¿Qué es un virus informático?
Los virus informáticos se han convertido en un cáncer en la sociedad de la información actual desde su nacimiento. Con el desarrollo de las redes informáticas, se han extendido a todos los rincones de la sociedad de la información y han causado daños masivos. los cambios en los programas en ejecución y los daños al hardware de las computadoras han causado grandes pérdidas a las personas. Para prevenir mejor los virus informáticos y los virus de red, es necesario comprender el mecanismo de los virus informáticos y dominar los métodos de prevención y eliminación de los virus informáticos.
8.1 Descripción general de los virus informáticos
Volver a la página de inicio de este capítulo
/virus/elementos
8.1.1 Definición de ordenador virus
El "virus informático" fue propuesto por primera vez por el Dr. F. Cohen, un experto estadounidense en investigación de virus informáticos. Existen muchas definiciones de "virus informático". La definición más popular en el extranjero es: un virus informático es un fragmento de código de programa que se adjunta a otros programas y puede propagarse. Existe esta definición en el "Reglamento de la República Popular China y el Reglamento de protección de seguridad del sistema nacional de información informática": "Los virus informáticos se refieren a un grupo de programas compilados o insertados en programas informáticos que destruyen funciones o datos de la computadora y afectan el uso". y capacidades de reproducción de las instrucciones del ordenador o del código del programa".
Volver a esta sección
8.1.2 Historia de los virus informáticos
1. Breve historia de los virus informáticos
El primero del mundo virus El primer caso confirmado de virus informático se produjo en 1983, cuando se publicó un estudio sobre la propagación de virus informáticos. Al mismo tiempo, alguien propuso la idea de diseño de un programa de gusano; en 1984, American Thompson desarrolló un programa de virus para el sistema operativo UNIX.
La tarde del 2 de noviembre de 1988, Rotter Morris, un estudiante de posgrado de la Universidad de Cornell en Estados Unidos, lanzó un virus informático a la red. El programa de virus se expandió rápidamente, paralizando una gran cantidad de computadoras. Incluso las computadoras conectadas a Internet en Europa se vieron afectadas, causando pérdidas económicas directas de casi 100 millones de dólares.
2. El desarrollo de los virus informáticos en China
En China, a finales de la década de 1980, la investigación y prevención de los virus informáticos se ha convertido en un tema importante en el campo de la seguridad informática. En 1982, el virus del "Viernes Negro" invadió nuestro país; en 1985, nuestro país descubrió una "máquina de fabricación de virus" más peligrosa con una gran capacidad de supervivencia y capacidad destructiva. Estos virus incluyen 1537, CLME y otros. En la década de 1990, la propagación de virus informáticos en nuestro país se agravó. El virus CIH es el primer virus que ataca el hardware de la computadora. Puede atacar la placa base de la computadora y provocar la parálisis de la red.
3. 10 etapas del desarrollo de un virus informático
(1) Etapa de arranque de DOS
(2) Etapa del archivo ejecutable de DOS
( 3) Etapa de mezcla
(4) Etapa complementaria
(5) Etapa polimórfica
(6) Etapa generadora y variante
( 7) Etapa de red y gusanos
(8) Etapa de Windows
(9) Etapa de virus de macro
(10) Etapa de Internet
Volver al contenido de esta sección
La aparición de virus informáticos es un producto inevitable del desarrollo de la tecnología informática y del desarrollo de la informatización social centrada en la informática hasta cierto punto. El proceso de generación se puede dividir en:
Programación → Propagación → Latente → Activación, ejecución → Implementación del ataque.
Las razones principales son las siguientes:
(1) Algunos entusiastas de la informática por curiosidad o interés
(2) Debido a una mentalidad de venganza personal
(3) Se originó a partir del cifrado de software
(4) Se originó a partir de juegos
(5) Diseño de programas "fáciles de usar" para investigación o experimentos
(6)
(6) Por motivos políticos, económicos, militares y otros fines especiales
8.1.3 Clasificación de los virus informáticos
Virus Existen muchos tipos y se clasifican de la siguiente manera:
1.
