Οι ιοί υπολογιστών γίνονται εύκολα

I Ιοί

1 Ορισμός — Τι είναι ο Κακόβουλος Κώδικας;

Ο κακόβουλος κώδικας αναφέρεται σε οποιαδήποτε οδηγία ή σύνολο εντολών που εκτελεί μια ύποπτη λειτουργία χωρίς τη συγκατάθεση του χρήστη.

2 Ορισμός — Τι είναι ο ιός υπολογιστών;

Ένας ιός υπολογιστή είναι μια μορφή κακόβουλου κώδικα. Είναι ένα σύνολο οδηγιών (δηλ. ένα πρόγραμμα) που είναι ταυτόχρονα αυτοαναπαραγόμενο και μολυσματικό, μιμούμενο έτσι έναν βιολογικό ιό.

3 ιοί προγράμματος και μολυντές τομέα εκκίνησης

Οι ιοί μπορούν πρώτα να ταξινομηθούν ως προς το τι μολύνουν. Οι ιοί που μολύνουν τα προγράμματα του χρήστη όπως παιχνίδια, επεξεργαστές κειμένου (Word), υπολογιστικά φύλλα (Excel) και DBMS (Access), είναι γνωστοί ως ιοί προγραμμάτων. Οι ιοί που μολύνουν τομείς εκκίνησης (εξηγούνται αργότερα) ή/και Κύρια αρχεία εκκίνησης (εξηγούνται αργότερα) είναι γνωστοί ως μολύντες τομέα εκκίνησης. Ορισμένοι ιοί ανήκουν και στις δύο ομάδες. Όλοι οι ιοί έχουν τρεις λειτουργίες: Reproduce, Infect και Deliver Payload. Ας δούμε πρώτα τους ιούς προγραμμάτων.

3.1 Πώς λειτουργεί ένας ιός προγράμματος;

Ένας ιός προγράμματος πρέπει να συνδεθεί με άλλα προγράμματα για να υπάρχει. Αυτό είναι το κύριο χαρακτηριστικό που διακρίνει έναν ιό από άλλες μορφές κακόβουλου κώδικα: δεν μπορεί να υπάρξει από μόνος του. είναι παρασιτικό σε άλλο πρόγραμμα. Το πρόγραμμα στο οποίο εισβάλλει ένας ιός είναι γνωστό ως πρόγραμμα υποδοχής. Όταν εκτελείται ένα πρόγραμμα που έχει μολυνθεί από ιούς, εκτελείται και ο ιός. Ο ιός εκτελεί πλέον τις δύο πρώτες λειτουργίες του ταυτόχρονα: Αναπαραγωγή και Μόλυνση.

Μετά την εκτέλεση ενός μολυσμένου προγράμματος, ο ιός παίρνει τον έλεγχο από τον κεντρικό υπολογιστή και ξεκινά την αναζήτηση για άλλα προγράμματα στον ίδιο ή άλλους δίσκους που δεν είναι μολυσμένοι αυτήν τη στιγμή. Όταν βρει ένα, αντιγράφει τον εαυτό του στο μη μολυσμένο πρόγραμμα. Στη συνέχεια, μπορεί να αρχίσει η αναζήτηση για περισσότερα προγράμματα για μόλυνση. Αφού ολοκληρωθεί η μόλυνση, ο έλεγχος επιστρέφεται στο πρόγραμμα υποδοχής. Όταν τερματιστεί το πρόγραμμα υποδοχής, αυτό και πιθανώς και ο ιός αφαιρούνται από τη μνήμη. Ο χρήστης πιθανότατα δεν θα έχει πλήρη επίγνωση του τι έχει μόλις συμβεί.

