Szkript vírusokat, mint a veszélyes. Szabadító szkriptet szivattyúzunk egy ingyenes előfizetőkhöz

Makróvírusok (Makró vírusok) a nyelv (makro-nyelv) ágyazva egyes adatfeldolgozó rendszerek (szövegszerkesztőt, táblázatkezelőt, stb), valamint a forgatókönyv nyelvek, mint a VBA (Visual Basic for Applications), JS (Java Forgatókönyv). A reprodukció érdekében az ilyen vírusok felhasználják a makro-nyelvek képességeit, és segítséget nyújtanak magukat egy fertőzött fájlból (dokumentum vagy táblázat) másoknak. A makró vírusok a legnagyobb terjesztést kapták Microsoft Office.. Vannak olyan makró vírusok is, amelyek fertőzik az AMI PRO dokumentumokat és adatbázisokat. A vírusok létezésére egy adott rendszerben (szerkesztő), meg kell építeni egy beépített makro-nyelvet képességekkel:

1. Kötőprogramok makro-nyelven egy adott fájlhoz;
2. Másolja a makroprogramokat egy fájlból a másikra;
3. A makró program felhasználói beavatkozás nélküli (automatikus vagy szabványos makrók).

Ezek a feltételek megfelelnek a szerkesztőknek Microsoft Word., Irodai és amipro, valamint Excel táblázat és alap microsoft adatok Hozzáférés. Ezek a rendszerek makró nyelveket tartalmaznak: szó - szó alap; Excel, hozzáférés - VBA. Ahol:

1. A makrogramok egy adott fájlhoz (amipro) kötődnek, vagy a fájlban vannak (szó, excel, hozzáférés);
2. A Makro-Language lehetővé teszi a fájlok (amipro) másolását, vagy a makrogramok mozgatását a rendszer szolgáltatási fájlokhoz és szerkeszthető fájlokhoz (Word, Excel);
(3) Ha bizonyos feltételek mellett (nyitás, zárás stb.) A makró programokat (ha van ilyen), amelyeket speciális módon (amipro) határoznak meg (amipro), vagy szabványos neveket (Word, Excel).

Ez a makro nyelvi funkció az automatikus adatfeldolgozásra szolgál nagy szervezetekben vagy globális hálózatokban, és lehetővé teszi az úgynevezett "automatizált dokumentumkezelés" megszervezését. Másrészt a makropannyelvű ilyen rendszerek képességei lehetővé teszik a vírus számára, hogy kódjaikat más fájlokba vigye, és így megfertőzzük őket. A vírusok szabályozást kapnak a fertőzött fájl megnyitásakor vagy bezárásakor, elfogják a szabványos fájlfunkciókat, majd megfertőzzük a fájlokat, amelyek bármilyen módon fellebbeznek. Az MS-DOS-val analógiával azt mondhatjuk, hogy a legtöbb makró vírus rezidens: nem csak a fájl megnyitása / bezárásakor aktívak, de mindaddig, amíg maga a szerkesztő aktív.

Word / Excel / Office vírusok: Általános információk

A fájl belsejében lévő vírus fizikai helye a formátumtól függ, amely a Microsoft termékek esetében rendkívül bonyolult - minden szófájl, az Excel táblázat az adatblokkok sorrendje (mindegyiknek is van saját formátuma), kombinálva nagyszámú szolgáltatási adatokkal. Ezt a formátumot OLE2 - objektum összekapcsolás és beágyazás.

A szó, az Excel és az Office File Structure (OLE2) a lemezek bonyolult fájlrendszeréhez hasonlít: A dokumentumfájl vagy táblázat "gyökérkönyvtárát" jelzi a különböző adatblokkok fő alkönyvtárai, több zsír táblázat tartalmaz információt a Adatblokkok a dokumentumban stb. Ezenkívül a Word és az Excel szabványok támogató irodakötő rendszer lehetővé teszi, hogy olyan fájlokat hozzon létre, amelyek egyidejűleg egy vagy több dokumentumot tartalmaznak Word formátumban és egy vagy több táblázatban excel formátum. Ugyanakkor a Word vírusok képesek a szódokumentumok elérésére, és az Excel vírusok Excel táblák, és mindez az egyiken belül lehetséges lemezfájl. Ugyanez igaz az irodában. A szóhoz fűződő vírusok többsége összeegyeztethetetlen a szó nemzeti (beleértve az orosz) verziókat, vagy fordítva - csak a lokalizált szóverziókra tervezték, és nem működik az angol verzió alatt. Azonban a dokumentumban szereplő vírus továbbra is aktív, és megfertőzheti más számítógépeket a megfelelő szó megfelelő verziójával. A vírusok szó megfertőzheti az osztályok számítógépeit. Fertőzés esetén lehetséges szövegszerkesztő van telepítve a számítógépen, teljesen kompatibilis a Microsoft Word verzió 6-os vagy 7-es vagy nagyobb (például MS Word for Macintosh).