2 Según el método de infección, se dividen en virus de arranque, de archivo e híbridos.
2. Según la conexión Los métodos se dividen en tipo de código fuente, tipo de intrusión, tipo de sistema operativo y virus de tipo shell
3 Según su destructividad, se pueden dividir. en virus benignos y virus malignos
4. Virus de red
p>Volver a esta sección
8.1.4 Características de los virus informáticos
8.1.4 Características de los virus informáticos
1.1.4 Características de los virus informáticos
(1) Contagio (capaces de autorreplicarse)
(2) No autorización (toma del control del sistema)
(3) Ocultación
(4) Latencia
(5) Escritura deliberada y destrucción artificial
(6) Imprevisibilidad
Volver a esta sección
8.1.5 Lugares ocultos y rutas de intrusión de virus informáticos
1.
(2) Sector de arranque.
( 3) Formularios y documentos.
(4) Applets de Java y controles ActiveX.
2. Métodos de invasión de virus
(1) Métodos tradicionales (discos, CD, etc.)
(2) Internet
Volver a esta sección
8.1.6 Características populares de los virus informáticos modernos
1 Los métodos de ataque tienden a ser mixtos
2. Tecnología antiseguimiento
p>
3. Mejorar la ocultación
4. Procesamiento de cifrado
5. Diferentes variantes de replicación de virus
Mejorar la ocultación:
(1 ) Evitar modificar el valor del vector de interrupción
(2) Solicitar identidad legal en la memoria
(3) Mantener las características externas del programa host
(4) No utilice signos evidentes de infección
Procesamiento de cifrado:
(1) Cifrado dinámico de segmentos de programa
(2) Cifrado de información de visualización
(3) Cifrado de segmentos del programa host
Volver a esta sección
8.1.7 Comportamiento destructivo de los virus informáticos
(1) Atacar el área de datos del sistema
(2) Atacar archivos
(3) Atacar la memoria
(4) Interferir con el funcionamiento del sistema y reducir la velocidad de funcionamiento
(5) Interferir con teclados, parlantes o pantallas
(6) Atacar CMOS
(7) Interferir con impresoras
(8) Virus de red destruir sistemas de red
Volver a esta sección
8.1.8 Mecanismo de acción de los virus informáticos
1. Ejemplo de infección por virus de inicio
Supongamos que el disco duro se inicia y el disco duro ha sido infectado con un virus de bola pequeña, luego, después de encender, el módulo de inicio del virus de bola pequeña protege 1024 bytes de todos los códigos de virus en el segmento más alto de la memoria, es decir es decir, 97C0:7C00 luego modifica el vector de interrupción INT 13H para que apunte al módulo de infección de virus. Después de eso, una vez que el disquete se lee y escribe a través de la función INT 13H, el bloque de infección del virus informático tomará el control primero y realizará las siguientes operaciones:
1) Leer el arranque sector del disquete de destino (sector BOOT).
2) Determinar si se cumplen las condiciones de infección.
3) Si se cumplen las condiciones de infección (es decir, la posición de desplazamiento del sector BOOT 01FCH del disco de destino es la marca 5713H), los primeros 512 bytes del código del virus se escribirán en el programa de arranque BOOT. y los últimos 512 bytes se escribirán en el programa de arranque BOOT en un clúster y luego se marcarán con un indicador de clúster incorrecto para proteger el clúster contra sobrescritura.
4) Salte a la entrada INT 13H original y realice operaciones normales del sistema de disco.
Ejemplo de infección por virus de archivo
Si el archivo VVV.COM (o .EXE) está infectado con el virus Jerusalem, luego de ejecutar el archivo, el módulo de inicio del virus Jerusalem modifique la ubicación INT 21H El vector de interrupción apunta al módulo infectado por el virus, y el código del virus residirá en la memoria y luego regresará al sistema operativo. En cualquier operación posterior para cargar el archivo ejecutable, el módulo de infección primero obtendrá el control llamando a INT 21H y realizará las siguientes acciones:
1) Leer una porción específica del archivo.
2) Determinar si el archivo es contagioso.
3) Si se cumplen las condiciones, el código del virus se vincula de alguna manera al archivo ejecutable y luego el archivo vinculado se reescribe en el disco.
4) Regrese a la entrada INT 21H original y cargue el archivo ejecutable normalmente.
La composición general de los virus informáticos
Los virus informáticos son estructuralmente similares a los virus y generalmente constan de tres partes: la parte de arranque, la parte de infección y la parte de rendimiento.