Μια παραλλαγή αυτής της μεθόδου μόλυνσης περιλαμβάνει την παραμονή του ιού στη μνήμη ακόμη και μετά τον τερματισμό του ξενιστή. Ο ιός θα παραμείνει τώρα στη μνήμη μέχρι να απενεργοποιηθεί ο υπολογιστής. Από αυτή τη θέση, ο ιός μπορεί να μολύνει προγράμματα στο περιεχόμενο της καρδιάς του. Την επόμενη φορά που ο χρήστης θα εκκινήσει τον υπολογιστή του, ενδέχεται να εκτελέσει εν αγνοία του μια από τις μολυσμένες εφαρμογές του.

Μόλις ο ιός βρεθεί στη μνήμη, υπάρχει ο κίνδυνος να γίνει επίκληση της τρίτης λειτουργίας του ιού: Παράδοση ωφέλιμου φορτίου. Αυτή η δραστηριότητα μπορεί να είναι οτιδήποτε θέλει ο δημιουργός του ιού, όπως η διαγραφή αρχείων ή η επιβράδυνση του υπολογιστή. Ο ιός θα μπορούσε να παραμείνει στη μνήμη, παραδίδοντας το ωφέλιμο φορτίο του, μέχρι να απενεργοποιηθεί ο υπολογιστής. Θα μπορούσε να τροποποιήσει αρχεία δεδομένων, να καταστρέψει ή να διαγράψει αρχεία δεδομένων και προγράμματα κ.λπ. Θα μπορούσε να περιμένει υπομονετικά να δημιουργήσετε αρχεία δεδομένων με επεξεργαστή κειμένου, υπολογιστικό φύλλο, βάση δεδομένων κ.λπ. Στη συνέχεια, όταν βγείτε από το πρόγραμμα, ο ιός θα μπορούσε να τροποποιήσει ή διαγράψτε τα νέα αρχεία δεδομένων.

3.1.1 Διαδικασία μόλυνσης

Ένας ιός προγράμματος συνήθως μολύνει άλλα προγράμματα τοποθετώντας ένα αντίγραφό του στο τέλος του επιδιωκόμενου στόχου (το πρόγραμμα υποδοχής). Στη συνέχεια, τροποποιεί τις πρώτες λίγες οδηγίες του προγράμματος κεντρικού υπολογιστή, έτσι ώστε όταν εκτελείται ο κεντρικός υπολογιστής, ο έλεγχος περνά στον ιό. Στη συνέχεια, ο έλεγχος επιστρέφει στο κεντρικό πρόγραμμα. Το να κάνετε ένα πρόγραμμα μόνο για ανάγνωση είναι αναποτελεσματική προστασία από έναν ιό. Οι ιοί μπορούν να αποκτήσουν πρόσβαση σε αρχεία μόνο για ανάγνωση απενεργοποιώντας απλώς το χαρακτηριστικό μόνο για ανάγνωση. Μετά τη μόλυνση, το χαρακτηριστικό μόνο για ανάγνωση θα αποκατασταθεί. Παρακάτω, μπορείτε να δείτε τη λειτουργία ενός προγράμματος πριν και μετά τη μόλυνση.

Πριν από τη μόλυνση

1. Οδηγία 1

2. Οδηγία 2

3. Οδηγία 3

4. Οδηγία αριθ

Τέλος προγράμματος

Μετά τη μόλυνση

1. Μετάβαση στην οδηγία για ιούς 1

2. Πρόγραμμα υποδοχής

3. Οδηγίες κεντρικού υπολογιστή 1

4. Οδηγίες κεντρικού υπολογιστή 2

5. Οδηγίες κεντρικού υπολογιστή 3

6. Host Instruction n

7. Τέλος προγράμματος φιλοξενίας

8. Πρόγραμμα ιών

9. Οδηγίες για ιούς 1

10. Οδηγίες για ιούς 2

11. Οδηγίες για ιούς 3

12. Virus Instruction n

13. Μετάβαση στην οδηγία 1 του κεντρικού υπολογιστή

14. Τέλος προγράμματος ιών

3.2 Πώς λειτουργεί ένα Boot Sector Infector;

Στους σκληρούς δίσκους, το κομμάτι 0, ο τομέας 1 είναι γνωστό ως Master Boot Record. Το MBR περιέχει ένα πρόγραμμα καθώς και δεδομένα που περιγράφουν τον σκληρό δίσκο που χρησιμοποιείται. Ένας σκληρός δίσκος μπορεί να χωριστεί σε ένα ή περισσότερα διαμερίσματα. Ο πρώτος τομέας του διαμερίσματος που περιέχει το λειτουργικό σύστημα είναι ο τομέας εκκίνησης.

