровневое ПО для управления оборудованием с целью перехватить управление им. Внедряется путём добавления в конфигурационный файл.

Драйверные вирусы – устаревшая разновидность опасного ПО.

Файловые вредоносы классифицируют по способу действия:

• Вирусы – им присущи все перечисленные выше признаки.
  
• Рекламное ПО – во вкладках браузера, на рабочем столе, в разных программах появляется однообразная реклама.
  
• Шпионы – маскируются, могут изменять настройки безопасности, блокировать выход в интернет.
  
• Вымогатели – блокируют доступ к диску, препятствуют загрузке ОС, рабочего стола. Просят перевести деньги за код для расшифровки данных.
  
• Боты – задействуют аппаратные возможности ПК в целях злоумышленника, обычно – участие в бот-сетях для организации DDoS-атак.
  
• Руткиты – получают удалённый доступ к ПК, управляют им в фоне.
  
• Трояны – имеют обширный спектр проявлений.
  
• Майнеры – сильно нагружают видеокарту, процессор. Одни – всегда, другие – во время простоя компьютера.

Макровирусы – разновидность файловых вирусов – макрокоманды и их последовательности, заражающие документы, созданные в программах Microsoft Office: Word (docx) и Excel (xlsx). Открытие поражённого документа заразит шаблон, а значит – все созданные в программе документы. Также текстовый или табличный процессор начнёт рассылать инфицированные объекты людям из адресной книги.

Загрузочные вирусы – это ПО, внедряющееся в первые секторы накопителей, распространяются на другие носители компьютера. Делают недоступной для ОС часть дискового пространства, модифицируют загрузочную запись операционной системы. Могут препятствовать запуску Windows.

Сетевые – распространяются, используя уязвимости в сетевых протоколах, электронную почту. К ним относятся черви – удаляют и воруют пользовательские данные, замедляют ПК.

Меры профилактики заражения ПК вирусом

При комплексном подходе предотвратить инфицирование системы реально. Кратко перечислим меры защиты личной информации от компьютерных вирусов.

Во избежание заражения не стоит кликать по рекламе, скачивать взломанные программы, патчи к ним, посещать сайты с плохой репутацией.

Тесты

1. Кликов по непроверенным ссылкам.
2. Загрузки фильмов с интернета.
3. Запуска исполняемых файлов.
4. Форматирования накопителя.

Выберите вариант, наиболее полно описывающий ситуацию. Какие типы файлов подвержены заражению:

1. Исполняемые (bat, exe, com).
2. Архивы (rar, zip).
3. Мультимедийные (mp3, mp4).
4. Содержащие инструкции (exe, com, msi, скрипты).

Какие файлы заражают макровирусы?

1. Офисные документы.
2. Сжатые – архивы.
3. Исполняемые.
4. Мультимедийные.

Загрузочные вирусы характеризуются тем, что:

1. Легко обнаруживаются антивирусами.
2. Не позволяют запуститься ОС.
3. Затрагивают активные программы.
4. Стартуют до или во время запуска ОС.

Кратко запишите и охарактеризуйте меры профилактики заражения ПК вирусом.

Тема: "МЧС России - федеральный орган управления
в области защиты населения и территорий от ЧС"

Задание:

1. Познакомиться с материалом параграфа в учебнике.
2. Письменно ответить на вопросы:

1. Когда был образован Российский корпус спасателей?
2. С какой целью было создано МЧС России?
3. Какие органы и службы входят в состав системы МЧС?
4. Назовите основные задачи МЧС России.

среда, 18 ноября 2020 г.

ОБЖ. 6 А, Б класс. Задание на 19.11.2020 г

Тема: "Экстремальные ситуации в природных условиях"

Задание.

1. Познакомиться с материалом параграфа "Экстремальные ситуации в природных условиях".
2. На основе параграфа выполнить задания в тетради или на листе (предварительно распечатав):

3. Ответить на контрольны вопросы теста по пройденному материалу:

вторник, 17 ноября 2020 г.

Информатика. 11 класс. Задание на 18.11.2020

Заканчиваем знакомиться с темой "Защита от вредоносных программ"

Задание:

1. Познакомиться с материалом параграфа 1.6.5 "Хакерские утилиты и защита от них"
2. Письменно дайте ответы на вопросы:
Как действуют DoS - программы?
Для чего прездназначеы Утилиты взлома удаленных компьютеров?
Принцип действия Руткитов.
Каковы функции сетевого экрана?