1.
La parte de arranque
es la parte de inicialización del virus. Ingresa a la memoria a medida que se ejecuta el programa host para prepararse para la parte de infección. .
2.
La parte de infección
se utiliza para copiar el código del virus a la máquina de destino. En términos generales, antes de que un virus infecte un objetivo, primero debe determinar si se cumplen las condiciones de infección y si el virus ha infectado al objetivo. Por ejemplo, el virus CIH sólo se dirige al sistema operativo Windows 95/98.
3. La parte de rendimiento de la base de datos de virus
es la parte más distintiva del virus, y las dos primeras partes sirven para esta parte. Daña el sistema infectado o muestra ciertos fenómenos en el dispositivo del sistema infectado. La mayoría de los virus tienen ciertas condiciones que desencadenan su manifestación.
El proceso de infección de los virus informáticos
El proceso de infección de los virus informáticos
1) Residiendo en la memoria.
2) Determinar las condiciones de infección.
3) Infección.
Volver a esta sección
Mecanismo de activación de los virus informáticos
La infecciosidad, la latencia, la activación y la destructividad son las características básicas de los virus.
Actualmente, los virus utilizan las siguientes condiciones de activación:
1. Fecha de activación: muchos virus utilizan fechas como condiciones de activación. Las condiciones de activación de fecha incluyen: condiciones de activación de fecha específica, condiciones de activación de mes, condiciones de activación de la primera mitad del mes y la segunda mitad del mes, etc.
2. Activadores de tiempo: Los activadores de tiempo incluyen: activadores de tiempo específicos, activadores de tiempo de trabajo acumulativos después de la infección y activadores de tiempo de última escritura del archivo.
3. Activación del teclado: algunos virus monitorean el comportamiento de pulsación de teclas del usuario. Cuando se encuentra el comportamiento de pulsación de tecla esperado del virus, el virus se activará para realizar ciertas operaciones específicas. Los activadores de teclado incluyen activadores de pulsación de teclas, activadores de combinación de teclas, activadores de inicio en caliente, etc.
4. Desencadenante de la infección: Muchos virus requieren ciertas condiciones para desencadenar la infección. Una cantidad considerable de virus y de información relacionada con la infección sirven a su vez como desencadenantes de un comportamiento destructivo, lo que se denomina desencadenante de la infección. Incluye: activación por la cantidad de archivos infectados en ejecución, activación por la cantidad de secuencias de infección, activación por la cantidad de discos infectados y activación por falla de infección.
5. Activador de inicio: El comportamiento del conteo de virus cuando se inicia la máquina y utilizando este valor como condición de activación se denomina activación de inicio.
6. Disparador por tiempos de acceso al disco: El virus cuenta el número de accesos de E/S al disco, y la condición que se desencadena por un número predeterminado de veces se llama disparador de tiempos de acceso al disco.
7. Activar llamando a la función de interrupción: el virus cuenta el número de llamadas de interrupción y utiliza el número predeterminado de veces como condición de activación.
8. Activador del modelo de CPU/placa base: el virus puede identificar el modelo de CPU/modelo de placa base en el entorno de ejecución y utilizar el modelo de CPU/modelo de placa base predeterminado como condición de activación. El tipo de virus es único y raro.
Los virus utilizan una variedad de condiciones desencadenantes y, a menudo, no solo una de las condiciones anteriores, sino una combinación de varias condiciones.
Mecanismo de infección de los virus informáticos
1. Métodos de infección de los virus informáticos
Infección pasiva (el usuario copia discos o archivos)
Activa Infección (infección automática en estado activo)
2. Mecanismo de infección por virus
3. Mecanismo de infección por virus
Ver ejemplo anterior
Computadora El mecanismo destructivo de los virus
El mecanismo destructivo y el mecanismo de infección son básicamente los mismos en términos de principios de diseño y principios de funcionamiento.
También modificará la dirección de entrada del vector de interrupción (generalmente la interrupción de reloj INT 8H, u otras interrupciones relacionadas con la interrupción de reloj, como INT 1CH) para que el vector de interrupción apunte al módulo de destrucción. del programa de virus.
Los objetivos de destrucción y las partes de ataque del virus incluyen: área de datos del sistema, archivos, memoria, funcionamiento del sistema, velocidad de funcionamiento, disco, pantalla, teclado, altavoces, impresora, CMOS, placa base, etc.