Ένας μολυντής τομέα εκκίνησης είναι αρκετά πιο προηγμένος από έναν ιό προγράμματος, καθώς εισβάλλει σε μια περιοχή του δίσκου που είναι συνήθως εκτός ορίων για τον χρήστη. Για να κατανοήσουμε πώς λειτουργεί ένας μολυντής τομέα εκκίνησης (BSI), πρέπει πρώτα να κατανοήσουμε κάτι που ονομάζεται διαδικασία εκκίνησης. Αυτή η σειρά βημάτων ξεκινά όταν πατηθεί ο διακόπτης λειτουργίας, ενεργοποιώντας έτσι την παροχή ρεύματος. Το τροφοδοτικό ξεκινά την CPU, η οποία με τη σειρά της εκτελεί ένα πρόγραμμα ROM γνωστό ως BIOS. Το BIOS ελέγχει τα στοιχεία του συστήματος και, στη συνέχεια, εκτελεί το MBR. Στη συνέχεια, το MBR εντοπίζει και εκτελεί τον τομέα εκκίνησης που φορτώνει το λειτουργικό σύστημα. Το BIOS δεν ελέγχει για να δει τι είναι το πρόγραμμα στο κομμάτι 0, τομέας 1. απλά πηγαίνει εκεί και το εκτελεί.

Για να μην γίνει πολύ μεγάλο το παρακάτω διάγραμμα, ο τομέας εκκίνησης θα αναφέρεται τόσο στον τομέα εκκίνησης όσο και στο MBR. Ένας μολυντής τομέα εκκίνησης μετακινεί τα περιεχόμενα του τομέα εκκίνησης σε μια νέα θέση στο δίσκο. Στη συνέχεια τοποθετείται στην αρχική θέση του δίσκου. Την επόμενη φορά που θα εκκινηθεί ο υπολογιστής, το BIOS θα μεταβεί στον τομέα εκκίνησης και θα εκτελέσει τον ιό. Ο ιός βρίσκεται τώρα στη μνήμη και ενδέχεται να παραμείνει εκεί μέχρι να απενεργοποιηθεί ο υπολογιστής. Το πρώτο πράγμα που θα κάνει ο ιός είναι να εκτελέσει, στη νέα του θέση, το πρόγραμμα που ήταν στον τομέα εκκίνησης. Αυτό το πρόγραμμα θα φορτώσει στη συνέχεια το λειτουργικό σύστημα και όλα θα συνεχιστούν κανονικά εκτός από το ότι υπάρχει πλέον ένας ιός στη μνήμη. Η διαδικασία εκκίνησης, πριν και μετά την ιογενή μόλυνση, φαίνεται παρακάτω.

Πριν από τη μόλυνση

1. Πατήστε το διακόπτη λειτουργίας

2. Το τροφοδοτικό ξεκινά CPU

3. Η CPU εκτελεί το BIOS

4. Το BIOS ελέγχει εξαρτήματα

5. Το BIOS εκτελεί τον τομέα εκκίνησης

6. Ο τομέας εκκίνησης φορτώνει το λειτουργικό σύστημα

Μετά τη μόλυνση

1. Πατήστε το διακόπτη λειτουργίας

2. Το τροφοδοτικό ξεκινά CPU

3. Η CPU εκτελεί το BIOS

4. Το BIOS ελέγχει εξαρτήματα

5. Το BIOS εκτελεί τον τομέα εκκίνησης

6. Η BSI εκτελεί το αρχικό πρόγραμμα τομέα εκκίνησης σε νέα θέση

7. Το αρχικό πρόγραμμα τομέα εκκίνησης φορτώνει το λειτουργικό σύστημα (το BSI παραμένει στη μνήμη όταν ολοκληρωθεί η διαδικασία εκκίνησης)