Ugyanez igaz az excel és az irodában. Azt is meg kell jegyezni, hogy a szó dokumentumformátumok, az Excel táblák és különösen az irodák összetettsége a következő jellemzőkkel rendelkezik: a fájlok és táblázatok "szükségtelen" adatblokkok, azaz. A szerkeszthető szövegekhez vagy táblázatokhoz nem kapcsolódó adatok véletlenszerűen megvitatják az egyéb fájladatok másolatát. Az ilyen adatblokkok oka az OLE2 dokumentumok és táblázatok klaszteradatszervezete - még akkor is, ha csak egy szöveges szimbólum van beírva, akkor egy vagy akár több adatgyűjtőt osztanak ki. A "Hasznos" adatokkal nem feltöltött számítógépek és táblázatok mentésekor továbbra is "szemét" marad, amely más adatokkal lép be a fájlt. A fájlokban lévő "szemét" számát csökkentheti a szó / Excel "gyors mentése" konfigurációs elem törlésével, de csak csökkenti a "szemét" teljes számát, de nem távolítja el teljesen. Ennek következménye az a tény, hogy a dokumentum szerkesztésekor méretváltozások, függetlenül attól, hogy a vele előállított műveletek - új szöveg hozzáadásakor a fájlméret csökkenhet, és ha a szöveg része törölve van, lehetséges növelni.

Ugyanez a makro vírusokkal: ha fertőzött fájl, mérete csökkenhet, növelheti vagy változatlan maradhat. Azt is meg kell jegyezni, hogy az OLE2.DLL egyes verziói kis hibákat tartalmaznak, amelynek eredményeképpen működik dokumentumok szó., Az Excel és különösen a "szemét" blokkok irodája véletlenszerű adatokat kaphat a lemezről, beleértve a bizalmas ( távoli fájlok, katalógusok stb.). Ezek a blokkok is megkaphatják a víruscsapatokat. Ennek eredményeképpen a fertőzött dokumentumok kezelése után az aktív víruskódot eltávolítják a fájlból, de a parancsok egy része a "szemét" blokkokban maradhat. A vírus jelenlétének ilyen nyomai néha láthatóak szövegszerkesztők És még néhány víruskereső program reakcióját is okozhatja. Ezek a vírus továbbra is teljesen ártalmatlanok: a szó és az excel nem figyelnek rájuk.

Word / Excel / Office vírusok: Munkaügyi elvek

Ha egy Word-dokumentummal dolgozik, 6 és 7 vagy annál magasabb A különböző műveletek végrehajtása: megnyitja a dokumentumot, megmenti, kinyomtatja, bezárja stb. Ugyanakkor a Word keresi és elvégzi a megfelelő "beépített makrókat" - A fájl / mentési parancs fájljainak mentésekor a FileVave Macro-t nevezik, miközben a dokumentumok nyomtatásakor a fájl / saveas parancs - fájlvédumokat mentse el - FilePrint stb., Ha természetesen ilyen makrók vannak meghatározva. Vannak több "auto-makros", amely különböző körülmények között automatikusan okozott. Például, amikor megnyit egy Word dokumentum ellenőrzése az Autoopen makró. Ha ilyen makró van jelen, akkor a szó elvégzi. A Word dokumentum bezárásakor végrehajtja az Autoclose makro-t, az AutoExec makro-t hívják fel, amikor a szót el kell indítani, az üzemeltetés befejezése után - AutoExit új dokumentum létrehozásakor - Autonew létrehozásakor.

Hasonló mechanizmusok (de más makrók és funkciók) használnak Excel / Office, amelyben a szerepét az automatikus és a beágyazott makrók végezzen automatikus és beágyazott függvények, amelyek jelen vannak minden makró vagy makrók, és néhány beágyazott lehet jelen egy makró. és automatikus funkciók. Automatikusan (azaz felhasználói részvétel nélkül), makrók / funkciók is végrehajthatók, amelyek bármely kulcshoz vagy idővel vagy időponthoz kapcsolódnak, azaz azaz. A Word / Excel makro / funkciót okozhat, ha bármilyen konkrét kulcsot (vagy kulcsfontosságú kombinációt) vagy bármikor eléri. A hivatalban az események elfogására való képesség kissé bővül, de az elv ugyanazt használják.

A szó, az excel vagy az irodai fájlokat érintő makro-vírusok általában a fent felsorolt \u200b\u200bhárom módszer közül használhatók - a vírusban, vagy auto-makró (automatikus funkció) vagy a szabványos makrók egyike van (a Menüelem) Túlságosan fejletlen, vagy a vírus makró automatikusan megjelenik, ha bármely kulcs vagy kulcs kombinációra kattint. Vannak olyan félvírusok is, amelyek nem használják ezeket a technikákat, és csak akkor szaporodnak, ha a felhasználó önállóan indítja el őket. Így, ha a dokumentum fertőzött megnyitásakor egy Word dokumentumot, egy fertőzött Autopen automatikus makró (vagy záródhat bezárásakor a dokumentum), és így kezdődik a vírus kódját, amennyiben ezt nem tiltja az DISABLEAUTOMACROS rendszer változtatható. Ha a vírus olyan makrókat tartalmaz, amelyek szabványos nevekkel rendelkeznek, akkor a megfelelő menüelem (fájl / nyitott, fájl / bezárás, fájl / savak) hívásakor szabályozást kapnak. Ha bármilyen billentyűzet szimbólum felülbírálódik, a vírus csak a megfelelő gomb megnyomása után aktiválódik.

A legtöbb makró vírus minden funkcióját szabványos szó / excel / irodai makrók formájában tartalmazza. Vannak azonban olyan vírusok, amelyek a kódex elrejtését és a kódot nem makrók formájában tárolják. Három ilyen fogadás van, mindegyikük más makrók létrehozásának, szerkesztésének és végrehajtásának képességét használja. Általános szabályként hasonló vírusok vannak egy kis (néha polimorf) makró a vírus, amely a beépített makrószerkesztőt okozza, új makrót hoz létre, kitölti azt a vírus alapkódjával, majd végez, majd általában, elpusztítja (hogy elrejtse a vírus jelenlétének nyomai). Az ilyen vírusok fő kódja a vírus makróban jelen van a szövegszövések (néha titkosított) formájában, vagy a dokumentumváltozókban vagy az automatikus szöveges területen tárolva.