Mecanismo de arranque de virus informáticos
1. Objeto de almacenamiento de virus
Sector de arranque del disco
2. p>
Método de reemplazo (sector de arranque); método de enlace (archivo ejecutable)
3. Proceso de arranque de virus
Restaurar memoria; robar el control del sistema;
4. Función del sistema de restauración de virus
1. Función del sistema de restauración de virus.
Interrupciones y Virus Informáticos
1. El concepto básico de interrupción
¿Qué es una interrupción? Hagamos primero una analogía. Cuando el administrador está trabajando en el archivo, suena el teléfono (solicitud de interrupción), debe hacer una marca en el archivo (remitente), pausar el trabajo, contestar la llamada (interrupción) e indicarle al administrador que "realice la segunda opción" (llame a la rutina del servicio de interrupción), y luego, después de un momento de silencio (regrese al estado anterior a la interrupción), continúe procesando el archivo. .......
Las interrupciones son una tecnología importante para que la CPU maneje emergencias externas. Permite que la CPU maneje solicitudes de interrupción de eventos externos de manera oportuna y regresa inmediatamente al punto de interrupción una vez completado el procesamiento para continuar con el trabajo original de la CPU.
2. Interrupciones y virus informáticos
Las interrupciones importantes relacionadas con los virus son:
Interrupciones programadas INT 08H e INT 1CH Algunos virus utilizan su sincronización para determinar. las condiciones de excitación.
INT 09H La entrada del teclado se interrumpe y el virus se utiliza para monitorear las pulsaciones de teclas del usuario.
INT 10H Interrupción de entrada/salida de pantalla, utilizada por algunos virus para mostrar gráficos de caracteres en la pantalla.
INT 13H Interrupción de entrada/salida del disco, se utiliza virus de arranque para infectar y formatear el disco.
La llamada a la función INT 21H de DOS incluye la mayoría de las funciones de DOS. Se ha descubierto que la mayoría de los virus basados en archivos han modificado la interrupción INT 21H, por lo que se ha convertido en una parte clave del monitoreo antivirus.
INT 24H es una interrupción crítica de manejo de errores para DOS, que a menudo es modificada por virus basados en archivos para evitar que se detecte una infección cuando un disco está protegido contra escritura.
8.2.1 Detección de virus informáticos
Detección de virus:
Método de código de caracteres
Método de suma de comprobación
Comportamiento Método de monitoreo
Método de simulación de software
1. Método del código de firma
Los expertos extranjeros creen que el método de firma es el método más simple y de menor costo para detectar virus conocidos. método. Métodos de detección de virus conocidos.
Pasos de implementación del método de firma:
Recopilar muestras de virus conocidos; extraer firmas; incluir firmas en la base de datos de virus para detectar, buscar y verificar en la base de datos de virus si se trata de un archivo. contiene firmas de virus.
Las ventajas del método de firma son:
La detección es precisa y rápida, se puede identificar el nombre del virus, la tasa de falsos positivos es baja y se puede realizar la desintoxicación en función de en los resultados de la detección.
Las desventajas son:
No se pueden detectar virus desconocidos; es costoso recopilar firmas de virus conocidos y es ineficiente en la red (en el servidor de la red, debido a la larga duración); recuperación a largo plazo, empeorará el rendimiento general de la red).
Características del método de firma:
Lento
Baja tasa de falsos positivos
No se pueden detectar virus polimórficos
No se pueden manejar virus ocultos
Los virus polimórficos se refieren a virus escritos utilizando tecnología de cifrado especial. Cada vez que infecta un objeto, utiliza un método aleatorio para cifrar el cuerpo del virus. Los virus polimórficos están diseñados principalmente para software de detección, por lo que con el aumento de este tipo de virus, se vuelve más difícil escribir software de detección y también provocará una gran cantidad de falsos positivos.
2. Método de suma de verificación
Calcula la suma de verificación del contenido normal del archivo y escribe la suma de verificación en el archivo o escríbela en otro archivo para guardarlo. En el proceso de uso del archivo, regularmente o antes de cada uso del archivo, verifique si el contenido de la suma de verificación calculada ahora en el archivo es consistente con la suma de verificación guardada originalmente, para que pueda saber si el archivo está infectado. método Se llama método de suma de comprobación.