BSI = Boot Sector Infector

4 Ιός Stealth

Ένας άλλος τρόπος ταξινόμησης των ιών αφορά τον τρόπο με τον οποίο κρύβονται μέσα στον κεντρικό υπολογιστή τους και ισχύει τόσο για τους ιούς του τομέα προγραμμάτων όσο και για τους ιούς εκκίνησης. Ένας κανονικός ιός μολύνει ένα πρόγραμμα ή έναν τομέα εκκίνησης και μετά απλώς κάθεται εκεί. Ένας ειδικός τύπος ιού γνωστός ως ιός μυστικότητας, κρυπτογραφείται όταν κρύβεται μέσα σε άλλο πρόγραμμα ή τομέα εκκίνησης. Ωστόσο, ένας κρυπτογραφημένος ιός δεν είναι εκτελέσιμος. Επομένως, ο ιός αφήνει μια μικρή ετικέτα που δεν είναι ποτέ κρυπτογραφημένη. Όταν εκτελείται το κεντρικό πρόγραμμα ή ο τομέας εκκίνησης, η ετικέτα παίρνει τον έλεγχο και αποκωδικοποιεί τον υπόλοιπο ιό. Ο πλήρως αποκωδικοποιημένος ιός μπορεί στη συνέχεια να εκτελέσει είτε τις λειτουργίες Infect and Reproduce είτε τη λειτουργία Deliver Payload, ανάλογα με τον τρόπο με τον οποίο γράφτηκε ο ιός.

Μια προηγμένη μορφή ιού stealth είναι ένας πολυμορφικός ιός μυστικότητας, ο οποίος χρησιμοποιεί διαφορετικό αλγόριθμο κρυπτογράφησης κάθε φορά. Η ετικέτα, ωστόσο, δεν πρέπει ποτέ να κρυπτογραφηθεί με κανέναν τρόπο. Διαφορετικά, δεν θα είναι εκτελέσιμο και δεν θα είναι δυνατή η αποκωδικοποίηση του υπόλοιπου ιού.

5 Λογική βόμβα

Οι ιοί προγραμματίζονται συχνά να περιμένουν μέχρι να εκπληρωθεί μια συγκεκριμένη προϋπόθεση πριν παραδώσουν το ωφέλιμο φορτίο τους. Τέτοιες συνθήκες περιλαμβάνουν: αφού έχει αναπαραχθεί ορισμένες φορές, όταν ο σκληρός δίσκος είναι 75% γεμάτος, κ.λπ. Αυτοί οι ιοί είναι γνωστοί ως λογικές βόμβες επειδή περιμένουν μέχρι να ισχύσει μια λογική συνθήκη πριν παραδώσουν το ωφέλιμο φορτίο.

5.1 ωρολογιακή βόμβα

Ο όρος ωρολογιακή βόμβα χρησιμοποιείται για να αναφέρεται σε έναν ιό που περιμένει μέχρι μια συγκεκριμένη ημερομηνία ή/και ώρα πριν παραδώσει το ωφέλιμο φορτίο του. Για παράδειγμα, ορισμένοι ιοί εξαφανίζονται την Παρασκευή 13, 1 Απριλίου ή 31 Οκτωβρίου. Ο ιός Michelangelo είχε ως ημερομηνία ενεργοποίησης την 6η Μαρτίου. Η αναμονή μέχρι μια συγκεκριμένη ημερομηνία και/ή ώρα πριν από την παράδοση του ωφέλιμου φορτίου σημαίνει ότι μια ωρολογιακή βόμβα είναι ένας συγκεκριμένος τύπος λογικής βόμβας (συζητήθηκε νωρίτερα) επειδή η αναμονή για μια ημερομηνία/ώρα σημαίνει ότι ο ιός περιμένει να ισχύει μια λογική συνθήκη. Υπάρχει σημαντική επικάλυψη σε αυτούς τους τομείς της περιγραφής των ιών. Για παράδειγμα, ένας συγκεκριμένος ιός θα μπορούσε να είναι ένας ιός προγράμματος και ένας πολυμορφικός ιός μυστικότητας. Ένας άλλος ιός θα μπορούσε να είναι ένας μολυσματικός τομέας εκκίνησης, ένας ιός stealth και μια ωρολογιακή βόμβα. Κάθε όρος αναφέρεται σε μια διαφορετική πτυχή του ιού.

