|
Ein Computervirus ist ein Computerprogramm , das sich selbst kopieren kann [1] und einem Computer zu infizieren. Der Begriff "Virus" wird auch allgemein aber irrtümlich verwendet, um von sich auf andere Arten von Malware , einschließlich, aber nicht beschränkt auf Adware und Spyware -Programme, die haben nicht die Fortpflanzungsfähigkeit. Ein echter Virus kann andere verbreitete sich von einem Computer auf einen (in irgendeiner Form von ausführbaren Code ) bei seinem Wirt Zielcomputer ergriffen, um die, zum Beispiel weil ein Benutzer schickte es über ein Netzwerk oder das Internet, oder trug sie auf einem Wechselmedium wie als Diskette , CD , DVD oder USB-Stick . [2]
Viren können eine Erhöhung ihrer Chancen der Ausbreitung auf andere Computer zu infizieren von Dateien auf Netzwerk-Dateisystem oder ein Dateisystem, das eine andere Computer zugegriffen wird durch. [3] [4]
Wie oben ausgeführt, der Begriff "Computervirus" wird manchmal als Phrase eingesetzt catch-all auf der alle Arten von Malware , auch diejenigen, die haben nicht die Fortpflanzungsfähigkeit. Malware gehören Computerviren, Würmer , Trojanische Pferde , die meisten Rootkits , Spyware , unehrlich Adware und anderen bösartigen und unerwünschter Software, darunter echte Viren. Viren sind manchmal mit Würmern und Trojanischen Pferden, die technisch unterschiedlich sind verwirrt. Ein Wurm kann ausnutzen Sicherheit Schwachstellen automatisch zu verteilen sich auf andere Computer über Netzwerke, während ein Trojanisches Pferd ist ein Programm, das Funktionen erscheint harmlos, aber versteckt bösartig. Würmer und Trojanische Pferde, Viren, kann anderen Menschen schaden eines EDV-Systems die Daten oder die Performance. Einige Viren und anderer Malware Symptome bemerkbar, die Computer-Benutzer, aber sie Schleichwerbung oder einfach nichts tun, um auf sich aufmerksam machen. Einige Viren tun nichts außer sich selbst zu reproduzieren.
Inhalt
[hide]
1 Geschichte
1,1 Wissenschaftliche Arbeit
1,2 Science Fiction
1,3 Virus-Programme
2-Infektion Strategien
2,1 Auswärtige Viren
2,2 Resident Viren
3 Vektoren und Wirte
4 Methoden zur Vermeidung Erkennung
4,1 Vermeidung Köder-Dateien und anderen unerwünschten Hosts
4,2 Stealth
4.2.1 Self-Modifikation
4.2.2 Verschlüsselung mit variabler Schlüssel
4.2.3 Polymorphe Code
4.2.4 Metamorphische Code
5 Schwachstellen und Gegenmaßnahmen
5.1 Die Verwundbarkeit von Betriebssystemen auf Viren
5.2 Die Rolle der Software-Entwicklung
5,3 Anti-Virus-Software und andere vorbeugende Maßnahmen
5,4 Recovery-Methoden
5.4.1 Entfernen von Viren
5.4.2 Betriebssystem Neuinstallation
6 Siehe auch
7 Referenzen
8 Weitere Lesung
9 Externe Links
Geschichte
Wissenschaftliche Arbeit
Die erste wissenschaftliche Arbeit über die Theorie der Computer-Viren (obwohl der Begriff "Computervirus" wurde nicht erfunden Zeit dazu) wurde durch getan John von Neumann im Jahre 1949 die Vorlesungen an der University of Illinois über die "Theorie und Organisation der komplizierte Automaten ". Die Arbeit von Neumann wurde später "veröffentlicht, da die" Theorie der sich selbst reproduzierenden Automaten. [5] In seinem Aufsatz von Neumann postuliert, dass ein Computerprogramm reproduzieren konnten.
Im Jahr 1972 veröffentlichte Veith Risak seinem Artikel "Selbstreproduzierende Automaten mit pamin Informationsübertragung" (sich selbst reproduzierenden Automaten mit minimaler Informationsaustausch). [6] Der Artikel beschreibt ein voll funktionsfähiges Virus in schriftlicher Assembler Sprache für eine SIEMENS 4004/35 Computersystem.
Im Jahr 1980 Jürgen Kraus schrieb seine Diplom- Arbeit "Selbstreproduktion bei Programmen" (Selbst-Reproduktion von Programmen) an der Universität Dortmund . [7] In seinem Werk Kraus postuliert, dass Computerprogramme können Viren verhalten sich in ähnlicher Weise, wie biologische.
Im Jahr 1984 Fred Cohen von der University of Southern California schrieb in seinem Vortrag "Computer Viruses - Theory and Experiments". [8] Es war das erste Papier explizit nennen sich selbst reproduzierenden Programm einen "Virus", ein Begriff Mentor eingeführt durch seine Leonard Adleman .