Ventajas:
Este método es fácil de operar, puede detectar virus desconocidos y también puede detectar cambios sutiles en los archivos que se están verificando.
Desventajas:
La suma de verificación del estado normal del registro de transferencia de liberación es falso positivo, no se puede reconocer el nombre del virus y el virus oculto no se puede procesar.
Características del método de suma de comprobación:
Puede detectar virus conocidos y desconocidos;
No puede identificar categorías de virus ni informar nombres de virus;
Falsos positivos frecuentes;
Afecta la velocidad de ejecución del archivo;
Ineficaz contra virus ocultos.
3. Monitoreo del comportamiento
El método de monitorear los virus utilizando sus características de comportamiento únicas se llama monitoreo del comportamiento.
Algunos comportamientos están relacionados con virus y están más dirigidos. En la programación normal, estos comportamientos ocurren raramente. Cuando el programa se esté ejecutando, controle su comportamiento. Si encuentra algún comportamiento de virus, infórmelo a la policía de inmediato.
Monitorear las características de comportamiento del virus
A. Ocupar INT 13H (interrupción de entrada/salida del disco)
B. Área de datos del sistema DOS (para evitar que el sistema DOS sobrescriba virus)
C. Escribir en archivos COM y EXE
D. Cambiar entre el programa antivirus y el programa host
D. Programa de virus Cambiando con el programa anfitrión
Ventajas:
Ventajas:
Ventajas:
D. programa y el programa host
D. Cambiar entre programas antivirus y programas host
Ventajas:
Se pueden descubrir virus desconocidos y la mayoría de los virus desconocidos se pueden predecir con bastante precisión. exactamente.
Desventajas:
Posibles falsos positivos,
imposibilidad de identificar nombres de virus,
dificultad de implementación.
4. Simulación de software
Es un analizador de software que utiliza métodos de software para simular y analizar el funcionamiento del programa.
Utilizado principalmente para detectar virus polimórficos. Es complementario al método de firma.
5. Método de escaneo de Prophet
Esta tecnología está especialmente diseñada para virus informáticos desconocidos. Esta tecnología se puede utilizar para simular directamente las acciones de la CPU y detectar las actividades de ciertas variantes de. el virus y desarrollar códigos de virus. Dado que esta tecnología es más estricta que otras tecnologías antivirus, llevará más tiempo comparar programas más complejos, por lo que la aplicación de esta tecnología no está tan extendida.
6. Escaneo de E/S en tiempo real
Compare el código del virus en las acciones de entrada/salida de datos en tiempo real, con la esperanza de interceptar el virus antes de que se ejecute.
En teoría, un escáner en tiempo real de este tipo afectaría la tasa general de transferencia de datos.
8.2.2 Juicio de situaciones anormales
Si se producen las siguientes situaciones anormales durante el funcionamiento de la computadora, es posible que esté infectada con un virus:
1) Gráficos anormales O aparecen imágenes en la pantalla, pueden ser fantasmas, fantasmas, gotas de lluvia que caen, personajes, hojas, etc., y es difícil salir o recuperarse del sistema.
2) El altavoz emite sonidos no relacionados con el funcionamiento normal, como reproducir música o combinar sonidos aleatoriamente.
3) El espacio disponible en disco se reduce y aparece una gran cantidad de clústeres defectuosos. El número de clústeres defectuosos continúa aumentando hasta que no puede continuar funcionando.
4) El disco duro no puede iniciar el sistema.
5) Se pierden archivos o programas del disco.
6) El disco lee/escribe archivos significativamente más lento y el tiempo de acceso se vuelve más largo.
7) El sistema arranca lentamente o tiene problemas, y en ocasiones aparece un mensaje de "error de protección contra escritura".
8) El sistema a menudo falla o se reinicia de manera anormal.
9) Los programas que alguna vez se estaban ejecutando de repente no se ejecutan y siempre aparecen mensajes de error.
10) La impresora no puede iniciarse normalmente.
8.2.3 Prevención y Control de Virus Informáticos
1.
