Методи за заразяване на EXE файлове
Най-често срещаният начин за заразяване на EXE файлове е следният: тялото на вируса се добавя към края на файла и заглавката се коригира (като се запазва оригиналът), така че когато заразеният файл се стартира, вирусът поема контрола. Изглежда като инфекция на COM файлове, но вместо да се зададе кодът да отиде в началото на вируса, действителният адрес на точката за стартиране на програмата се коригира. След приключване на работата си вирусът взема оригиналния адрес за стартиране на програмата от запаметения хедър, добавя стойността на регистъра DS или ES (получена при стартиране на вируса) към своя сегментен компонент и прехвърля управлението на получения адрес.
Следващият метод е да инжектирате вирус в началото на файла с промяна в програмния код. Механизмът на заразяване е следният: тялото на заразената програма се чете в паметта, на негово място се записва кодът на вируса, а след него кодът на заразената програма. По този начин програмният код е, така да се каже, „изместен“ във файла с дължината на вирусния код. Оттук и името на метода – „метод на смяна“. Когато се изпълни заразен файл, вирусът заразява един или повече други файлове. След това той чете програмния код в паметта, записва го в специално създаден временен файл на диск с разширение за изпълним файл (COM или EXE) и след това изпълнява този файл. Когато програмата приключи, временният файл се изтрива. Ако при създаването на вируса не са използвани допълнителни техники за защита, лечението на заразен файл е много просто - просто изтрийте кода на вируса в началото на файла и програмата отново ще работи. Недостатъкът на този метод е, че е необходимо да се прочете целият код на заразената програма в паметта (а има екземпляри, по-големи от 1 MB).
Следващият метод за заразяване на файлове, методът за прехвърляне, очевидно е най-модерният от всички изброени. Вирусът се възпроизвежда по следния начин: когато се стартира заразена програма, тялото на вируса се чете от нея в паметта. След това се извършва търсене за незаразена програма. Неговото начало, което е равно по дължина на тялото на вируса, се чете в паметта. На това място се записва тялото на вируса. Началото на програмата от паметта се добавя към края на файла. Оттук и името на метода – „трансферен метод“. След като вирусът е заразил един или повече файлове, той започва да изпълнява програмата, от която е стартиран. За да направи това, той чете началото на заразената програма, съхранено в края на файла, и го записва в началото на файла, възстановявайки функционалността на програмата. След това вирусът премахва началния код от края на файла, възстановявайки оригиналната дължина на файла и изпълнява програмата. След като програмата приключи, вирусът записва своя код отново в началото на файла, а оригиналното начало на програмата в края. Дори антивируси, които проверяват кода си за целостта, могат да бъдат заразени с този метод, тъй като програмата, стартирана от вируса, има точно същия код като преди заразяването.
От книгата Защита на вашия компютър автор Яремчук Сергей АкимовичПризнаци на инфекция Всички шпионски и рекламни програми (с редки изключения) не причиняват видима вреда на компютъра и потребителя. Такова приложение може да работи на компютъра дълго време и потребителят няма да подозира наличието на такива приложения. ДА СЕ
От книгата Компютърни науки и информационни технологии: бележки от лекции автор Цветкова А В8.2. Начини за борба със спама Ако прегледате файловете на списанията от края на 90-те – началото на 2000-те години, ще откриете, че няма статии, описващи борбата срещу спама. Пикът на спам активността настъпва през 2002–2003 г. В същото време започна активно развитие на системите
От книгата Компютърни науки и информационни технологии автор Цветкова А В3. Методи за адресиране Нека изброим и след това разгледаме характеристиките на основните типове адресиране в паметта: 1) пряко основно (регистрово) адресиране 3) косвено основно (регистрово) адресиране с отместване адресиране със