Ein Artikel, der beschreibt, "nützliche Funktionalitäten Virus" wurde herausgegeben von JB Gunn unter dem Titel "Nutzung von Virus-Funktionen zur Steuerung bieten ein virtuelles APL-Interpreter unter user" im Jahr 1984. [9]
Science Fiction
The Terminal Man , ein Science-Fiction-Roman von Michael Crichton (1972), erzählt (als Nebenerwerb Geschichte) von einem Computer mit Telefonmodem Wählfunktion, die programmiert worden, um zufällig Telefonnummern wählen, bis er einen weiteren Hit ein Modem von antwortete, ist Computer. Dann versucht, die Beantwortung Computer mit eigenem Programm Programm, so dass der zweite Rechner würde auch dem Wählen beginnen Zufallszahlen, auf der Suche nach noch einem anderen Computer zu programmieren. Das Programm wird angenommen, dass exponentiell verbreitet durch anfällig Computern.
Der eigentliche Begriff "Virus" wurde erstmals im Einsatz David Gerrold 's 1972 Roman Wenn Harlie One War . In diesem Roman, schreibt ein fühlendes Computer namens Harlie virale Software zu beschädigen persönlichen Informationen von anderen Computern abrufen zu dem Mann, um ihn auszuschalten will erpressen.
Virus-Programme
Der Creeper-Virus nachgewiesen wurde erstmals am ARPANET , der Vorläufer des Internet , in den frühen 1970er Jahren. [10] Creeper war eine experimentelle selbst reproduzierenden Programm geschrieben von Bob Thomas BBN Technologies im Jahr 1971. [11] Creeper verwendet das ARPANET zu infizieren Dezember PDP-10 Computer mit dem Betriebssystem Tenex . [12] Creeper gewonnen Zugriff über das ARPANET und kopiert sich selbst auf dem Remote-System, wo die Nachricht: "Ich bin die Schlingpflanze, fang mich wenn du kannst!" angezeigt wurde. The Reaper-Programm wurde geschaffen, um Creeper löschen. [13]
Ein Programm namens " Elk Cloner "war der erste Computer-Virus zu erscheinen" in the wild "- ist, außerhalb der einzelnen Computer oder im Labor, wo es erstellt wurde. dass [14] Geschrieben im Jahre 1981 Richard Skrenta , befestigt sie sich auf das Apple DOS 3.3 Bedienung und verbreitete sich über Disketten . [14] [15] Dieses Virus, in der Schule geschaffen wie ein Scherz, wenn hohe Skrenta war noch in war Scheibe injiziert in einem Spiel auf einer Diskette. Am 50. Verwendung der Elk Cloner Virus würde, werden aktiviert und infizieren den Computer und zeigt ein kurzes Gedicht Anfang "Elk Cloner: Programm mit einer Persönlichkeit. Die"
Der erste PC-Virus in freier Wildbahn war ein Bootsektor-Virus genannt (c) Brain , [16] 1986 gegründet in der Farooq Alvi Brothers in Lahore, Pakistan , angeblich geschrieben abschrecken Piraterie der Software hatten. [17]
Vor Computernetzwerke verbreitet wurde, die meisten Viren verbreiten auf Wechselmedien , insbesondere Disketten . In den frühen Tagen des Personal Computer , viele Anwender regelmäßig ausgetauschten Informationen und Programme auf Disketten. Einige Viren infizieren Platten verteilt durch diese Programme gespeichert, während andere Festplatte installiert sich in den Bootsektor , so dass sie ausgeführt werden würde, wenn der Benutzer versehentlich gestartet des Computers von der Festplatte, in der Regel. PCs der Ära würde zu booten zunächst von einer Diskette, wenn man versucht hatte in das Laufwerk geblieben. Bis Disketten fiel aus verwenden, war dies die erfolgreichste Strategie Infektion und Bootsektorviren waren die häufigsten in der Natur seit vielen Jahren. [1]
Traditionelle Computerviren entstanden in den 1980er Jahren, angetrieben durch die Verbreitung von PCs und die daraus resultierende Erhöhung der BBS , Modem verwenden, und Software-Sharing. Bulletin Board -Driven Software-Sharing beigetragen direkt um die Verbreitung von Trojanern und Viren wurden geschrieben infizieren Volksmund gehandelt Software. Shareware und Bootleg -Software wurden gleich häufig Vektoren für Viren auf BBS. [ Bearbeiten ]
Makroviren geworden 1990er Jahren gemeinsam seit Mitte. Die meisten dieser Viren sind so geschrieben in der Skriptsprache für Microsoft-Programme wie Word und Excel und verbreitete sich in Microsoft Office durch Infektion Dokumente und Tabellen. Da Word und Excel wurden auch für Mac OS konnten die meisten auch zu verbreiten Macintosh-Computern . Obwohl die meisten dieser Viren haben nicht die Möglichkeit, infizierte senden E-Mails , Viren, die sich nehmen diejenigen Vorteil des Microsoft Outlook COM -Schnittstelle. [ Bearbeiten ]
Einige alte Versionen von Microsoft Word-Makros ermöglichen, sich mit zusätzlichen Leerzeilen zu replizieren. Wenn zwei Makroviren infizieren gleichzeitig ein Dokument, die Kombination der beiden, wenn auch selbst reproduzieren können, erscheinen kann als eine "Paarung" der beiden und würde wahrscheinlich "Eltern werden erkannt als ein Virus aus der einzigartigen". [18]
Ein Virus kann auch per Mail eine Web-Adresse Link als Instant Message an alle Kontakte auf einem infizierten Computer. Wenn der Empfänger, das Denken der Link von einem Freund (einer vertrauenswürdigen Quelle) folgt dem Link auf die Website, Gastgeber der Virus auf dem Gelände können eventuell neuen Computer zu infizieren und weiter verbreiten.