Algoritmus munkavégzés. Makró vírusok

A jól ismert szóvírusok többsége elkezdi átadni kódját (makrók) a globális dokumentum makrók területére ("Általános" makrók), ehhez makrocopy makroszkópiai parancsokat, szervező.Copy makrókat használnak, vagy a makrószerkesztő használatával - A vírus okozza, létrehoz egy új makrót, beilleszti a kódot, amely a dokumentumban ment. Ha kilépsz a Word Word A globális makrók (beleértve a vírus makrókat) automatikusan rögzítik a globális makrók pontfájljában (általában a fájl normál.dot). Így a következő alkalommal, amikor elkezd mS-Word szerkesztő A vírus akkor aktiválódik, amikor a Winword Ships globális makrók, azaz. Azonnal. Ezután a vírus újradefiniálja (vagy már magában foglalja önmagában) egy vagy több szabványos makrot (például FileOpen, FileSave, FileVaveas, FilePrint) és elfogja, így parancsok a fájlok kezelésére. Amikor ezeket a parancsokat hívja, a vírus fertőzi meg azokat a fájlt, amelyre a fellebbezés. Ehhez a vírus átalakítja a fájlt a sablonformátumra (ami lehetetlenné teszi a fájlformátum továbbítását, azaz bármilyen sablonformátumra való konvertálást), és rögzíti makrókat a fájlba, beleértve az automatikus makrót. Így, ha a vírus elfogja a Fileaveas Macro-t, akkor minden DOC fájl fertőzött, a vírus által elfogott makróon keresztül mentve. Ha a FileOpen Macro elfogott, a vírus a lemezről a lemezről van írva.

A vírus végrehajtásának második módját sokkal kevésbé használják - az úgynevezett "kiegészítő" fájlok, azaz azaz. A SZOLGÁLTATÁSOK SZOLGÁLTATÁSAI. Ebben az esetben a Normal.Dot nem változik, és a Word, amikor az indításkor betölti a vírus makrókat a "Hozzáadás" néven definiált fájlból (vagy fájlok). Ez a módszer szinte teljesen megismétli a globális makrók fertőzését azzal a kivétellel, hogy a vírus makrói nincsenek normál formában, de bármilyen más fájlban. Lehetőség van arra is, hogy a vírust az indítási könyvtárban található fájlokhoz is megvalósítsák - a Word automatikusan betölti a fájlokat-sablonokat a katalógusból, de az ilyen vírusok még nem találkoztak. A fent tárgyalt módszerek a rezidens dos vírusok néhány analógja. A nem rezidens analóg olyan makró vírusok, amelyek nem tolerálják a kódexüket a rendszer makrók területére - más dokumentumfájlok megfertőzésére, akár szavakkal beágyazott fájlok használatával, vagy az utolsó szerkesztett fájlok listájára vonatkoznak (nemrégiben használt) Fájllista). Ezután az ilyen vírusok egy dokumentumot nyitnak meg, megfertőzik és zártak.

Excel algoritmus makró vírusok

Az Excel vírus reprodukciós módszerei általában hasonlóak a vírus módszerekhez. A különbségek a makrók (pl. Sheets.copy) és normalis.dot hiányában történő másolása, a funkciója (vírusos értelemben) az Excel indítási könyvtárában fájlokat hajt végre. Meg kell jegyezni, hogy a makró vírusok helyének két lehetséges lehetősége van excel táblák. Az ilyen vírusok túlnyomó többsége a VBA formátumban rögzíti a kódot (vizuális alapvető alkalmazásokhoz), azonban vannak olyan vírusok, amelyek a kódot a régi Excel 4.0-as formátumban tárolják. Az ilyen vírusok nem különböznek lényegében a VBA vírusokból, kivéve a víruskódok helyformátumának különbségeit az Excel táblákban. Annak ellenére, hogy az Excel új verzióiban (az 5. verzióból), fejlettebb technológiákat használnak, a régi Excel verziók makróinak végrehajtására irányuló képesség maradt a kompatibilitás fenntartása érdekében. Emiatt az Excel 4 formátumban írt összes makró teljes körűen megszerzett minden további verzióban, annak ellenére, hogy a Microsoft nem javasolhatja őket, és nem tartalmazza a szükséges dokumentációt az Excel szállítására.

Vírus algoritmus a hozzáféréshez

Mivel a hozzáférés az Office Pro csomag része, akkor a hozzáférési vírusok ugyanazok a makrók a vizuális alapon, mint más vírusok fertőző irodai alkalmazások. Ebben az esetben azonban az automatikus makrók helyett a rendszer olyan automatikus szkripteket tartalmaz, amelyeket a rendszer különböző eseményeken (például Autoexec) hív. Ezek a szkriptek ezután különböző makroprogramokat okozhatnak. Így a bázisok fertőzésére hozzáférési adatok A vírust bármely automatikus szkriptrel kell helyettesíteni, és másolja a makrókat a szennyezett alapra. A szkriptek fertőzése további makrók nélkül nem lehetséges, mivel a script nyelv meglehetősen primitív, és nem tartalmazza a szükséges funkciókat.