3. Контроль знаний:

1. С опоставьте номер изображения и название программы:

а) Antivir; б) DrWeb; в) Nod 32; г) Antivirus Kaspersky; д) Avast; е) Antivirus Panda.

1) троянские утилиты и сетевые черви;

2) программы, наносящие вред данным и программам, находящимся на компьютере;

3) программы, наносящие вред пользователю, работающему на зараженном компьютере;

4) антивирусные программы;

5) шпионские программы.

1) Вирусы, которые внедряются в документы под видом макросов;

2) Вредоносные программы, которые проникают на компьютер, используя сервисы компьютерных сетей;

3) Вредоносные программы, устанавливающие скрытно от пользователя другие вредоносные программы и утилиты;

4) Хакерские утилиты управляющие удаленным доступом компьютера;

5) Вирусы, которые проникнув на компьютер, блокируют работу сети.

4. Вредоносная программа, которая подменяет собой загрузку некоторых программ при загрузке системы называется.

1) Сетевой червь;

4) Файловый вирус;

5) Загрузочный вирус.

5. Руткит - это.

1) вредоносная программа, маскирующаяся под макрокоманду;

2) вредоносная программа, выполняющая несанкционированные действия по передаче управления компьютером удаленному пользователю;

3) программа использующая для распространения Рунет (Российскую часть Интернета);

4) программа для скрытого взятия под контроль взломанной системы;

6. Вирус, который внедряется в исполняемые файлы и при их запуске активируется называется.

2) Сетевой червь;

3) Файловый вирус;

5) Загрузочный вирус.

7. Вирус поражающий документы называется.

1) Файловый вирус;

3) Загрузочный вирус;

5) Сетевой червь.

8. Отметьте составные части современного антивируса.

5) Межсетевой экран.

9. Укажите порядок действий при наличии признаков заражения компьютера :

1) Отключиться от глобальной или локальной сети;

2) Запустить антивирусную программу;

3) Сохранить результаты работы на внешнем носителе.

1) Вредоносные программы, наносящие вред данным;

2) Программы, уничтожающие данные на жестком диске;

3) Программы, заражающие загрузочный сектор дисков и препятствующие загрузке компьютера;

4) Программы, которые могут размножаться, и скрыто внедрять свои копии в файлы, загрузочные сектора дисков, документы;

Если вирус внедряется в исполняемые файлы и при их запуске активируется, то этот вирус называется.

• Макровирус
• Троян
• Файловый вирус

Вопрос 2

К биометрическим способам защиты информации относятся:

• идентификация по отпечаткам пальцев
• установка брандмауэра
• идентификация по голосу
• защита паролем

Вопрос 3

Макровирусы поражают файлы следующих форматов:

Вопрос 4

Почтовый вирус заражает компьютер в следующем случае:

• при открытии письма
• при входе в почтовый ящик
• при открытии зараженного файла

Вопрос 5

Как называется программа, которая находит файлы, зараженные вирусом и лечит их?

Вопрос 6

Зараженный файл отличается тем, что

• такой файл не открывается
• такой файл становится невидимым
• скорость доступа к такому снижается
• содержит в себе вредоносный код

Вопрос 7

. - это вариант атаки, когда злоумышленник не видит ту рабочую станцию, с которой он работает.

• Локальная атака
• Удаленная атака
• Прямая атака

Вопрос 8

Как называется информация, круг лиц, имеющих доступ к которой ограничен?

• конфиденциальная
• открытая
• зашифрованная

Вопрос 9

Шифрование информации это - .

• преобразование информации в двоичный код
• преобразование информации, при котором содержание становится непонятным для не обладающих соответствующими полномочиями субъектов
• процесс сжатия информации, с целью уменьшения занимаемого ей объема на диске

Вопрос 10

Аппаратное средство, предназначенное для защиты данных от копирования, нелегального использования и несанкционированного распространения - это.

• цифовая подпись
• аппаратный (электронный) ключ
• сетевой экран

Вопрос 11

Какие потери информации бывают из-за некорректной работы программ?

• открытие доступа к конфиденциальной информации
• сошибки оперативной памяти
• потеря или изменение данных при ошибках программного обеспечения
• сбои жесткого диска

Вопрос 12

Вопрос 13

Что понимают под утечкой информации?