Viren, die Verwendung von Spread- Cross-Site Scripting wurden erstmals 2002 berichtet in, [19] und waren akademisch 2005 hat gezeigt, in. [20] Es gab wilde worden mehrere Instanzen des Cross-Site Scripting Viren in der unter Ausnutzung Webseiten wie MySpace und Yahoo .
Infektion Strategien
Um sich selbst zu replizieren, muss ein Virus erlaubt, Code ausführen und beschreiben Erinnerung sein. Aus diesem Grund legen viele Viren sich um ausführbare Dateien, die Teil der legitime Programme werden kann. Wenn ein Benutzer versucht, ein infiziertes Programm gestartet, kann der Code des Virus gleichzeitig ausgeführt werden. Viren können in zwei Typen aufgrund ihres Verhaltens eingeteilt werden, wenn sie ausgeführt werden. Auswärtige Viren sofort nach anderen Hosts, die infiziert werden können, diese Ziele zu infizieren, und schließlich die Steuerung an das Anwendungsprogramm sie infiziert sind. Resident Viren nicht für Hosts suchen, wenn sie gestartet werden. Stattdessen ansässig Virus in den Arbeitsspeicher geladen und über die Ausführung übergibt die Kontrolle an das Host-Programm. Das Virus bleibt im Hintergrund aktiv und infiziert neue Wirte, wenn diese Dateien von anderen Programmen oder dem Betriebssystem selbst zugegriffen wird.
Auswärtige Viren
Auswärtige Viren Modul Replikation Gedanken wie aus einem Finder-Modul und ein. Der Finder Modul ist verantwortlich für die Suche nach neuen Dateien zu infizieren. Für jede neue ausführbare Datei des Finders Modul Begegnungen, ruft es die Replikation Modul, um diese Datei zu infizieren.
Resident Viren
Resident Viren enthalten eine Replikation-Modul, das ähnlich der, die von gebietsfremden Viren eingesetzt wird. Dieses Modul ist jedoch nicht von einem Finder-Modul aufgerufen. Der Virus lädt die Replikation Modul in den Speicher, wenn es statt und ausgeführt wird gewährleistet, dass dieses Modul wird jedes Mal das Betriebssystem aufgerufen, um einen bestimmten Vorgang ausgeführt wird. Die Replikation Modul aufgerufen werden, zum Beispiel jedes Mal, wenn das Betriebssystem führt eine Datei. In diesem Fall Virus infiziert alle geeigneten Programm auf dem Computer ausgeführt wird.
Resident Viren sind manchmal Infektoren unterteilt in eine Kategorie von schnellen Infektoren und eine Kategorie von langsam. Fast Infektoren sind entworfen, um so viele Dateien wie möglich zu infizieren. Eine schnelle Infektor, zum Beispiel, infizieren können alle möglichen Host-Datei, die zugegriffen wird. Dies stellt ein besonderes Problem bei der Verwendung von Anti-Viren-Software, da ein Virenscanner wird jeder potenzielle Host-Datei auf einem Computer zugreifen, wenn es eine systemweite Scan durchführt. Wenn der Virenscanner nicht zu bemerken, dass ein solches Virus im Speicher vorhanden ist kann das Virus "huckepack" auf den Virenscanner und auf diese Weise zu infizieren alle Dateien, die gescannt werden. Fast Infektoren verlassen sich auf ihre schnellen Infektionsrate zu verbreiten. Der Nachteil dieser Methode ist, dass viele Dateien infizieren können machen Erkennung eher, weil das Virus möglicherweise verlangsamen einen Computer oder führen viele verdächtige Aktionen, die von Antiviren-Software bemerkt werden können. Slow Infektoren, auf der anderen Seite, sind entworfen, um Hosts selten infizieren. Einige langsame Infektoren zum Beispiel nur Dateien infizieren, wenn sie kopiert werden. Slow Infektoren sind entworfen, um Erkennung durch die Begrenzung ihrer Handlungen zu vermeiden: Sie sind weniger wahrscheinlich zu verlangsamen einem Computer spürbar und wird allenfalls selten Auslöser Anti-Virus-Software, die verdächtiges Verhalten von Programmen erfasst. Der langsame infector Ansatz ist jedoch offenbar nicht sehr erfolgreich.