Meg kell jegyezni, hogy a hozzáférési szkriptek tekintetében makrók (makró), és a makrók - modulok (modul) azonban az egységes terminológiát alkalmazzák - szkriptek és makrók. A hozzáférési adatbázis-kezelés összetettebb feladat, mint más makró vírusok eltávolítása, mivel a hozzáférés esetén nemcsak vírusos makrókat, hanem automatikus szkripteket is tárgyalhat. És annyira a hozzáférési munka hozzárendelve a szkriptekhez és makrókhoz, az elemek helytelen eltávolítása vagy deaktiválása az adatbázis működésének lehetetlenségéhez vezethet. Ugyanez a vírusok is - az automatikus szkriptek helytelen cseréje az adatbázisban tárolt adatok elvesztéséhez vezethet.

Amipro-vírusok

Ha bármilyen dokumentummal dolgozik, az Amipro szerkesztő két fájlt hoz létre - közvetlenül a dokumentum szövegét (a SAM név kiterjesztésével) és egy további fájlt, amely tartalmazza a dokumentum makrókat, és esetleg más információkat (név - SMM). Mindkét fájl formátuma meglehetősen egyszerű - rendes szövegfájl, amelyben mind a szerkeszthető szöveges, mind a vezérlési parancsok hagyományos szöveges karakterláncok formájában jelen vannak. A dokumentum összhangban lehet egy makróval az SMM fájlból (hozzárendelésMacrotofile parancs). Ez a makró az Autoopen analógja és az Autoclose az MS Word-ban, és az AMIPRO-szerkesztőnek hívja a fájl megnyitásakor vagy bezárásakor. Úgy tűnik, a AmiPro nincs lehetőség, hogy helyet makrók az „általános” területen, így a vírusok számára AmiPro képes megfertőzni a rendszert csak megnyitásakor a fertőzött fájlt, de nem akkor, amikor betölti a rendszert, ahogy történik az MS-Word fertőzés után a normál.dot fájl. Mint az MS Word, az AMIPRO lehetővé teszi, hogy felülírja a rendszer makrókat (például Savros, Mentés) a Changemenuaction parancs segítségével. A felülbírálási funkciók (menüparancsok) hívásakor a vezérlést fertőzött makrókkal, azaz Víruskód.

Lopakodó vírusok

Az osztály képviselői különböző eszközöket használnak a rendszerben való jelenlétük elfedésére. Ezt általában a fájlok munkájáért felelős rendszerfunkciók számának megteremtésével érik el. Stels - A technológia lehetetlenné teszi a vírust speciális eszközkészlet nélkül. A vírusmaszkok és az érintett objektum (fájl) hossza és teste, a "helyettesítő" a fájl "egészséges" része helyett "helyettesítő".

A számítógép tesztelése során az anti-vírus programok elolvassák az adatokat - fájlokat és rendszerterületeket - a merevlemezek és a lemezek segítségével operációs rendszer és BIOS. Lopakodó vírusok, vagy láthatatlan vírusok, elindítása után véletlen hozzáférési memória Számítógépes speciális modulok, a programok lefoglalása a számítógép lemez alrendszerére. Ha ez a modul észleli, hogy a felhasználói program megpróbál olvasni a fertőzött fájlt, vagy a rendszer területén a lemez, ez helyettesíti a olvasható adatok útközben, így észrevétlen marad megtévesztésével víruskereső programokat.

A lopakodó vírusok is elrejthetők a szisztémás és egyéb folyamatok folyamata formájában, ami szintén megnehezíti azokat. Az ilyen lopakodó vírusok nem láthatók az összes futás listáján, jelenleg a folyamatrendszerben.

Van egy egyszerű módja annak, hogy letiltja a lopakodó vírusok maszkolásának mechanizmusát. Elég ahhoz, hogy letöltse a számítógépet egy kiadatlan rendszer hajlékonylemezzel, és ellenőrizze a számítógépet víruskereső programmal, és nem futtatja a programokat számítógépes lemezről (lehet fertőzött). Ebben az esetben a vírus nem képes kezelni és telepíteni a rezidens modult, amely végrehajtja a lopakodó algoritmust a RAM-ban, az AntiVirus elolvassa a lemezen lévő információkat, és könnyen felismeri a "Bacillus" -t.

A legtöbb víruskereső program ellensúlyozza a lopakodó vírusok kísérleteit, hogy észrevétlenül maradjon, de annak érdekében, hogy ne hagyja őket egyetlen esélyt hagyni, mielőtt ellenőriznie kell a számítógépet, a számítógépet letölteni kell egy hajlékonylemezről az írási és víruskereső programokról. Sok víruskereső annyira sikeresen ellentétes a lopakodó vírusokkal, hogy megtalálják őket, amikor megpróbálják álruhában. Ilyen programok Olvassa el a program ellenőrzött fájljait a lemezen használt lemezről különböző módszerek - Például az operációs rendszer és a BIOS segítségével: Ha eltéréseket észlelnek, akkor a következtetés megtörtént, hogy RAM, valószínűleg lopakodás - a vírus.

Polimorf vírusok

A polimorf vírusok közé tartoznak azok, amelyeknek kimutatása lehetetlen (vagy rendkívül nehéz) az úgynevezett vírus aláírások segítségével - egy adott vírusra jellemző állandó kódszalagok. Ezt két fő módon érik el - az alapvíruskód titkosítása, amely nem állandó kulcskal és egy visszafejtési parancs véletlenszerű készletével vagy a nagyon víruskód változása. Vannak más, meglehetősen egzotikus példák a polimorfizmusra - a DOS vírus "bombázó", például titkosítatlan, de a víruskódvezérlést továbbító parancsok sorozata teljesen polimorf.

A változó komplexitás polimorfizmusa mindenféle vírusban található - a boot és a file dos vírusok a Windows vírusok és még a makró vírusok között.