От книгата Защитете вашия компютър 100% от вируси и хакери автор Бойцев Олег Михайлович52. Методи за адресиране Директно адресиране Това е най-простият тип адресиране на операнд в паметта, тъй като ефективният адрес се съдържа в самата инструкция и не се използват допълнителни източници или регистри за формирането му. Ефективният адрес е взет
От книгата 200 най-добри програми за интернет. Популярен урок автор Краински ИТест за лечение на активни инфекции В теста участваха антивирусни продукти от 15 производители, включително Avast!, AVG, AVZ, Avira, BitDefender, Eset, F-Secure, McAfee, Panda Software, Sophos, Symantec, Trend Micro, VirusBlokAda, " Doctor Web" , Kaspersky Lab е извършено следното
От книгата Интернет. Нови възможности. Трикове и ефекти автор Баловсяк Надежда ВасилиевнаМетоди за прехвърляне Има два начина за поточно предаване на видео - прогресивно поточно предаване и поточно предаване в реално време. При поточно предаване по сериен начин качеството на изображението винаги е по-добро, защото видеото се възпроизвежда от твърдия диск
От книжния интернет - лесно и просто! автор Александров ЕгорПътища на заразяване Най-популярните методи за заразяване са следните: – Чрез интернет, така нареченият „доброволен” метод: когато потребител изтегли нещо от Интернет. Много често истинският WIN95 може да седи под безобиден ускорител на браузъра. CIH (WIN95. CIH, или
От книгата Бързи пари в интернет авторМетоди за търсене Търсенето в каталози е лесно и интуитивно. За да намерите необходимата информация в тях (ако, разбира се, я има), трябва да имате здрав разум, например, трябва да намерите сайта на вестник „Труд“.
От книгата Удвояване на продажбите в онлайн магазин автор Парабелум Андрей Алексеевич От книгата Linux: Пълното ръководство автор Колисниченко Денис НиколаевичНачини на плащане Нека поговорим за най-приятното във всяка работа - заплатата. В крайна сметка парите по един или друг начин са основната цел на вашата работа. Но, за съжаление, получаването им е свързано с някои трудности, възникващи поради големите разстояния между вас и
От книгата „Подготовка за пенсиониране: Овладяване на Интернет“. автор Ахметзянова Валентина АлександровнаПризнаци на инфекция Нека да разгледаме основните признаци, които показват вероятността вашият компютър да бъде заразен с вирус. Разбира се, повечето от тях не могат да съобщят със 100% точност, че вашият компютър е заразен - някои от признаците понякога се наблюдават напълно
От книгата на автораНачини за борба Вирусите са зло и злото трябва да се бори. Но преди всичко си струва да си припомним една обща истина - предотвратяването на война е по-добро от всяка победа. Поради тази причина, на първо място, е необходимо да се сведе до минимум рискът от попадане на вируси на вашия компютър, но само
От книгата на автора От книгата на автораНачини на плащане Когато става въпрос за начини на плащане в онлайн магазин, трябва да предоставите на клиентите си възможно най-много възможности за плащане на поръчката. Както показва практиката, колкото по-голям е изборът на опции за плащане, толкова по-висока е конверсията (фиг. 15). Ако клиентът не намери в
От книгата на автора26.1. Методи на взаимодействие Процесите, подобно на хората, могат да „общуват“ помежду си, тоест да обменят информация. В Глава 3 разгледахме накратко два инструмента за междупроцесна комуникация (IPC); полудуплексни канали (тръбопроводи) и сигнали, но на UNIX системи
От книгата на автораНачини за печелене на пари За един пенсионер не е толкова лесно да си намери работа и може би единствената причина за това е възрастта. Но във виртуалното пространство възрастта няма значение. Тук всички са равни: пионери и пенсионери, здрави и инвалиди. Всичко зависи от умението и
Компютърният вирус може да развали, т.е. промените неподходящо всеки файл на дисковете на компютъра. Но вирусът може да "зарази" някои видове файлове. Това означава, че вирусът може да се „инжектира“ в тези файлове, т.е. променете ги така, че да съдържат вирус, който при определени обстоятелства може да започне да действа. Трябва да се отбележи, че текстовете на програмите и старите версии на документи (версии на DOS, така да се каже), информационни файлове на бази данни, таблици на процесори на таблици (версии на DOS) и други подобни файлове не могат да бъдат заразени от вирус; той може само да ги развали .