Vektoren und Wirte
Viren haben verschiedene Arten von Übertragungsmedien oder Hosts abgezielt. Diese Liste ist nicht erschöpfend:
Binary ausführbare Dateien (z. B. COM-Dateien und EXE -Dateien im MS-DOS , Portable Executable -Dateien in Microsoft Windows , das Mach-O-Format in OSX und ELF -Dateien in Linux )
Volume Boot Records von Disketten und Festplatten-Partitionen
Der Master Boot Record (MBR) einer Festplatte
Allzweck- Script Dateien (z. B. Batch-Dateien in MS-DOS und Microsoft Windows , VBScript -Dateien und Shell-Skript -Dateien auf Unix-ähnlichen Plattformen).
Anwendungsspezifische Skript-Dateien (wie Telix -Skripte)
Systemspezifisch Autorun-Skript-Dateien (wie Autorun.inf Datei Windows benötigt durch die automatische Ausführung von Software auf gespeicherte USB Speichergeräte).
Dokumente, die enthalten können Makros (z. B. Microsoft Word -Dokumente, Microsoft Excel -Tabellen, AmiPro Dokumente und Microsoft Access -Datenbank-Dateien)
Cross-Site-Scripting- Schwachstellen in Web-Anwendungen (siehe XSS-Wurm )
Willkürliche Computerdateien. Eine Verwertung Pufferüberlauf , Format-String , Race-Bedingung oder andere ausnutzbaren Fehler in einem Programm, welche Datei liest der könnte es sein, verwendet innerhalb auszulösen Ausführung von Code versteckt. Die meisten Fehler dieser Art können in erschwert werden zu nutzen, um Computer-Architekturen mit Schutzfunktionen wie eine Execute-Disable-Bit und / oder Address Space Layout Randomization .
PDFs , wie HTML , kann Code-Link zu bösartigen. PDF-Dateien können auch mit Schadcode infiziert werden.
In Betriebssystemen, die Datei-Erweiterungen verwenden, um Programm Vereinigungen (z. B. Microsoft Windows) ermitteln, können die Erweiterungen aus den Benutzer standardmäßig ausgeblendet werden. Dies macht es möglich, eine Datei, die von einem anderen Typ ist, als es für den Benutzer erscheint schaffen. Zum Beispiel kann eine ausführbare Datei erstellt benannt werden "picture.png.exe", in dem der Benutzer sieht nur "picture.png" und geht daher davon aus, dass diese Datei ein Bild ist und wahrscheinlich ist sicher, doch wenn sie geöffnet läuft die ausführbare Datei auf dem Client-Rechner.
Eine weitere Methode ist die Virus-Code aus Teilen bestehende Betriebssystem-Dateien mithilfe des CRC16/CRC32 Daten zu generieren. Der anfängliche Code kann sehr klein (zig Byte) und entpacken Sie eine ziemlich große Virus. Dies ist analog zu einer biologischen "Prion" in der Weise funktioniert, ist aber anfällig für Signatur-basierte Erkennung. Dieser Angriff wurde noch nicht gesehen "in the wild".
Methoden zur Vermeidung Erkennung
Um eine Erkennung von Nutzern zu vermeiden, verwenden einige Viren verschiedene Arten der Täuschung. Einige alte Viren, vor allem auf die MS-DOS-Plattform, stellen Sie sicher, dass das "Datum der letzten Überarbeitung der Host-Datei die gleiche bleibt, wenn die Datei mit dem Virus infiziert ist. Dieser Ansatz nicht täuschen Anti-Virus-Software, aber insbesondere diejenigen, die behaupten und Datum Zyklische Redundanz Kontrollen auf Datei ändert.
Einige Viren können Dateien ohne Erhöhung ihrer Größe oder Beschädigung der Dateien zu infizieren. Sie erreichen dieses durch Überschreiben ungenutzte Bereiche der ausführbaren Dateien. Dies sind Viren genannt Hohlraum. Zum Beispiel die CIH-Virus , oder Tschernobyl-Virus infiziert, Portable Executable -Dateien. Da diese Dateien Lücken haben viele leer, das Virus, davon 1 KB Länge, hat in nicht-Datei hinzufügen, um die Größe des.
Einige Viren versuchen die Erkennung durch das Töten der Aufgaben, die mit Antivirus-Software findet, bevor er sie erkennen kann vermieden werden.
Wie Computer und Betriebssysteme werden größer und komplexer, müssen alte Versteck Techniken aktualisiert oder ersetzt werden. Die Verteidigung eines Computers vor Viren kann verlangen, dass ein Dateisystem zu detailliert und ausdrückliche Erlaubnis für jede Art von Datei zugreifen zu migrieren.