• преднамеренная порча или уничтожение информации
• преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к данным.
• бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.

Вопрос 14

Сигнатура вируса - это.

• шифрование информации вирусом
• непрерывная последовательность байтов, характерная для той или иной вредоносной программы.
• время создания вредоносной программы

Вопрос 15

Программы-фильтры или « сторожа » предназначены для обнаружения следующих действий:

GameGuru совместно с компанией Oldi объявляет о старте викторины, которая проверит ваши знания на предмет компьютерной безопасности. Вопросы довольно простые, не пугайтесь.

Призы:

Призами победителям станут флешки на 8Gb. Их получит случайно отобранная пятерка победителей.

Участие в акции:

ВОПРОСЫ КОНКУРСА
Вопрос 1: RAID-массив это
1) Набор жестких дисков, подключенных особым образом
2) Антивирусная программа
3) Вид хакерской утилиты
4) База защищенных данных

Вопрос 2: Вредоносные программы - это
1) шпионские программы
2) программы, наносящие вред данным и программам, находящимся на компьютере
3) антивирусные программы
4) программы, наносящие вред пользователю, работающему на зараженном компьютере

Вопрос 3: Сетевые черви это
1) Вирусы, которые проникнув на компьютер, блокируют работу сети
2) Вирусы, которые внедряются в документы под видом макросов
3) Хакерские утилиты управляющие удаленным доступом компьютера
4) Вредоносные программы, которые проникают на компьютер, используя сервисы компьютерных сетей

Вопрос 4: К биометрической системе защиты относится:
1) Защита паролем
2) Физическая защита данных
3) Антивирусная защита
4) Идентификация по радужной оболочке глаз

Вопрос 5: Вредоносная программа, которая подменяет собой загрузку некоторых программ при загрузке системы называется.
1) Загрузочный вирус
2) Макровирус
3) Троян
4) Файловый вирус

Вопрос 6: Руткит - это.
1) вредоносная программа, выполняющая несанкционированные действия по передаче управления компьютером удаленному пользователю
2) программа использующая для распространения Рунет (Российскую часть Интернета)
3) вредоносная программа, маскирующаяся под макрокоманду
4) программа для скрытого взятия под контроль взломанной системы

Вопрос 7: Компьютерные вирусы это
1) Вредоносные программы, наносящие вред данным.
2) Программы, уничтожающие данные на жестком диске
3) Программы, которые могут размножаться и скрыто внедрять свои копии в файлы, загрузочные сектора дисков, документы.
4) Программы, заражающие загрузочный сектор дисков и препятствующие загрузке компьютера

Вопрос 8: Вирус внедряется в исполняемые файлы и при их запуске активируется. Это.
1) Загрузочный вирус
2) Макровирус
3) Файловый вирус
4) Троян

Вопрос 9: Количество различных кодировок букв русского алфавита составляет…
1. одну
2. две (MS-DOS, Windows)
3. три (MS-DOS, Windows, Macintosh)
4. пять (MS-DOS, Windows, Macintosh, КОИ-8, ISO)

Вопрос 10: Вирус, поражающий документы называется
1) Троян
2) Файловый вирус
3) Макровирус
4) Загрузочный вирус

Оглавление

Приведённый ознакомительный фрагмент книги Создаем вирус и антивирус предоставлен нашим книжным партнёром — компанией ЛитРес.

В этой главе рассказано о вирусах, заражающих EXE-файлы. Приведена классификация таких вирусов, подробно рассмотрены алгоритмы их работы, отличия между ними, достоинства и недостатки. Для каждого типа вирусов представлены исходные тексты с подробными комментариями. Также приведены основные сведения о структуре и принципах работы EXE-программы.

COM-файлы (небольшие программы, написанные в основном на языке Assembler) медленно, но верно устаревают. Им на смену приходят пугающие своими размерами EXE-«монстры». Появились и вирусы, умеющие заражать EXE-файлы.

Структура и процесс загрузки EXE-программы

В отличие от COM-программ, EXE-программы могут состоять из нескольких сегментов (кодов, данных, стека). Они могут занимать больше 64Кбайт.