Следните видове файлове могат да бъдат „заразени“ с вирус:
1) Изпълними файлове
Изпълними файлове, т.е. файлове с разширения на имена COM и EXE, както и файлове с наслагване, които се зареждат, когато се изпълняват други програми. Вирусите, които заразяват файлове, се наричат файлови вируси. Вирусът в заразените изпълними файлове започва своята работа при стартиране на програмата, в която се намира. Най-опасни са онези файлови вируси, които след стартиране остават резидентни в паметта. Тези вируси могат да заразят файлове и да причинят щети до следващия път, когато рестартирате компютъра си. И ако заразят някоя програма, стартирана от файла AUTOEXEC.BAT или CONFIG.SYS, тогава вирусът ще започне да работи отново, когато рестартирате от твърдия диск.
2) Зареждане на операционната система и главния зареждащ запис на твърдия диск
Вирусите, които заразяват тези области, се наричат зареждащи вируси. Такъв вирус започва своята работа, когато операционната система се зареди и стане резидентна, т.е. се съхранява постоянно в паметта на компютъра. Механизмът за разпространение е заразяване на зареждащи записи на дискети, поставени в компютъра. По правило такива вируси се състоят от две части, тъй като записите за зареждане са малки по размер и е трудно да се съдържа цялата вирусна програма. Частта от вируса, която не се побира в тях, се намира в друга част на диска, например в края на основната директория на диска или в клъстер в областта за данни на диска (обикновено такъв клъстерът е обявен за дефектен, така че вирусната програма да не се презаписва, когато данните се записват на диска).
3) Драйвери на устройства:
Драйвери на устройства, т.е. файлове, посочени в клаузата DEVICE на файла CONFIG.SYS. Вирусът, който се съдържа в тях, започва своята работа при всеки достъп до съответното устройство. Вирусите, които заразяват драйверите на устройства, са много редки, тъй като драйверите рядко се пренаписват от един компютър на друг. Същото важи и за системните файлове на DOS (MSDOS.SYS и IO.SYS) - тяхното заразяване също е теоретично възможно, но е неефективно за разпространение на вируси.
4) ИНТЕРНЕТ вируси
Напоследък се появиха с увеличаване на броя на потребителите. Ето някои от разновидностите на тези вируси:
4.1 Прикачени файлове. Нека разгледаме типична ситуация: получили сте имейл с прикачен файл на Microsoft WORD документ. Разбира се, ще искате бързо да се запознаете със съдържанието на файла; за щастие, когато използвате повечето съвременни програми за електронна поща, трябва само да щракнете върху името на този файл.
И ТОВА Е ГРЕШКА!
Ако файлът съдържа макровирус (и вируси от този тип, които заразяват документи на Microsoft WORD, Microsoft EXCEL и редица други популярни системи за управление на документи, станаха изключително разпространени напоследък), той веднага ще зарази вашата система. И така, какво да правя с прикачения документ? Прекарайте няколко допълнителни секунди: запазете го на диск, проверете го с най-новата версия на антивирусната програма и едва тогава, ако няма вируси, го отворете. Има и други решения. Например, има антивирусни програми, които автоматично сканират входящите имейли. Ако използвате програма за наблюдение, тогава когато отворите заразен файл, определено ще получите предупреждение (по-точно просто няма да ви бъде позволено да отворите заразения файл). В края на краищата, пазачът е напълно безразличен дали отваряте документа директно или „изпод“ имейл програмата.
4.2 Троянски коне. Добре познатите троянски програми, разпространявани по интернет, са по същество помощни програми за отдалечено администриране на компютър. Просто казано, чрез такава програма нападателят може да получи достъп до вашия компютър и да извърши различни операции върху него (почти всякакви) без ваше знание и участие.
Типичен представител на описания тип е програмата BASK ORIFICE (BO). BO е система за отдалечено администриране, която позволява на потребителя да управлява компютрите с помощта на обикновена конзола или графична обвивка. „В локална мрежа или през интернет VO предоставя на потребителя повече възможности на отдалечен компютър с WINDOWS, отколкото има потребителят на този компютър“, е текстът от „рекламна“ реклама на една от хакерските уеб страници. Разбира се, възможността за отдалечено администриране на вашия компютър представлява сериозна опасност, но не толкова голяма, колкото изглежда на пръв поглед. Обикновените потребители не прекарват много време в интернет (качеството на телефонните линии допринася за това) и какво може да се направи на вашия компютър, което е толкова „интересно“ от гледна точка на хакер? Оказва се, че е възможно, но не е необходимо да администрирате нищо. От голям интерес за хакера са паролите, които използвате за работа със сървъра на доставчика. След като получи паролата, хакер може лесно да пропилее всичките ви пари. За щастие има доста троянски коне, които могат да изпълняват тези функции и всички те се откриват успешно от антивирусни програми.