Vermeiden Köder-Dateien und anderen unerwünschten Hosts
Ein Virus braucht, um Hosts zu infizieren, um eine weitere Ausbreitung. In einigen Fällen könnte es eine schlechte Idee, eine Host-Programm zu infizieren. Beispielsweise führen viele Anti-Viren-Programme eine Integritätsprüfung von ihren eigenen Code. Infizieren solche Programme wird daher die Wahrscheinlichkeit erhöhen, dass das Virus erkannt wird. Aus diesem Grund sind einige Viren programmiert, daß keine Programme, die bekanntermaßen einen Antiviren-Software werden zu infizieren. Eine andere Art der Gastgeber, die Viren manchmal vermeiden sind Köder-Dateien. Bait-Dateien (Dateien oder Ziege) sind Dateien, die Viren sind Software, die speziell erstellt von anti-oder durch Anti-Viren-Spezialisten selbst, die Virus eine Infektion durch sein. Diese Dateien können aus verschiedenen Gründen, von denen alle auf den Nachweis des Virus in Verbindung erstellt werden:
Anti-Virus Profis können Köder-Dateien auf einer Stichprobe von einem Virus nehmen (dh eine Kopie einer Programmdatei, die mit dem Virus infiziert ist). Es ist praktischer zum Speichern und Austauschen einer kleinen, infizierte Datei Köder, als zu einem großen Programm, mit dem Virus infiziert wurde auszutauschen.
Anti-Virus Profis können Köder-Dateien, um das Verhalten eines Virus zu studieren und zu bewerten Nachweisverfahren. Dies ist besonders nützlich, wenn das Virus ist polymorph . In diesem Fall kann das Virus aus einer großen Anzahl von Köder-Dateien zu infizieren. Die infizierten Dateien können Sie testen, ob ein Virenscanner erkennt alle Versionen des Virus sein.
Einige Anti-Viren-Software beschäftigt Köder-Dateien, die regelmäßig abgerufen. Wenn diese Dateien geändert werden, warnt der Antiviren-Software dem Anwender, die einen Virus wahrscheinlich auf dem System aktiv ist.
Seit Köder-Dateien verwendet werden, um den Virus zu erkennen, oder, um Erkennung möglich ist, kann ein Virus aus nicht infizieren ihnen zu profitieren. Viren in der Regel tun dies durch die Vermeidung verdächtige Programme, wie zB kleine Programm-Dateien oder Programme, die bestimmte Muster von "Müll Anweisungen" enthalten.
Eine verwandte Strategie zu machen Hetze schwierig ist spärlich Infektion. Manchmal tun spärlich Infektoren nicht infizieren eine Host-Datei, dass ein geeigneter Kandidat für eine Infektion in anderen Umständen wäre. Zum Beispiel kann ein Virus nach dem Zufallsprinzip, ob eine Datei oder nicht, oder ein Virus infizieren können nur Host-Dateien an bestimmten Tagen der Woche infizieren entscheiden.
Stealth
Einige Viren versuchen, Antiviren-Software durch das Abfangen ihre Anträge an das Betriebssystem Trick. Ein Virus kann sich versteckten Virus durch das Abfangen der Antiviren-Software auf Antrag der Datei zu lesen und Weitergabe der Antrag an die anstelle des OS . Das Virus kann dann wieder eine nicht infizierte Version der Datei, die Antiviren-Software, so dass es scheint, dass die Datei "sauber" ist. Moderne Antiviren-Software setzt verschiedene Techniken zur Stealth-Mechanismen von Viren zu begegnen. Die einzige zuverlässige Methode, um ganz heimlich zu vermeiden, ist das Booten von einem Medium, das bekannt ist, dass sauber ist.
Self-Modifikation
Die meisten modernen Antiviren-Programme versuchen, Signaturen finden Virus-Muster in normalen Programmen durch Scannen sie für so genannte Virus. Eine Signatur ist ein charakteristisches Muster, das Byte-Teil eines bestimmten Virus oder eine Familie von Viren ist. Wenn ein Virenscanner findet ein solches Muster in einer Datei, meldet es dem Benutzer, dass die Datei infiziert ist. Der Benutzer kann dann löschen, oder (in einigen Fällen) "sauber" oder "heilen" die infizierte Datei. Einige Viren beschäftigen Techniken, die Entdeckung sorgen mittels Signaturen schwierig, aber wohl nicht unmöglich. Diese Viren verändern ihren Code auf jeder Infektion. Das heißt, jede infizierte Datei enthält eine andere Variante des Virus.
Verschlüsselung mit variabler Schlüssel
Eine erweiterte Methode ist die Verwendung von einfachen Verschlüsselung zu verschlüsseln Virus der. In diesem Fall besteht das Virus aus einem kleinen Modul entschlüsselt und eine verschlüsselte Kopie des Virus-Code. Wenn der Virus verschlüsselt ist mit einem anderen Schlüssel für jede infizierte Datei ist der einzige Teil des Virus, konstant bleibt die Entschlüsselung Modul, das (zum Beispiel) bis zum Ende würde angehängt werden. In diesem Fall kann ein Virenscanner nicht direkt erkennen, das Virus mit Unterschriften, aber es kann noch erkennen, die Entschlüsselung Modul, das macht noch indirekte Nachweis des Virus möglich. Da diese symmetrischen Schlüsseln, die auf dem infizierten Rechner abgelegt werden würde, ist es in der Tat durchaus möglich, die endgültige Virus zu entschlüsseln, aber das ist wahrscheinlich nicht erforderlich, da sich selbst modifizierende Code ist so eine Seltenheit, dass sie möglicherweise Grund für Virenscanner zu sein mindestens Flagge die Datei als verdächtig.