2. Establecer y mejorar el sistema legal y de gestión
3. Fortalecer la publicidad y la educación
4. p> 5. Fortalecer la prevención de virus informáticos
6. Fortalecer la prevención de virus informáticos
7. Fortalecer la prevención de virus informáticos
8. la prevención de virus informáticos Prevención de virus 1. Virus de macro públicos (***)
Este tipo de virus de macro es eficaz para todos los documentos de Word y la condición de activación es activar automáticamente la ejecución cuando se publica un documento de Word. iniciado o llamado. Tiene dos características notables:
1) Sólo se puede nombrar con "Autoxxxx", es decir, el nombre de la macro que comienza con "Auto" es xxxx, que es un nombre de archivo de macro específico. Como AutoOpen, AutoClose, AutoCopy, etc.
2) Deben estar adjuntos a una plantilla de Word **** para que tengan un efecto "universal". Por lo general, deben agregarse a la plantilla Normal.dot cuando el usuario no haya especificado ni preparado otras plantillas públicas, o no pueda escribirse en dicha plantilla en primer lugar.
2. Virus de macro privados
La principal diferencia entre los virus de macro privados y los virus de macro públicos es que los primeros generalmente se colocan en una plantilla de Word definida por el usuario y solo lo utilizan los usuarios. que utilizan dichas plantillas en relación con documentos de Word, es decir, los virus de macro sólo serán efectivos en documentos que utilicen esta plantilla específica, mientras que las macros privadas generalmente no funcionarán en documentos que utilicen otras plantillas.
Volver a esta sección
8.3.2 Comportamiento y características de los virus de macro
El virus de macro es una nueva forma de virus informático y un virus multiplataforma. Virus informático. Puede realizar un comportamiento viral en sistemas operativos como Windows, Windows 95/98/NT, OS/2, Macintosh System7, etc.
Las principales características de los virus de macro son las siguientes:
1) Los virus de macro pueden infectar documentos .DOC y documentos .NET.
2) Los virus de macro generalmente se infectan cuando Word abre un documento o plantilla con un virus de macro y el virus de macro se activa.
3) La mayoría de los virus de macro incluyen macros automáticas como apertura automática, cierre automático, nueva creación automática y salida automática. Estos virus de macro automáticos utilizan estos virus de macro automáticos para obtener los derechos de operación de los documentos (plantillas). .
4) Los virus de macro siempre contienen comandos de macro para leer y escribir documentos. Las plantillas DOT se almacenan en formato BFF (formato de archivo binario), un formato comprimido y cifrado que puede ser incompatible entre versiones de Word.
6) Los virus de macro son compatibles.
Volver a esta sección
8.3.3 Características de los virus de macro
1. Rápida velocidad de propagación
2 Multiplataforma cruzada. -infección
Volver a esta sección
8.3.4 Detección de virus de macro
Cuando la "Función de protección antivirus de macro" está activada, si su documento de Office está Abierto, el sistema muestra un cuadro de advertencia de virus de macro, por lo que debe estar muy atento a este documento. Es muy probable que haya sido infectado.
Nota: ¡Solo eliminar documentos infectados con virus de macro no eliminará los virus de macro en el sistema OFFICE!
8.3.5 Métodos de prevención y eliminación de virus de macro
(1) Método preferido: utilice la última versión del software antivirus para eliminar virus de macro
( 2) Método de emergencia: utilice un documento de WordPad o Word 6.0 como puente para eliminar virus de macro.
(3) Si ha sido infectado con un virus de macro, puede eliminarlo mediante los siguientes métodos:
Reemplace (o elimine) el archivo de plantilla general Normal.dot; software antivirus común para eliminar todos los archivos de documentos de Word.
(4) Prevención de virus de macro.
Teniendo en cuenta que la mayoría de los usuarios de Word utilizan funciones normales de procesamiento de textos y pocos utilizan programación de macros, para detectar virus a tiempo y evitar pérdidas innecesarias, normalmente se puede utilizar un archivo Normal.dot limpio. El software para detectar y eliminar macros Los virus se almacenan en un disquete y están protegidos contra escritura. Cuando se descubre que la plantilla común ha sido infectada, puede reemplazar el archivo Normal.dot guardado en el disquete con el archivo de plantilla infectado y luego ejecutar el software antivirus.