4.3 HTML вируси.Вирусите от този тип са редки, така че информацията за тях е от „академичен“ интерес, а не от практически. Изводът е следният: в самия език HTML, който се използва за маркиране на хипертекстови документи, вируси, разбира се, не могат да бъдат написани. Но за създаване на динамични страници, организиране на потребителско взаимодействие и други действия се използват софтуерни вмъквания (скриптове) в HTML документи. Известните HTML вируси използват скриптове, написани на VISUAL BASIC. С тяхна помощ намиране на HTM и HTML файлове на локалната машина и писане в тях. Понякога такива вируси се проявяват по някакъв начин (например показват съобщения). Слабото разпространение на вируси от този тип (както и малкият им брой) се улеснява от факта, че при стандартните настройки на браузъра изпълнението на „опасни“ скриптове (включително тези, които имат достъп до файлове на локалния компютър) е забранено. . Обикновените скриптове за „сигурност“ не могат да извършват описаните манипулации.
4.4 Java вируси. В момента има два известни вируса, написани на JAVA. Те практически не представляват опасност. Нека обясним накратко същността: изпълнимите модули на програми, написани на JAVA (CLASS файлове) са два вида: приложения и аплети. Приложенията се изпълняват под контрола на интерпретатор и са почти обикновени програми (почти, защото все още имат някои ограничения, например в областта на работата с паметта). Аплетите, за разлика от приложенията, могат да се изпълняват под контрола на браузърите, но те са обект на много по-сериозни ограничения за сигурност: по-специално аплетите нямат почти никакъв достъп до файловата система на компютъра (за разлика от случая със скриптовете, деактивирането на това ограничение в браузъра е невъзможно), следователно JAVA вирусите могат да бъдат проектирани само като приложения и не представляват заплаха за по-голямата част от потребителите. По правило всеки специфичен тип вирус може да зарази само един или два типа файлове. Най-често срещаните вируси са тези, които заразяват изпълними файлове. Някои вируси заразяват само EXE файлове, някои само COM файлове, а повечето заразяват и двете. Вторият най-често срещан вирус са зареждащите вируси. Някои вируси заразяват както файлове, така и области за зареждане на дискове. Вирусите, които заразяват драйверите на устройства, са изключително редки; Обикновено такива вируси могат да заразят изпълними файлове.
Формално компютърният вирус е програма, която може да заразява други програми, като включва в тях свое собствено, евентуално модифицирано копие, като последното запазва способността за по-нататъшно възпроизвеждане. В допълнение към инфекцията, вирусът, както всяка друга програма, може да извърши други неразрешени действия, от напълно безобидни до изключително разрушителни. Неразрешените действия, извършени от вируса, могат да бъдат причинени от настъпването на определена дата или определен брой репродукции, например запис на заразена програма на твърд диск. В този случай комбинацията от тези условия може да е достатъчно сложна, за да е трудна за определяне.
Чрез заразяване на програми вирусите могат да се разпространяват от една програма в друга, което ги прави по-опасни от другите методи за компютърен вандализъм. Заразените програми могат да се предават чрез дискети или по мрежа на други компютри. Поради широко разпространената практика за обмен и прехвърляне на програми на дискети сред потребителите на персонални компютри, броят на заразените програми може да бъде значителен, което води до своеобразна епидемия.
ПРОЦЕС НА ИНФЕКЦИЯ
По опростен начин процесът на заразяване на програмни файлове с вирус може да бъде представен по следния начин, кодът на заразената програма обикновено се контролира първи от вируса, преди програмата, носител на вируса, да започне да работи.