Eine alte, aber kompakt, Verschlüsselung beinhaltet XORing jedes Byte in ein Virus mit einem konstanten, so dass die Exklusiv-Oder-Operation hatte Entschlüsselung nur für wiederholt werden soll. Es ist für einen Code, um sich selbst zu modifizieren, so dass der Code, die Verschlüsselung zu tun / Entschlüsselung kann ein Teil der Signatur in vielen Virendefinitionen misstrauisch sein.
Polymorphe Code
Polymorphe Code war die erste Technik, die schwerwiegende stellte eine Bedrohung für Virenscanner. Genau wie reguläre verschlüsselte Viren, infiziert einen polymorphen Virus-Dateien mit einem verschlüsselten Kopie von sich selbst, die durch eine Entschlüsselung Modul decodiert wird. Im Falle von polymorphen Viren, ist dies jedoch Entschlüsselung Modul auch auf jeder Infektion geändert. Ein gut geschriebener polymorphen Virus hat daher keine Teile, die identisch zwischen Infektionen bleiben, so dass es sehr schwierig, direkt zu erfassen Verwendung von Signaturen. Antivirus-Software kann es durch die Entschlüsselung der Viren mit Hilfe eines Emulators, oder durch statistische Analyse der Muster verschlüsselten Virus Körper zu erkennen. Damit polymorphen Code, Viren hat der eine haben polymorphe Motor (auch als Motor mutiert oder Mutation Engine) irgendwo in ihrem Körper verschlüsselt. Siehe polymorphen Code für technische Details, wie beispielsweise Motoren arbeiten. [21]
Einige Viren beschäftigen polymorphen Code in einer Weise, dass die Mutationsrate des Virus hemmt signifikant. Zum Beispiel kann ein Virus programmiert, dass nur leicht mutieren im Laufe der Zeit sein, oder es kann so programmiert werden aus mutiert zu unterlassen, wenn es eine Datei infiziert auf einem Computer enthält bereits Kopien des Virus sein. Der Vorteil der Verwendung solcher langsam polymorphen Code ist, dass sie es immer schwieriger für Antiviren-Experten, um repräsentative Proben des Virus erhalten, weil Köder-Dateien, die in einem Lauf infiziert sind enthalten in der Regel werden gleiche oder ähnliche Proben des Virus macht. Dadurch wird es wahrscheinlicher, dass die Erkennung durch den Virenscanner nicht zuverlässig, und dass einige Instanzen des Virus in der Lage sein Erkennung zu vermeiden.
Metamorphe Code
Um zu vermeiden, durch Emulation erkannt, schreiben einige Viren sich völlig jedesmal, wenn sie neue ausführbare Dateien zu infizieren. Viren, die diese Technik nutzen, sind angeblich metamorphen . Damit Metamorphose , metamorphe Motor ist ein benötigt. Ein metamorphen Viren ist meist sehr groß und komplex. Zum Beispiel, W32/Simile bestand aus mehr als 14000 Zeilen Assembler -Code, von denen 90% ist Teil der metamorphen Motor. [22] [23]
Sicherheitslücke und Gegenmaßnahmen
Die Verwundbarkeit der Betriebssysteme auf Viren
So wie die genetische Vielfalt innerhalb einer Population verringert sich die Chance auf eine einzelne Krankheit auszulöschen einer Bevölkerung, die Vielfalt von Software-Systemen in einem Netzwerk ähnlich begrenzt die zerstörerische Potential von Viren. Dies wurde ein besonderes Anliegen in den 1990er Jahren, als Microsoft und gewann Marktbeherrschung in Desktop-Betriebssysteme Office-Suiten . Die Benutzer von Microsoft-Software (vor allem Netzwerk-Software wie Microsoft Outlook und Internet Explorer ) sind besonders anfällig für die Ausbreitung von Viren. Microsoft-Software wird von Virenautoren aufgrund ihrer Desktop Dominanz ausgerichtet, und wird oft für die Einbeziehung viele Fehler und Löcher für Virenschreiber ausnutzen kritisiert. Integrierte und nicht integrierten Microsoft-Anwendungen (wie z. B. Microsoft Office ) und Anwendungen mit Scripting-Sprachen mit Zugriff auf das Dateisystem (z. B. Visual Basic Script (VBS), und Anwendungen mit Networking-Funktionen) sind ebenfalls besonders gefährdet.
Obwohl Windows ist bei weitem das beliebteste Ziel-Betriebssystem für Virenschreiber, Viren gibt es auch auf anderen Plattformen. Jedes Betriebssystem, das Programme von Drittanbietern laufen kann theoretisch laufen Viren ermöglicht. Einige Betriebssysteme sind sicherer als andere. Unix-basierten Betriebssystemen (und NTFS-kompatible Anwendungen auf Windows NT basierende Plattformen) nur ermöglichen ihren Benutzern, ausführbaren Dateien innerhalb ihrer eigenen geschützten Speicherbereich ausgeführt.