8.4 Virus informáticos en la red
8.4.1 Características de los virus informáticos en la red
8.4.2 Susceptibilidad de la red a los virus
8.4 .3 Ejemplos de virus de red: virus de correo electrónico
Volver al principio de este capítulo
8.4.1 Características de los virus informáticos de red
En un entorno de red, los virus informáticos tienen las siguientes características Algunas características nuevas:
(1) Transmisión rápida
(2) Amplio rango de infección
(3) Múltiples formas de infección
(4) Difícil de eliminar
(5) Altamente destructivo
Volver al principio de esta sección
8.4.2 Propagación de red virus
En concreto, existen los siguientes modos de transmisión:
1. El virus se copia directamente desde la estación de disco al servidor
2. El virus primero infecta la estación de trabajo y reside en la memoria de la estación de trabajo. Deje el disco de red y luego infecte el servidor cuando ejecuta el programa;
3. El virus primero infecta la estación de trabajo y reside en el servidor en la memoria de la estación de trabajo. ;
4. El virus primero infecta la estación de trabajo y reside en la memoria de la estación de trabajo y luego infecta el servidor.
3. El virus primero infecta la estación de trabajo, reside en la memoria de la estación de trabajo e infecta directamente el servidor a través de la ruta espejo cuando el virus se está ejecutando
_4. es invadido por el virus, el virus también es posible ingresar al servidor de la red a través del intercambio de datos en la comunicación.
8.4.3 Ejemplos de virus de red
--Virus gusano
1. Definición de gusano
Un gusano de red es un programa que se ejecuta de forma independiente, lo que no requiere la intervención de los usuarios de la computadora, se propaga tomando constantemente el control de algunas o todas las computadoras vulnerables en la red. Se propaga tomando constantemente el control de algunas o todas las computadoras vulnerables en una red.
La mayor diferencia entre gusanos y virus es que no requieren intervención humana y pueden replicarse y propagarse por sí mismos.
2. Características de comportamiento de los gusanos
2.1 Flujo de trabajo del gusano
El flujo de trabajo del gusano se puede dividir en cuatro etapas: escaneo de vulnerabilidades, ataque, infección y en el sitio. procesamiento, como se muestra en la Figura 2.
El programa del gusano escanea los sistemas informáticos vulnerables y migra el cuerpo del gusano al host de destino. Luego, el gusano ingresa al sistema infectado y realiza el procesamiento in situ del host de destino. La parte de procesamiento in situ del trabajo incluye: ocultación, recopilación de información, etc. Al mismo tiempo, el gusano genera múltiples copias y repite el proceso. Las estrategias de generación de IP de diferentes gusanos pueden ser diferentes e incluso aleatorias. La complejidad de cada paso varía desde muy complejo hasta muy simple.
2.2 Características de comportamiento de los gusanos
Autopropagación:
Los gusanos se han convertido esencialmente en herramientas automatizadas para ataques de piratas informáticos. Cuando se libera un gusano, busca. vulnerabilidades y exploits Todo el proceso de atacar el sistema y hacer copias de los resultados de la búsqueda lo realiza el propio gusano. Esto se diferencia de los virus habituales en términos de autonomía.
Explotación de vulnerabilidades del software:
Cualquier sistema informático tiene vulnerabilidades. Estos gusanos utilizan las vulnerabilidades del sistema para obtener los permisos correspondientes del sistema informático atacado, de modo que puedan copiar y propagarse. Estas vulnerabilidades son diversas e incluyen problemas con el propio sistema operativo, problemas con los programas de servicio de aplicaciones y problemas con las configuraciones del administrador de red. Precisamente la complejidad de las causas de las vulnerabilidades ha provocado la proliferación de distintos tipos de gusanos.
Causar congestión de la red:
En el proceso de escaneo de hosts vulnerables, el gusano necesita: determinar la existencia de otras computadoras; determinar la existencia de servicios de aplicaciones específicos; vulnerabilidades, etc. Esto no se puede hacer. Evite el tráfico de datos de red adicional. Al mismo tiempo, transferir copias del virus gusano entre máquinas o enviar datos de ataque a objetivos aleatorios generará inevitablemente una gran cantidad de tráfico de datos de red. Incluso los gusanos que no contienen código malicioso que interrumpa el funcionamiento normal del sistema pueden generar grandes cantidades de tráfico en la red, paralizando toda la red y provocando pérdidas económicas.