A legtöbb kérdés a "polimorf vírus" kifejezéssel jár. Ez a fajta számítógépes vírusok Úgy tűnik, a legveszélyesebb ma.

A polimorf vírusok olyan vírusok, amelyek kódolják a kódot fertőzött programokban oly módon, hogy az ugyanazon vírus két példánya ne egybeesüljön semmilyen tételben.

Az ilyen vírusok nemcsak titkosítják a kódot különböző titkosítási útvonalakkal, hanem kódolási kódot és dekrinkert is tartalmaznak, amely megkülönbözteti őket a hagyományos titkosítási vírusoktól, amelyek titkosítják a kódexek részeit, de állandó titkár kódot és dekódert is tartalmazhatnak.

A polimorf vírusok vírusok önmodens dekódolókkal. Az ilyen titkosítás célja: fertőzött és eredeti fájlok Még mindig nem tudod elemezni a kódot a hagyományos szétszereléssel. Ez a kód titkosítva van, és értelmetlen parancsot tartalmaz. A dekódolást a vírus közvetlenül a végrehajtás során végzi. Ugyanakkor az opciók lehetségesek: csak azonnal megfejthetik magukat, és az ilyen dekódolást végezhetik "az ügy során", ismét titkosítani a részeket. Mindez a víruskód elemzésének nehézségére történik.

Polimorf dekóderek

A polimorf vírusok használata bonyolult algoritmusok kód generálásának az dekódereket utasítások (vagy ezekkel egyenértékű) átrendezzük a helyeken fertőzés fertőzés, hígítják semmi változó parancsokat típusú NOP, STI, CLI, STC, CLC, december használt regiszter , Xchg fel nem használt regiszterek stb. D. D.

A teljes polimorf vírusok még összetettebb algoritmusokat használnak, amelyeknek eredményeképpen a vírus dekóderben találkozhat a sub, a hozzáadás, a Xor, a ror, a rol és más önkényes mennyiségben. A kulcsok betöltését és cseréjét és más titkosítási paramétereit önkényes műveletek is végzik, amelyekben szinte minden utasítás jön. intel processzor (Add, al, teszt, xor, vagy, shl, shl, ror, mov, xchg, jnz, push, pop ...) minden lehetséges címzési móddal. A polimorf vírusok is megjelennek, dekóder, amely felhasználja utasításokat le Intel386 és 1997 nyarán, egy 32 bites polimorf vírus, megfertőzi EXE fájlok Windows95 kimutatható. Most már vannak polimorf vírusok, amelyek a modern processzorok különböző csapatait is használhatják.

Ennek eredményeképpen az ilyen vírussal fertőzött fájl elején egy értelmetlen utasítás van, és néhány teljesen működőképes kombinációkat nem vettek fel márkás szétszerelők (például C kombinációja CS: CS: vagy CS : NOP). És a "zabkása" a parancsoktól és az adatoktól alkalmanként csúszik mozog, Xor, hurok, JMP - utasítások, amelyek valóban "munkások".

Polimorfizmus szintjei

A polimorf vírusok megosztása a kód összetettségétől függően, amely a vírusok dekódolóiban található. Az ilyen felosztást először dr. .. Alan Salamon, egy míg egy míg a Vesselin Bonchev kibővítette őt.

1. szint: olyan vírusok, amelyeknek van néhány dekódolója állandó kóddal és fertőzött, az egyiket választják. Az ilyen vírusok "padló-polimorf", és az "oligomorf" (oligomorf) nevét is viselik. Példák: "Cheeba", "Szlovákia", "bálna".
2. szint: A vírus dekódolás egy vagy több állandó utasítást tartalmaz, fő része az egyértelmű.
3. szint: A decrypter fel nem használt utasításokat tartalmaz - "Trash" típusú NOP, CLI, STI stb.
4. szint: A dekódolásban a cserélhető utasításokat használják, és a megrendelés módosítása következik (keverés) utasítások. A dekódolási algoritmus nem változik.
5. szint: Az összes fenti módszert alkalmazzák, a dekódolási algoritmus nem látható, hogy újra titkosítsa a víruskódot, és a visszafejtés kódjának részleges titkosítása.
6. szint: permutáló vírusok. A vírus fő kódja megváltozik - olyan blokkokra osztható, amelyek tetszőleges sorrendben átrendeződnek. A vírus továbbra is működik. Az ilyen vírusok titkosíthatók.

A fenti megosztás nem hiányos hiányosságoktól mentes, mivel egyetlen kritériummal készül - a vírus a dekóder kódjára való felismerése a vírusmaszkok standard vételével:

1. szint: A vírus felismerése, elég több maszk

2. szint: Maszk észlelése "Wildcards" segítségével

3. szint: A maszk észlelése a "szemét" utasítások eltávolítása után

4. szint: A maszk számos lehetőséget tartalmaz a lehetséges kódokhoz, azaz Ez algoritmikus lesz
5. szint: A maszk vírus észlelésének képtelensége

Ennek a megosztásnak a kielégítését a polimorficitás 3. szintjének vírusában mutatjuk be, amelyet - "Level3" neveznek. Ez a vírus, amely az egyik legösszetettebb polimorf vírus, a fenti megosztás szerint, a 3. szintben esik, mivel a bemetszés állandó algoritmusa van, mielőtt megéri nagyszámú Csapatok "szemét". Ebben a vírusban azonban a "szemét" generációs algoritmus tökéletességre került: a végrehajtó kódjában, szinte minden utasítás az I8086 processzor találkozhat.