Когато контролът се прехвърли на вируса, той по някакъв начин намира нова програма и вмъква собствено копие в началото или го добавя в края на тази обикновено все още незаразена програма. Ако вирусът се добави в края на програмата, тогава той коригира програмния код, за да получи контрол първо, първите няколко байта се съхраняват в тялото на вируса и на тяхно място команда за преместване към началото на вируса се вмъква. Този метод е най-често срещаният. След като получи контрол, вирусът възстановява „скритите“ първи байтове и след обработка на тялото си прехвърля контрола на програмата носител на вируса, която нормално изпълнява функциите си. Възможно е да има случаи, когато вирусът се включва някъде по средата на програмата, например в областта на стека. Последните случаи са редки.
СТРУКТУРА НА КОМПЮТЪРЕН ВИРУС
Най-често срещаните типове компютърни вируси в MS DOS са нерезидентни файлови вируси, файлови резидентни и стартиращи вируси Нека започнем да анализираме анатомията на компютърните вируси, като анализираме структурата на нерезидентния файлов вирус като най-простата разновидност на този клас вируси. системни програми.
Структурно един компютърен вирус може да бъде представен като състоящ се от две части: главата и опашката са частта от вируса, която първа получава контрол. В най-простия случай вирусът може да се състои от една глава и наистина файлът е. Новите вируси обикновено са проектирани по този начин. Такива вируси ще наричаме несегментирани. За разлика от тях, сегментираните вируси имат отделна опашка и до известна степен са подобни на наслагваните програми. Пример за сегментирани вируси са зареждащите вируси, въпреки че е възможно да се внедрят сегментирани файлови вируси.
СТРУКТУРА НА НЕСВЪРЗАН ФАЙЛОВ ВИРУС
Файловите вируси са най-разпространеният тип компютърни вируси. По принцип те заразяват всякакъв вид изпълними файлове, съществуващи в MS DOS: com, exe, ovl и др. Въпреки това, основните цели на инфекцията са com и exe файловете. Най-лесният начин за заразяване на COM файлове е, че те са почти точно копие на част от паметта от заредена програма. Единствената необходима конфигурация при зареждане на COM файлове е зареждането на сегментните регистри със стойности, съответстващи на мястото, където е заредена програмата. Значителна част от com файловете започват с команда за прескачане, която заобикаля данните, съдържащи се в началото на програмите.
Когато заразява com файлове, вирусът запомня първите три (или повече) байта на програмата в тялото си и вместо това записва преход към началото на собствения си код. Това правят повечето файлови вируси, които заразяват com файловете, но не всички . Факт е, че когато тялото на вируса се добавя към края на заразения файл, целият код на вируса трябва да бъде написан по специален начин, обикновено наричан позиционно-независимо програмиране: при изпълнение на програмата всички препратки трябва да бъдат адресирани чрез компенсации , които обикновено се съхраняват в един от регистрите.
Някои вируси използват по-примитивен подход: вместо да добавят тялото си в края на заредения com файл, те преместват първите няколко блока от програмата там и се записват на мястото на освободените блокове. В този случай само програмата за възстановяване на първоначалното състояние на програмата трябва да бъде независима от позицията или да се намира някъде във фиксирани адреси на паметта, използвайки някаква неизползвана част от нея.
По време на инфекция тялото на вируса може да бъде вмъкнато не само в опашката на файла. Има случаи на имплантиране в началото или средата на файла.
Вмъкнете в началото на файла. В този случай първите блокове (или цялото тяло) на заразената програма обикновено се пренаписват до края, следователно, преди да прехвърли контрола върху заразената програма, вирусът трябва първо да пренапише тези блокове на първоначалното им място, заменяйки техния собствен код За тази цел вирусът трябва да премести тялото си или поне съответната част от кода ви по такъв начин, че да не бъде презаписан по време на операцията по пренаписване. Някои примитивни вируси, записвайки в началото на заразения файл, не запазват съдържанието му. В този случай, естествено, заразеният файл се унищожава и вирусът трябва по някакъв начин да прикрие факта, че извиканата програма не работи. Някое подходящо съобщение за грешка понякога се използва за тази цел.