EXE-файл имеет заголовок, который используется при его загрузке. Заголовок состоит из форматированной части, содержащей сигнатуру и данные, необходимые для загрузки EXE-файла, и таблицы для настройки адресов (Relocation Table). Таблица состоит из значений в формате сегмент: смещение. К смещениям в загрузочном модуле, на которые указывают значения в таблице, после загрузки программы в память должен быть прибавлен сегментный адрес, с которого загружена программа.

При запуске EXE-программы системным загрузчиком (вызовом функции DOS 4Bh) выполняются следующие действия:

1. Определяется сегментный адрес свободного участка памяти, размер которого достаточен для размещения программы.

2. Создается и заполняется блок памяти для переменных среды.

3. Создается блок памяти для PSP и программы (сегмент:0000h — PSP; сегмент+0010h:0000h — программа). В поля PSP заносятся соответствующие значения.

4. Адрес DTA устанавливается равным PSP:0080h.

5. В рабочую область загрузчика считывается форматированная часть заголовка EXE-файла.

6. Вычисляется длина загрузочного модуля по формуле: Size=((PageCnt*512)–(HdrSize*16))–PartPag.

7. Определяется смещение загрузочного модуля в файле, равное HdrSize*16.

8. Вычисляется сегментный адрес (START_SEG) для загрузки — обычно это PSP+10h.

9. Считывается в память загрузочный модуль (начиная с адреса START_SEG:0000).

10. Для каждого входа таблицы настройки:

a) читаются слова I_OFF и I_SEG;

b) вычисляется RELO_SEG=START_SEG+I_SEG;

c) читается слово по адресу RELO_SEG:I_OFF;

d) к прочитанному слову прибавляется START_SEG;

e) результат запоминается по тому же адресу (RELO_SEG:I_OFF).

11. Распределяется память для программы в соответствии с MaxMem и MinMem.

12. Инициализируются регистры, выполняется программа:

b) АХ=результат проверки правильности идентификаторов драйверов, указанных в командной строке;

c) SS=START_SEG+ReloSS, SP=ExeSP;

d) CS=START_SEG+ReloCS, IP=ExeIP.

EXE-вирусы условно можно разделить на группы, используя в качестве признака для деления особенности алгоритма.

Вирусы, замещающие программный код (Overwrite)

Такие вирусы уже стали раритетом. Главный их недостаток — слишком грубая работа. Инфицированные программы не исполняются, так как вирус записывается поверх программного кода, не сохраняя его. При запуске вирус ищет очередную жертву (или жертвы), открывает найденный файл для редактирования и записывает свое тело в начало программы, не сохраняя оригинальный код. Инфицированные этими вирусами программы лечению не подлежат.

Эти вирусы получили свое название из-за алгоритма размножения: к каждому инфицированному файлу создается файл-спутник. Рассмотрим более подробно два типа вирусов этой группы:

Вирусы первого типа размножается следующим образом. Для каждого инфицируемого EXE-файла в том же каталоге создается файл с вирусным кодом, имеющий такое же имя, что и EXE-файл, но с расширением COM. Вирус активируется, если при запуске программы в командной строке указано только имя исполняемого файла. Дело в том, что, если не указано расширение файла, DOS сначала ищет в текущем каталоге файл с заданным именем и расширением COM. Если COM-файл с таким именем не найден, ведется поиск одноименного EXE-файла. Если не найден и EXE-файл, DOS попробует обнаружить BAT (пакетный) файл. В случае отсутствия в текущем каталоге исполняемого файла с указанным именем поиск ведется во всех каталогах, доступных по переменной PATH. Другими словами, когда пользователь хочет запустить программу и набирает в командной строке только ее имя (в основном так все и делают), первым управление получает вирус, код которого находится в COM-файле. Он создает COM-файл еще к одному или нескольким EXE-файлам (распространяется), а затем исполняет EXE-файл с указанным в командной строке именем. Пользователь же думает, что работает только запущенная EXE-программа. Вирус-спутник обезвредить довольно просто — достаточно удалить COM-файл.

Вирусы второго типа действуют более тонко. Имя инфицируемого EXE-файла остается прежним, а расширение заменяется каким-либо другим, отличным от исполняемого (COM, EXE и BAT). Например, файл может получить расширение DAT (файл данных) или OVL (программный оверлей). Затем на место EXE-файла копируется вирусный код. При запуске такой инфицированной программы управление получает вирусный код, находящийся в EXE-файле. Инфицировав еще один или несколько EXE-файлов таким же образом, вирус возвращает оригинальному файлу исполняемое расширение (но не EXE, а COM, поскольку EXE-файл с таким именем занят вирусом), после чего исполняет его. Когда работа инфицированной программы закончена, ее запускаемому файлу возвращается расширение неисполняемого. Лечение файлов, зараженных вирусом этого типа, может быть затруднено, если вирус-спутник шифрует часть или все тело инфицируемого файла, а перед исполнением его расшифровывает.