Ha a víruskód (emulátorok) automatikus dekódolási rendszerével a víruskód (emulátorok) automatikus dekódolási rendszerét használó víruskereső rendszert is felosztja, a szintek megosztása a víruskód emulációjának összetettségétől függ. Lehetséges a vírus és egyéb technikák kimutatása, például az elemi matematikai törvények dekódolásával stb.

Ezért számomra több objektív osztály, amelyben más paraméterek is részt vesznek a vírusmaszkok kritériumában:

A polimorf kód összetettsége (a processzor összes utasításainak százalékos aránya, amely megfelel a keretkódban)
Használjon anti-emulátor fogadásokat
A dekóder algoritmus állandósága
A dekóder hosszúsága

A végrehajtott kód megváltoztatása

Leggyakrabban a polimorfizmus hasonló módszerét makro vírusok használják, amelyek új példányaik létrehozásakor véletlenszerűen megváltoztatják változók nevét, helyezze be az üres karakterláncokat, vagy cserélje ki a kódot más módon. Így a vírus algoritmusa változatlan marad, de a víruskód szinte teljesen változik a fertőzés fertőzéséből.

Kevésbé gyakran ezt a módszert komplex indítható vírusok alkalmazzák. Az ilyen vírusokat csak a rendszerindító szektorba vezetik be, amely csak elég rövid eljárást vezet be, amely elolvassa a vírus fő kódját a lemezről, és továbbítja a vezérlőket. Az eljárás kódja több különböző opció közül van kiválasztva (amely az "üres" paranccsal is hígítható), a parancsokat egymás átrendezik, stb.

Még kevésbé gyakran, ez a vétel a fájlvírusokban található - mert teljes mértékben megváltoztatniuk kell a kódot, és erre elég összetett algoritmusokra van szükség. A mai napig csak két ilyen vírus ismert, amelyek közül az egyik ("plry") véletlenszerűen mozgatja a parancsokat a testükön, és helyettesíti őket a JMP-re vagy a hívásparancsokra. Egy másik vírus ("tmc") többet használ bonyolult módon - Minden egyes alkalommal, amikor egy fertőzés, a vírus megváltoztatja a blokkok a kód és az adatok helyenként beilleszti a „szemét”, saját assembly utasításait készlet új értékek offset adatok, megváltoztatja az állandók stb Ennek eredményeként, bár a vírus nem titkosítja a kódját, ez egy polimorf vírus - nincs állandó parancssori parancs a kódban. Továbbá, amikor új példányait hozza létre, a vírus megváltoztatja a hosszát.

A pusztító hatás vírusai

A pusztító intézkedések szerint a vírusok három csoportra oszthatók:

Információs vírusok (első generációs vírusok)

Az úgynevezett első generációs vírusok mind jelenleg létező vírusok, amelyek intézkedései az információk megsemmisítésére, módosítására vagy lopására irányulnak.

Hardver vírusok (második generációs vírusok)

Ez a fajta vírusok képesek kezelni a számítógép hardverét. Például törölje a BIOS-t, vagy elrontja, hogy megzavarja a kemény fiscause logikai szerkezetét oly módon, hogy csak akkor legyen visszaállítva alacsony szintű formázás (és nem mindig). Ennek a fajoknak az egyetlen képviselője a legveszélyesebb az összes, amit valaha létezett, Win95.CIH vírus "Chernobl". Egyszerre ez a vírus több millió számítógépet fogyatékos. Egy programot mosott a BIOS-ból, ezáltal kimutatta a számítógépet, és ugyanez elpusztította az összes információt merevlemez Szintén szinte lehetetlen visszaállítani.

Jelenleg a "vad" hardver vírusok nem észleltek. De most a szakértők megjósolják az új hasonló típusú vírusok megjelenését, amelyek befolyásolhatják a BIOS-ot. Az ilyen vírusok elleni védelmet mindegyikre tervezik alaplap Speciális jumperek, amelyek blokkolják a BIOS bejegyzését.

Pszichotróp vírusok (harmadik generációs vírusok)

Ezek a vírusok képesek megölni egy személyt, hogy monitoron vagy számítógéposzlopon keresztül befolyásolják. Bizonyos hangok reprodukálása, egy adott frekvencia vagy a különböző színek a képernyőn, a pszichotróp vírusok epilepsziás támadást okozhatnak (emberek, akik hajlamosak rá), vagy egy szívmegállót, vérzés az agyba.

Szerencsére ma nem ismert az ilyen vírusok valódi létezéséről. Sok szakértő általánosságban megkérdőjelezik a hasonló típusú vírusok létezését. De egy dolog lehet pontosan. A pszichotróp technológiákat már régóta találták meg egy személy hangon vagy képen keresztül (nem szabad összetéveszteni 25 képkockával). Az epilepsziás támadás miatt egy személy hajlamos erre nagyon egyszerű. Néhány évvel ezelőtt a hype-t néhány médiumban megszakították egy "666" nevű új vírus megjelenéséről. Ez a vírus minden 24 képkocka után különleges színkombinációt ad a képernyőn, amely képes megváltoztatni a néző létfontosságú aktivitását. Ennek eredményeképpen egy személy egy hipnotikus transz, az agy elveszti a test munkáját, amely fájdalmas állapothoz vezethet, megváltoztatja a szív működési módját, a vérnyomást és hasonlókat. De a színkombinációk ma nem tiltják a törvény. Ezért tökéletesen megjelenhetnek a képernyőkön, bár az effektusuk eredményei katasztrofálisak lehetnek mindannyiunk számára.