II Περισσότερα για τον κακόβουλο κώδικα

1 Δούρειοι Ίπποι

Ο δούρειος ίππος είναι ένα ανεξάρτητο πρόγραμμα και μια μορφή κακόβουλου κώδικα. Δεν είναι ιός αλλά ένα πρόγραμμα που πιστεύει κανείς ότι θα έκανε ένα πράγμα αλλά στην πραγματικότητα κάνει κάτι άλλο. Ο χρήστης παραπλανάται από το όνομα του προγράμματος που παρασύρει ανυποψίαστους χρήστες να το εκτελέσουν και μόλις εκτελεστεί, γίνεται επίκληση ενός κομματιού κακόβουλου κώδικα. Ο κακόβουλος κώδικας μπορεί να είναι ιός, αλλά δεν χρειάζεται να είναι. Μπορεί να είναι απλώς κάποιες οδηγίες που δεν είναι ούτε μολυσματικές ούτε αυτοαναπαραγόμενες, αλλά παρέχουν κάποιο είδος ωφέλιμου φορτίου. Ένας δούρειος ίππος από τις ημέρες του DOS ήταν το SEX.EXE που είχε μολυνθεί σκόπιμα με έναν ιό. Εάν βρίσκατε ένα πρόγραμμα με αυτό το όνομα στον σκληρό σας δίσκο, θα το εκτελούσατε; Όταν φορτώθηκε το πρόγραμμα, εμφανίστηκαν μερικές ενδιαφέρουσες εικόνες στην οθόνη για να σας αποσπάσουν την προσοχή. Εν τω μεταξύ, ο ιός που περιλαμβανόταν μόλυνε τον σκληρό σας δίσκο. Λίγο αργότερα, η τρίτη λειτουργία του ιού αναπήδησε το FAT (πίνακας κατανομής αρχείων) του σκληρού σας δίσκου, πράγμα που σήμαινε ότι δεν μπορούσατε να έχετε πρόσβαση σε κανένα από τα προγράμματα, τα αρχεία δεδομένων, τα έγγραφα κ.λπ.

Ένας δούρειος ίππος θα μπορούσε να βρει το δρόμο του στον σκληρό σας δίσκο με διαφορετικούς τρόπους. Τα πιο συνηθισμένα περιλαμβάνουν το Διαδίκτυο.

– Θα μπορούσε να πραγματοποιηθεί λήψη χωρίς την άδειά σας ενώ κάνετε λήψη κάτι άλλου.

– Θα μπορούσε να ληφθεί αυτόματα όταν επισκέπτεστε συγκεκριμένους ιστότοπους.

– Θα μπορούσε να είναι συνημμένο σε ένα email.

Όπως αναφέρθηκε προηγουμένως, το όνομα αρχείου ενός δούρειου ίππου δελεάζει ανυποψίαστους χρήστες να το εκτελέσουν. Εάν ένας δούρειος ίππος είναι συνημμένο σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, η γραμμή θέματος του μηνύματος ηλεκτρονικού ταχυδρομείου θα μπορούσε επίσης να γραφτεί για να δελεάσει τον χρήστη να το εκτελέσει. Για παράδειγμα, η γραμμή θέματος θα μπορούσε να είναι “Κέρδισες 5 εκατομμύρια δολάρια!” και το όνομα αρχείου του συνημμένου θα μπορούσε να είναι “million dollar winner.exe”.