Eine Internet-basierte Experiment ergab, dass es Fälle gebe, wenn die Leute bereitwillig eine bestimmte Taste, um einen Virus herunterzuladen gedrückt. Security Analyst Didier Stevens lief ein halbes Jahr Werbekampagne auf Google AdWords , die sagte: "Ist Ihr PC virenfrei? Get it infizierten hier!". Das Ergebnis war 409 Klicks. [24] [25]
Ab 2006 , gibt es relativ wenige Sicherheitslücken Targeting Mac OS X (mit einem Unix-basierte Dateisystem und Kernel ). [26] Die Zahl der Viren für die älteren Apple-Betriebssystemen, Classic bekannt als Mac OS, variiert stark von Quelle zu Quelle, die besagt, dass mit Apple gibt es nur vier bekannten Viren und unabhängigen Quellen hervorgeht gibt es so viele wie 63 Viren. Viele Mac OS Classic Viren gezielt die HyperCard Authoring-Umgebung. Der Unterschied in der Virus Schwachstelle zwischen Macs und Windows ist ein Chef Verkaufsargument, eine, die Apple verwendet in ihrer Get a Mac -Werbung. [27] Im Januar 2009 Symantec hat die Entdeckung eines Trojaners, dass Macs Ziele. [28] Diese Entdeckung hat nicht viel gewinnen Berichterstattung zur Verfügung bis April 2009. [28]
Während Linux-und Unix im Allgemeinen, hat immer nativ normale Benutzer keinen Zugang zu Änderungen an der Betriebssystem-Umgebung machen blockiert, sind Windows-Anwender in der Regel nicht. Dieser Unterschied hat sich weiter zum Teil auf die weit verbreitete Verwendung von Administrator-Accounts in der zeitgenössischen Versionen wie XP. Im Jahr 1997, wenn ein Virus für Linux veröffentlicht wurde - bekannt als " Bliss "- führender Hersteller von Antivirensoftware, warnt, dass Unix-ähnliche Systeme fallen könnte Windows Opfer von Viren wie. [29] The Bliss Virus von Viren können als charakteristisch - wie gegen Würmer - auf Unix-Systemen. Bliss erfordert, dass der Benutzer es explizit ausgeführt, und es kann nur infizieren Programme, die dem Anwender den Zugang zu modifizieren ist. Anders als Windows-Benutzer, Unix-Benutzer die meisten nicht einloggen als Administrator außer zu installieren oder zu konfigurieren Software, als ein Ergebnis, auch wenn ein Benutzer Virus lief die, es könnte nicht schaden, ihr Betriebssystem. Die Bliss Virus wurde nie weit verbreitet, und bleibt vor allem ein Forschungs-Neugier. Sein Schöpfer später erzielte der Quellcode zum Usenet, den Forschern erlaubt, zu sehen, wie es funktionierte. [30]
Die Rolle der Software-Entwicklung
Denn Software ist häufig Funktionen, mit Sicherheit zu den Ressourcen gegen unbefugte Benutzung des Systems, Viren müssen viele nutzen Software-Bugs in einem System oder einer Anwendung zu verbreiten. Softwareentwicklung Strategien, die Exploits bringen zahlreiche Bugs in der Regel auch produzieren Potenzial.
Anti-Viren-Software und andere vorbeugende Maßnahmen
Viele Benutzer installieren Antiviren-Software erkennen kann, dass und zu beseitigen bekannten Viren, nachdem der Computer Downloads oder läuft die ausführbare Datei. Es gibt zwei gängige Methoden, die eine Anti-Viren-Software -Anwendung nutzt Viren erkennen zu. Der erste und mit Abstand die häufigste Methode der Virenerkennung verwendet eine Liste der Viren-Signatur -Definitionen. Dies funktioniert, indem die Inhalte der Speicher des Computers (seine RAM und Boot-Sektoren ) und die Dateien) gespeichert auf festen oder Wechseldatenträgern (Festplatten, Diskettenlaufwerke, und vergleicht die Dateien gegen eine Datenbank bekannter Viren "Signaturen". Der Nachteil dieser Nachweismethode ist, dass Benutzer nur vor Viren, die älter als ihr letztes Update der Virensignaturen geschützt. Die zweite Methode ist eine Verwendung heuristischer Algorithmus Verhaltensweisen finden gemeinsame Viren auf. Diese Methode hat die Fähigkeit, neue Viren zu erkennen, dass die Antiviren-Sicherheit von Unternehmen noch zu einer Signatur erstellt werden soll.
Einige Antiviren-Programme können geöffnete Dateien zusätzlich zu gesendeten und empfangenen E-Mails scannen "on the fly" in ähnlicher Weise. Diese Praxis ist als "On-Access-Scanning" bekannt. Anti-Viren-Software ändert nicht die zugrunde liegende Fähigkeit des Host-Software, um Viren zu übertragen. Benutzer müssen regelmäßig aktualisieren ihre Software -Patch Sicherheitslücken. Anti-Viren-Software auch aktualisiert werden muss regelmäßig, um neueste erkennen die Gefahren .