Consumo de recursos del sistema:
Después de que un gusano invade un sistema informático, generará múltiples copias de sí mismo en la computadora infectada, y cada copia iniciará un programa de búsqueda para encontrar nuevos objetivos de ataque. Una gran cantidad de procesos consumen recursos del sistema y hacen que el rendimiento del sistema se degrade. Esto es especialmente cierto para los servidores web.
Dejar riesgos de seguridad:
La mayoría de los gusanos recopilan, difunden y exponen información confidencial (como información del usuario) y dejan puertas traseras en el sistema. Estos pueden generar futuros riesgos de seguridad.
3. Similitudes y diferencias entre gusanos y virus generales
Tipo de virus: gusano de virus común
Forma de existencia: programa independiente del archivo host
Mecanismo de infección: el programa host ejecuta un ataque activo
Objetivo de la infección: computadora de la red de archivos local
4. El daño y la tendencia de desarrollo de los virus gusanos
Cada virus gusano Cualquier brote traerá enormes pérdidas a la sociedad.
Actualmente, la frecuencia de los brotes de virus gusanos es cada vez más rápida y la tecnología se vuelve cada vez más nueva, combinada con la tecnología de piratas informáticos. Especialmente en los últimos dos años, han aparecido cada vez más gusanos (como ondas de choque, ondas de choque, etc.).
Se ha convertido en un problema urgente realizar investigaciones en profundidad sobre gusanos y proponer soluciones efectivas para proporcionar a empresas y gobiernos un entorno de red seguro.
5. Medidas para que las empresas prevengan los virus gusanos
Hay varias cuestiones que las empresas deben considerar al prevenir y controlar los virus gusanos:
Detección y eliminación de virus capacidades;
Capacidades de monitoreo de virus;
La capacidad de responder a nuevos virus.
Las estrategias recomendadas para prevenir gusanos son las siguientes:
(1) Fortalecer el nivel de gestión de seguridad de los administradores de red y mejorar la conciencia de seguridad. Reducir las vulnerabilidades del sistema.
(2) Establecer un sistema de detección de virus. Capaz de detectar anomalías en la red y ataques de virus a la primera.
(3) ¡Establezca un sistema de respuesta a emergencias para minimizar los riesgos!
(4) Establecer un sistema de respaldo ante desastres. Para bases de datos y sistemas de datos, se deben tomar medidas de respaldo periódicas y de múltiples máquinas para evitar la pérdida de datos en desastres repentinos.
Para LAN, se pueden utilizar los siguientes métodos principales:
(1) Instale un producto informático antivirus estilo firewall en la entrada de Internet para aislar el virus de la LAN.
(2) ¡Supervise el servidor de correo para evitar la propagación de correos electrónicos venenosos!
(3) Proporcionar capacitación en seguridad a los usuarios de LAN.
(4) Establezca un sistema de actualización de LAN interno, que incluya varias actualizaciones de parches del sistema operativo, varias actualizaciones de software de aplicaciones de uso común, varias actualizaciones de bases de datos de virus de software antivirus, etc.
6. Gusanos que amenazan directamente a usuarios individuales
Para los usuarios individuales, las amenazas de gusanos grandes adoptan principalmente la forma de difusión de correos electrónicos generales y páginas web maliciosas. ¡Esto significa difundirse a través de diversos medios engañosos para inducir a los usuarios a hacer clic!
La amenaza es mayor, difícil de erradicar y causa mayor daño.
Una página web maliciosa es simplemente un programa de código pirata integrado en una página web. Cuando un usuario, sin saberlo, abre una página web que contiene un virus, el virus se aprovechará de ello.
¡Generalmente en forma de programación de script vb y script java!
Medidas preventivas para usuarios individuales contra virus gusanos
1. Instale el software antivirus correspondiente
La serie de software antivirus Norton de Symantec, Rising y kv. Serie de software antivirus.
2. Actualice la base de datos de virus con frecuencia.
El software antivirus detecta virus en función de sus firmas.
3. Mejore el conocimiento antivirus
¡No haga clic en sitios web desconocidos que puedan contener código malicioso! Cambie el nivel de seguridad de IE a "Alto".
4. No revises correos electrónicos desconocidos, especialmente aquellos con archivos adjuntos.
¡Actualiza tus programas IE y OE y otras aplicaciones de uso común!