Вирусы, внедряющиеся в программу (Parasitic)

Вирусы этого вида самые незаметные: их код записывается в инфицируемую программу, что существенно затрудняет лечение зараженных файлов. Рассмотрим методы внедрения EXE-вирусов в EXE-файл.

Способы заражения EXE-файлов

Самый распространенный способ заражения EXE-файлов такой: в конец файла дописывается тело вируса, а заголовок корректируется (с сохранением оригинального) так, чтобы при запуске инфицированного файла управление получал вирус. Похоже на заражение COM-файлов, но вместо задания в коде перехода в начало вируса корректируется собственно адрес точки запуска программы. После окончания работы вирус берет из сохраненного заголовка оригинальный адрес запуска программы, прибавляет к его сегментной компоненте значение регистра DS или ES (полученное при старте вируса) и передает управление на полученный адрес.

Следующий способ — внедрение вируса в начало файла со сдвигом кода программы. Механизм заражения такой: тело инфицируемой программы считывается в память, на ее место записывается вирусный код, а после него — код инфицируемой программы. Таким образом, код программы как бы «сдвигается» в файле на длину кода вируса. Отсюда и название способа — «способ сдвига». При запуске инфицированного файла вирус заражает еще один или несколько файлов. После этого он считывает в память код программы, записывает его в специально созданный на диске временный файл с расширением исполняемого файла (COM или EXE), и затем исполняет этот файл. Когда программа закончила работу, временный файл удаляется. Если при создании вируса не применялось дополнительных приемов защиты, то вылечить инфицированный файл очень просто — достаточно удалить код вируса в начале файла, и программа снова будет работоспособной. Недостаток этого метода в том, что приходится считывать в память весь код инфицируемой программы (а ведь бывают экземпляры размером больше 1Мбайт).

Следующий способ заражения файлов — метод переноса — по всей видимости, является самым совершенным из всех перечисленных. Вирус размножается следующим образом: при запуске инфицированной программы тело вируса из нее считывается в память. Затем ведется поиск неинфицированной программы. В память считывается ее начало, по длине равное телу вируса. На это место записывается тело вируса. Начало программы из памяти дописывается в конец файла. Отсюда название метода — «метод переноса». После того, как вирус инфицировал один или несколько файлов, он приступает к исполнению программы, из которой запустился. Для этого он считывает начало инфицированной программы, сохраненное в конце файла, и записывает его в начало файла, восстанавливая работоспособность программы. Затем вирус удаляет код начала программы из конца файла, восстанавливая оригинальную длину файла, и исполняет программу. После завершения программы вирус вновь записывает свой код в начало файла, а оригинальное начало программы — в конец. Этим методом могут быть инфицированы даже антивирусы, которые проверяют свой код на целостность, так как запускаемая вирусом программа имеет в точности такой же код, как и до инфицирования.

Вирусы, замещающие программный код (Overwrite)

Как уже говорилось, этот вид вирусов уже давно мертв. Изредка появляются еще такие вирусы, созданные на языке Assembler, но это, скорее, соревнование в написании самого маленького overwrite-вируса. На данный момент самый маленький из известных overwrite-вирусов написан ReminderW (Death Virii Crew group) и занимает 22 байта.

Алгоритм работы overwrite-вируса следующий:

1. Открыть файл, из которого вирус получил управление.

2. Считать в буфер код вируса.

4. Искать по маске подходящий для заражения файл.

5. Если файлов больше не найдено, перейти к пункту 11.

6. Открыть найденный файл.

7. Проверить, не заражен ли найденный файл этим вирусом.

8. Если файл заражен, перейти к пункту 10.

9. Записать в начало файла код вируса.

10. Закрыть файл (по желанию можно заразить от одного до всех файлов в каталоге или на диске).

Читайте также:

  
• Как активировать xmind 2020
  
• Oracle установить enterprise manager
  
• Node js прочитать все файлы в папке
  
• Что такое койке файлы
  
• Что такое сейф файл