Man kann auch den Schaden begrenzen regelmäßig durchgeführt, die durch Viren, indem Backups von Daten (und den Betriebssystemen) auf verschiedenen Medien, dass gehalten werden entweder unverbunden auf das System (die meiste Zeit), Nur-Lese-oder nicht zugänglich für andere Gründe, wie mit unterschiedlichen Dateisystemen . Diese Weise, wenn Daten durch einen Virus verloren geht, kann man wieder startet das Backup (die bevorzugt werden sollten aktueller).
Wenn ein Backup-Sitzung auf optischen Medien wie CD und DVD geschlossen ist, wird es nur gelesen und kann nicht mehr) DVD betroffen sein durch ein Virus (so lange wie ein Virus infizierte Datei oder CD wurde nicht kopiert auf die /. Ebenso ein Betriebssystem auf einer bootfähigen CD kann unbrauchbar werden verwendet den Computer zu starten, wenn das installierte Betriebssystem werden Systeme. Backups auf Wechselmedien müssen sorgfältig vor der Restaurierung zu untersuchen. Die Gammima Virus, zum Beispiel propagiert über abnehmbare Flash-Laufwerke . [31] [32]
Recovery-Methoden
Sobald ein Computer durch einen Virus beschädigt wurden, ist es meist unsicher, weiterhin mit dem gleichen Computer, ohne sie komplett Neuinstallation des Betriebssystems. Es gibt jedoch eine Anzahl von Recovery-Optionen, die nach einem Computer mit einem Virus existieren. Diese Maßnahmen richten sich nach der Schwere der Art des Virus.
Entfernen von Viren
Eine Möglichkeit auf Windows Me , Windows XP , Windows Vista und Windows 7 ist ein Tool, bekannt als die Systemwiederherstellung , welche Dateien wiederhergestellt der Registrierung und kritische Systemfehler zu einem früheren Checkpoint. Oft wird ein Virus verursacht ein System zu hängen, und einem anschließenden Neustart wird schwer machen einen Systemwiederherstellungspunkt vom selben Tag beschädigt. Wiederherstellungspunkte aus früheren Tagen sollte. Vorgesehenen Arbeiten ist die Virus-Punkte nicht darauf ausgelegt, wodurch das Wiederherstellen von Dateien oder gibt es auch in früheren Wiederherstellungspunkt [33] Einige Viren, aber die Systemwiederherstellung deaktivieren und andere wichtige Werkzeuge wie Task-Manager und Command Prompt . Ein Beispiel für einen Virus, der dies tut, ist Ciadoor. Allerdings sind solche Viren können durch viele entfernt werden Neustart des Computers eingeben Windows im abgesicherten Modus , und dann mit System-Tools.
Administratoren haben die Option zum Deaktivieren solcher Tools von Benutzer mit eingeschränkten Rechten aus verschiedenen Gründen (z. B. um mögliche Schäden aus und die Verbreitung von Viren zu vermindern). Ein Virus kann die Registrierung ändern, um Computer das gleiche tun, auch wenn der Administrator die Steuerung der, blockiert es allen Nutzern, einschließlich der Administrator den Zugriff auf die Tools. Die Meldung "Task-Manager hat der Administrator deaktiviert worden durch" können Administratoren angezeigt werden, auch die. [ Bearbeiten ]
Benutzer mit einem Microsoft Betriebssystem zugreifen kann der Microsoft-Website, um einen Gratis-Scan, vorausgesetzt, sie haben ihre 20-stellige Registrierungsnummer. Viele Websites betrieben von Antiviren-Software Unternehmen bieten kostenlose Online-Virenscanner, mit begrenzten Reinigungsanlagen (der Zweck der Seiten ist es, Produkte zu verkaufen Anti-Virus). Einige Webseiten ermöglichen eine einzige verdächtige Datei durch viele Antiviren-Programme in einem Arbeitsgang überprüft werden.
Betriebssystem Neuinstallation
Neuinstallation des Betriebssystems ist ein weiterer Ansatz zur Entfernung von Viren. Es handelt sich entweder eine Neuformatierung der Festplatte des Computers und Installation des Betriebssystems und aller Programme von Original-Medien, oder die Wiederherstellung der gesamten Partition mit einem sauberen Backup-Image . User-Daten kann eine von wiederhergestellt werden durch Booten Live-CD , oder setzen Sie die Festplatte in einen anderen Computer und das Booten von seinem Betriebssystem mit großer Sorgfalt nicht zu fahren infizieren dem zweiten Computer durch die Ausführung einer infizierten Programme auf dem Original, und sobald das System restauriert worden Vorsichtsmaßnahmen müssen wiederhergestellt werden AA zu vermeiden Reinfektion von ausführbaren Datei .
Diese Methoden sind einfach zu tun, kann schneller sein als Desinfektion eines Computers, und sind garantiert keine Malware zu entfernen. Wenn das Betriebssystem und Programme aus dem Nichts, die Zeit und Mühe zu installieren, konfigurieren und wiederherstellen Benutzereinstellungen neu installiert werden müssen berücksichtigt werden. Restoring from an image is much faster, totally safe, and restores the exact configuration to the state it was in when the image was made, with no further trouble.
|