Вмъкнете в края на файла. Това е най-честият проблем. В този случай е необходимо да се гарантира, че контролът е прехвърлен към кода на вируса, преди заразената програма да започне да работи. За файлове от типа com това най-често се постига чрез замяна на първите няколко байта на програмата (обикновено три на инструкция за прескачане). В същото време самите байтове, които се подменят, трябва да са сухи - повредени някъде в тялото на вируса, което прави възможно възстановяването им. Когато инсталаторът на вируса получи контрол, той обикновено възстановява модифицираните от вируса байтове в оригиналната им форма в началото на работата си.
Вмъкване в средата на файл. Този метод на заразяване е рядък. Първо, този метод се използва от вируси, които заразяват специален клас програми, чиито структурни характеристики са известни предварително, например само файлът command.com. Второ, и това е най-често срещаният случай, вмъкване в средата е възможно чрез хвърляне на заменените блокове в края на файла. По-специално в случай, че заразеният файл съдържа област от нули или други повтарящи се байтове с достатъчен размер, вмъкването в средата става без увеличаване на дължината на програмата. , което затруднява откриването на заразени файлове. Вмъкването в средата може да стане и случайно. Например, това се случва за обикновени вируси, които се придържат към края на exe файл, ако дължината му е неправилно посочена в заглавката, т.е. част, използвана като буфер или имплицитно наслагване. В този случай вирусът смята, че файлът има дължината, посочена в заглавката, и записва кода си в буфера или областта за наслагване. В този случай той се озовава в средата на файла, който всъщност е зает от тази програма. И накрая, файлът може да бъде заразен от няколко вируса, които заразяват файла по същия начин (обикновено добавяйки техния код в края на файла). . В този случай вирусът, който първи е заразил този файл, се избутва в средата на файла от следващите вируси. Тъй като са относително редки, тези случаи често не се вземат предвид от създателите на антивирусни програми, по-специално детектори и фаги, които, увлечени от оптимизирането на времето за изпълнение на своите програми, правят „твърде силни“ предположения за местоположението на вирусния код в тялото на заразената програма. В резултат на това файлът може да не бъде открит като заразен или да не бъде дезинфекциран правилно. Както вече беше посочено, когато се вмъкне в края или средата на файл, вирусът трябва по някакъв начин да гарантира, че контролът се прехвърля върху него. В този случай не е необходимо да променяте точно първите байтове на програмата. Възможно е да промените други байтове. Например, ако една програма започне с безусловна инструкция за прескачане, вирусът може да определи адреса за прескачане и да промени инструкциите, разположени на този адрес. Следователно често изразеното мнение, че за да се неутрализира вирус в заразен файл, е достатъчно да се възстановят първите му байтове, трябва да се счита за неправилно.
СТРУКТУРА НА ФАЙЛОВ РЕЗИДЕНТЕН ВИРУС
Резидентните вируси, в допълнение към отделните файлове, заразяват, така да се каже, паметта на компютъра. За да го опростим максимално, паметта на компютъра може да се разглежда като друг файл, който може да бъде заразен чрез добавянето му „към главата“, т.е. към областта на ниските адреси на свободната област на паметта, „до опашката“, т.е. до областта на най-високите адреси на свободната област на паметта и накрая „до средата“, т.е. към областта на адресите, които вече се използват от операционната система или някоя програма.
В същото време структурата на резидентния вирус се различава значително от структурата на нерезидентния вирус. Резидентният вирус може да бъде представен като състоящ се от две относително независими части: инсталатор и модул за обработка на прекъсвания. Последният от своя страна се състои от множество програми за обработка. Опростявайки донякъде, можем да предположим, че всяко прихващане има своя собствена програма за обработка.
Инсталаторът получава контрол при изпълнение на заразената програма и играе ролята на своеобразна ракета-носител, извеждаща вируса в орбита, т.е. в RAM. Действа еднократно - след стартиране на заразена програма и е препоръчително да се разглежда като специализиран файлов вирус, който заразява RAM.
Компютърният вирус може да развали, т.е. промените неподходящо всеки файл на дисковете на компютъра. Но вирусът може да "зарази" някои видове файлове. Това означава, че вирусът може да се „инжектира“ в тези файлове, т.е. променете ги така, че да съдържат вирус, който при определени обстоятелства може да започне да действа.