Egy ilyen hatás példája egy rajzfilm "Pokemon" -ként szolgálhat, miután bemutatja az egyik epizódot Japánban, több száz gyermek szörnyű fejfájással, agyhemorhage-val kórházakba került. Néhányan meghaltak. A rajzfilmben keretek voltak egy bizonyos színek palettájának fényes generációjával, szabályként ezek a piros villogok fekete háttéren egy adott sorozatban. Ezután az incidens után ezt a rajzfilmet a japán kiállításra tiltották.

Egy másik példát adhat. Mindenki biztosan emlékszik, mi történt Moszkvában után sugározza a mérkőzés a labdarúgó csapat a japán válogatott (ha nem tévedek). De nagyképernyő Mindent csak egy görgő bizonyította, mert egy denevérű ember megrázta az autót. Ez is pszichotróp hatás, látva az "emberek" görgő elkezdte elpusztítani mindent az úton és mindent.

Anyagok és adatok készültek az erőforrásokból:
http://www.stopinfection.narod.ru.
http://hackers100.narod.ru.
http://broxer.narod.ru.
http://www.viruslist.com.
http://logic-bratsk.ru.
http://www.offt.ru.
http://www.almanet.info.

A megjegyzések közzétételéhez kérjük, jelentkezzen be vagy regisztráljon

Mielőtt elkezdené írni ezt a cikket, találkoztam a hazai vírusirtó iparág egyik alapítójával Evgeny Kaspersky, aki tájékoztatott nekem néhány számot az orosz és a globális vírusirtó piac állapotáról. Én is beszéltem a híres Dialognauka Anti-Virus Company képviselőjével, a munkavégzés vezetőjével nagy ügyfelekMaxim Skida. A beszélgetésből kíváncsi tényt tanultam - kiderül, hogy az AntiVirus iparág az első évtized ünneplése.

Természetesen a víruskeresetek több mint tíz évvel ezelőtt jelentek meg. Először azonban szabad antidotumként alkalmazzák. Nem volt esedékes szolgálati támogatásMivel a projektek nonprofit voltak. Mivel a víruskereső programok létrehozásának és biztosításának iparának, az anti-vírusirtó programok létrehozása és biztosítása 1992-ben, nem korábban, és ezért hamarosan észleli az évtizedét. Tíz év az egész ipar születése és fejlesztése érdekében, több száz millió dolláros forgalma, a kifejezés nagyon kicsi. Ez idő alatt egy teljesen új piac alakult ki, a termékek bizonyos listája alakult ki, olyan új kifejezések jelentek meg, hogy elegendőek lennének egy egész enciklopédiához. Meg kell jegyezni, hogy a tapasztalatlan felhasználó néha még nehéz megkülönböztetni a tudományos kifejezést a kereskedelmi névből. Természetesen a vírusellenes programok felhasználása érdekében nem szükséges ismerni a vírusok szerkezetének és viselkedésének összes részletét, azonban olyan általános ötletekkel rendelkeznek, amelyekről ma nagyvállalkozói csoportok alakultak ki, mely elveket malware algoritmusokban és a világ és az orosz vírusirtó piacon osztva. Elég hasznos lesz széles körben az olvasók, akiknek ezt a cikket címezték.

Tíz éves fejlődés a víruskereső piac Oroszországban

Amint azt már megjegyezték, az AntiVirus piac az évtized előestéjén él. 1992-ben alakult ki, hogy létrehozták a "Dialogenukk" -t, amely elkezdte aktívan támogatni a Lozinsky Aidstest híres programjának hazai piacát; Ettől kezdve az AIDSTEST kereskedelmi alapon elterjedt. Körülbelül ugyanakkor Evgeny Kaspersky Kami keretén belül kiskereskedelmi osztályt szervez, amelyben három ember kezdetben dolgozott. 1992-ben az amerikai piac gyorsan meghódítja a McAfee Virusscan programot. Oroszországban a piacot meglehetősen lassan fejlesztették ki, és legalább 1994-ben (1. ábra), a kép a következőképpen nézett körül: Dialognaucke (kb. 80%) volt az erőfölény, a Kaspersky Anti-Vírus az 5% -nál kevesebb volt Piac, minden más - a piac további 15% -a. 1995-ben Evgeny Kaspersky elhalasztotta víruskeresője a 32 bites Intel platformok Windows, Novell Netware és OS / 2, eredményeként a termék aktívan mozoghat a piacra.

A kettős célú programok a viselkedési blokkok, amelyek elemzik a többi program viselkedését, és a gyanús cselekedetek blokkolják.

A klasszikus vírusirtől az anti-vírus mag, a "felismerés" és a vírusoktól való részvétel, amelyet a laboratóriumban elemeztek, és amelyhez a kezelési algoritmust regisztrálták, a viselkedési blokkok nem képesek kezelni a vírusoktól, mert nem tudnak semmit róluk. Ez a blokkok tulajdonságai hasznosak abban, hogy bármilyen vírussal dolgozhatnak, beleértve az ismeretleneket is. Ez ma különösen fontos, mivel a vírusok és víruskeresők forgalmazói ugyanazokat az adatcsatornákat használják, azaz az interneten. Ugyanakkor a vírusnak mindig van néhány esélye (késleltetési idő), mivel a víruskereső cégnek mindig időre van szüksége ahhoz, hogy megkapja a vírust, elemezze és írja be a megfelelő terápiás modulokat. A kettős célú csoportból származó programok csak lehetővé tegyék, hogy blokkolja a vírus terjedését, amíg a cég írja a terápiás modult.