2 σκουλήκια

Ένα σκουλήκι δεν είναι ιός. Μάλλον, είναι μια μορφή κακόβουλου κώδικα που αναπαράγει και παραδίδει ένα ωφέλιμο φορτίο αλλά δεν είναι μολυσματικός. Είναι ένα ανεξάρτητο πρόγραμμα που υπάρχει από μόνο του σαν δούρειος ίππος ή οποιοδήποτε κανονικό πρόγραμμα. Οι ιοί δεν μπορούν να υπάρξουν από μόνοι τους. Τα σκουλήκια δεν μολύνουν προγράμματα, αλλά αναπαράγονται και συνήθως μεταδίδονται χρησιμοποιώντας την τεχνική του δούρειου ίππου.

3 Παράδοση ωφέλιμου φορτίου – Τι μπορεί να κάνει ο κακόβουλος κώδικας;

– Εμφανίστε ένα μήνυμα ή ένα γραφικό στην οθόνη, όπως έναν αριθμό από καβούρια που σέρνονται αργά τριγύρω καταβροχθίζοντας και καταστρέφοντας ό,τι βρουν. Αυτός ο πολύ παλιός ιός ονομαζόταν Καβούρια.

– Απαίτηση από τον χρήστη να εκτελέσει μια συγκεκριμένη λειτουργία, όπως το πάτημα μιας συγκεκριμένης σειράς πλήκτρων πριν επιτρέψει την επανέναρξη της κανονικής λειτουργίας. Ένα παράδειγμα αυτού είναι ο ιός Cookie Monster, στον οποίο το Cookie Monster θα εμφανιζόταν στην οθόνη σας και θα απαιτούσε ένα cookie προτού επιστρέψει τον έλεγχο του υπολογιστή σας σε εσάς. Θα πρέπει να απαντήσετε πληκτρολογώντας cookie. Μερικά λεπτά αργότερα, θα εμφανιζόταν ξανά και θα απαιτούσε άλλο ένα μπισκότο.

– Προκαλώντας το κλείδωμα του υπολογιστή και/ή του ποντικιού και την αχρηστία έως ότου επανεκκινηθεί το σύστημα.

– Επαναπροσδιορισμός του πληκτρολογίου (πατήστε r και εμφανίζεται το ak κ.λπ.).

– Προκαλώντας τον υπολογιστή να λειτουργεί με ένα κλάσμα της κανονικής του ταχύτητας.

– Διαγραφή ενός ή περισσότερων αρχείων του υπολογιστή.

– Αλλαγή ή αλλοίωση των περιεχομένων των αρχείων δεδομένων (υπαίθρια ή με άλλο τρόπο), συχνά με τρόπο σχεδόν μη ανιχνεύσιμο από τον χρήστη μέχρι πολύ μεταγενέστερη ημερομηνία. Για παράδειγμα, κακόβουλος κώδικας θα μπορούσε να μετακινήσει μια υποδιαστολή σε ένα αρχείο προϋπολογισμού υπολογιστικού φύλλου ή να αλλάξει την πρώτη λέξη κάθε παραγράφου σε ένα αρχείο επεξεργαστή κειμένου σε “gotcha!”

III Προληπτική Συντήρηση

Ο καλύτερος τρόπος για να αποφύγετε να πέσετε θύμα επίθεσης ιού είναι να αποτρέψετε το σύστημά σας από το να κολλήσει ποτέ έναν ιό. Λαμβάνοντας απλά, προληπτικά μέτρα, μπορείτε να μειώσετε τις πιθανότητες να μολυνθεί ποτέ το σύστημά σας.

– Εγκαταστήστε λογισμικό προστασίας από ιούς. Προτείνω το Avast Free Antivirus. Είναι δωρεάν, ολοκληρωμένη προστασία και λειτουργεί καλά.

– Επισκέπτεστε μόνο ιστότοπους που εμπιστεύεστε

– Δημιουργήστε αντίγραφα ασφαλείας των δεδομένων σας



Source by Peter Fishwick

Σχολιάστε