Трябва да се отбележи, че текстове на програми и документи, информационни файлове с бази данни, таблици с електронни таблици и други подобни файлове не могат да бъдат заразени от обикновен вирус; той може само да ги повреди. Заразяването на такива файлове се извършва само от Macro вируси. Тези вируси могат дори да заразят вашите документи.
Следните типове файлове могат да бъдат заразени от обикновен вирус:
Изпълними файлове, т.е. файлове с разширения .com и .exe, както и файлове с наслагване, които се зареждат при стартиране на други програми. Най-опасните вируси са тези, които след стартиране остават резидентни в паметта - те могат да заразят файлове и да причинят вреда до следващото рестартиране на компютъра. И ако заразят някоя програма, стартирана от файла AUTOEXEC.BAT или CONFIG.SYS, тогава вирусът ще започне да работи отново, когато рестартирате от твърдия диск.
Товарачът на операционната система и главният запис за зареждане на твърдия диск. Вирусите, които заразяват тези области, се наричат зареждащи вируси или BOOT вируси. Такъв вирус започва своята работа, когато компютърът се зареди и стане резидентен, т.е. се съхранява постоянно в паметта на компютъра.
Драйвери на устройства, т.е. файлове, посочени в клаузата DEVICE на файла CONFIG.SYS. Вирусът, намиращ се в тях, започва своята работа при всеки достъп до съответното устройство. Вирусите, които заразяват драйверите на устройства, са много редки, тъй като драйверите рядко се пренаписват от един компютър на друг.
Толкова ли са вредни компютърните вируси?
Вирусите работят сами
Не, това не е съвсем вярно. За да активирате вируса, трябва да стартирате една или друга програма. В операционните системи от семейството Windows, независимо от версията, на всички файлове се присвоява строго определена програма или действие, извършвано от един от сервизните модули на самата операционна система. При преглеждане на файл зададената програма се стартира автоматично, но за потребителя това става сякаш незабелязано (той просто иска да прочете текста), така че той остава с впечатлението, че вирусът може да се стартира самостоятелно, когато той сам го стартира заедно с програмата -viewer.
· Вирусите ви позволяват да откраднете ценна информация
Да, наистина има категория компютърни вируси, предназначени да крадат ценна информация. Обикновено това се прави от троянски коне. Най-често се крадат различни пароли, например достъп до интернет, пин кодове и др., т.е. всичко, което може да ви причини материални щети.
„Троянските коне“, които крадат ценна информация, могат или да я изпратят до нечий имейл акаунт – това става възможно, ако компютърът ви е свързан с интернет, или да запазят цялата информация в текстов или друг файлов формат. Имайте предвид, че втората опция означава, че човекът, който е заразил вашия компютър с троянски кон, определено ще трябва да получи достъп до вашия компютър, за да копира този файл. Достъпът до компютъра е възможен както локално (например във ваше отсъствие), така и чрез локална мрежа, ако има такава.
Отделна категория са така наречените кийлогъри. Те не само могат да доведат до изтичане на пароли и кодове, но и изобщо на цялата информация, която въвеждате в компютъра с помощта на клавиатурата.
· Вирусите могат да повредят компютърните компоненти
Да, наистина има категория вируси, които могат да направят един или няколко компютърни компонента неизползваеми, например дънната платка. Това стана възможно, след като започнаха да използват така наречената FLASH памет, която ви позволява да променяте съдържанието й с помощта на обикновени програми. В този случай писането не на програмен код, а произволен „боклук“ на чипа с FLASH памет прави невъзможно използването на това оборудване. Най-яркият пример за такива вируси е WinCIH или по-опасният му потомък I.Worm.Magistr.
· Вирусите водят до загуба на информация
Да, наистина има редица вируси, които ги правят неизползваеми, например всички файлове с разширение DOC, TXT (вирус, наречен KLEZ.H). Има и редица вируси, които разрушават файловата система, което води до загуба на абсолютно всички файлове на диска. Все пак трябва да се има предвид, че в повечето случаи все още е възможно да се възстанови информация. Факт е, че физическото изтриване на информация от цял твърд диск с капацитет от поне 1 GB е доста трудно, така че повечето вируси унищожават връзките към цялата информация, а не самите данни. Понякога е достатъчно да използвате програмата UNERASE или UNDELETE, за да възстановите повечето от данните.