Algoritmus "checksum"

Az ellenőrző összeg algoritmusa feltételezi, hogy a vírus cselekedetei megváltoztatják az ellenőrzőt. A két különböző szegmensben lévő szinkron változások azonban azt eredményezhetik, hogy ellenőrizze az összeget A fájl megváltoztatásakor változatlan marad. Az algoritmus létrehozásának fő feladata az, hogy módosítsa a garantált fájlt, hogy megváltoztassa az ellenőrzést.

Polimorf vírusok meghatározására szolgáló módszerek

Ábrán. A 6. ábra a vírussal fertőzött program működését mutatja, és egy titkosított vírussal fertőzött programot (B). Az első esetben a vírus diagramja az alábbiak szerint működik: a program fut, egy bizonyos ponton a víruskód megkezdődik, majd a program újra végrehajtásra kerül. Titkosított program esetében minden bonyolultabb.

A program fut, majd a dekóder szerepel, amely dekódolja a vírust, majd végrehajtja a vírust, és ismét követi a főprogram kódolójának végrehajtását. A víruskód minden esetben másképp titkosítva van. Ha egy nem tudott vírus esetében a referencia-összehasonlítás lehetővé teszi, hogy "megtudja" a vírust egy bizonyos állandó aláírás mentén, akkor a titkosított formában az aláírás nem látható. Ugyanakkor szinte lehetetlen keresni egy dekódert, mert nagyon kicsi és érzékeli az ilyen kompakt elemet haszontalan, mert a hamis pozitívumok száma drámaian nő.

Mielőtt elkezdené írni ezt a cikket, találkoztam a hazai vírusirtó iparág egyik alapítójával Evgeny Kaspersky, aki tájékoztatott nekem néhány számot az orosz és a globális vírusirtó piac állapotáról. Én is beszéltem a híres Dialognauca Anti-Virus Company képviselőjével, a munkakezelővel, a maximális csúszkával. A beszélgetésből kíváncsi tényt tanultam - kiderül, hogy az AntiVirus iparág az első évtized ünneplése.

Természetesen a víruskeresetek több mint tíz évvel ezelőtt jelentek meg. Először azonban szabad antidotumként alkalmazzák. A szolgáltatás számára nem volt megfelelő támogatás, mivel a projektek nem kereskedelmi jellegűek voltak. Mivel a víruskereső programok létrehozásának és biztosításának iparának, az anti-vírusirtó programok létrehozása és biztosítása 1992-ben, nem korábban, és ezért hamarosan észleli az évtizedét. Tíz év az egész ipar születése és fejlesztése érdekében, több száz millió dolláros forgalma, a kifejezés nagyon kicsi. Ez idő alatt egy teljesen új piac alakult ki, a termékek bizonyos listája alakult ki, olyan új kifejezések jelentek meg, hogy elegendőek lennének egy egész enciklopédiához. Meg kell jegyezni, hogy a tapasztalatlan felhasználó néha még nehéz megkülönböztetni a tudományos kifejezést a kereskedelmi névből. Természetesen a vírusellenes programok felhasználása érdekében nem szükséges ismerni a vírusok szerkezetének és viselkedésének összes részletét, azonban olyan általános ötletekkel rendelkeznek, amelyekről ma nagyvállalkozói csoportok alakultak ki, mely elveket malware algoritmusokban és a világ és az orosz vírusirtó piacon osztva. Hasznos lesz az olvasók széles skálájára, amelyekre ezt a cikket címezték.

Tíz éves fejlődés a víruskereső piac Oroszországban

A kettős célú programok a viselkedési blokkok, amelyek elemzik a többi program viselkedését, és a gyanús cselekedetek blokkolják.

Algoritmus "checksum"

Az ellenőrző összeg algoritmusa feltételezi, hogy a vírus cselekedetei megváltoztatják az ellenőrzőt. Azonban a két különböző szegmensben lévő szinkron változások azért vezethetnek, hogy az ellenőrző összeg változatlan marad, ha a fájl megváltozik. Az algoritmus létrehozásának fő feladata az, hogy módosítsa a garantált fájlt, hogy megváltoztassa az ellenőrzést.

Polimorf vírusok meghatározására szolgáló módszerek

Valójában a makrovírusok nem független "fajok", hanem csak egy nagyszerű rosszindulatú programok fajtái - szkript vírusok. Elkülönítve van, kivéve, ha makrovírus volt, amely a család kezdetét jelezte, a vírusok "élesített" alatt microsoft programok Az iroda a legnagyobb elosztást kapta az egész klánból. Azt is meg kell jegyezni, hogy a szkript vírusok a fájlvírusok alcsoportjai. Ezek a vírusok különböző szkript nyelveken vannak írva (VBS, JS, BAT, PHP stb.).

A szkript vírusok általános jellemzője kötelező az egyik "beépített" programozási nyelvhez. Minden vírus egy adott "lyukhoz" kapcsolódik az egyik védelemben windows programok És ez nem önálló program, hanem olyan utasítások sorozata, amelyek általánosan ártalmatlan "motor" programot kényszerítenek, hogy ne pusztító akciót végezzenek.

Mint szó dokumentumok esetében, a firmware (szkriptek, java-appletek stb.) Használata nem bűncselekmény, - a legtöbbjük elég békésen működik, így az oldal vonzóbbá vagy kényelmesebbé teszi az oldalt. Csevegés, vendégkönyv, szavazó rendszer, számláló - Mindezek a kényezők A firmware-"szkriptek" által igényelnek. Ami a Java applets-t illeti, az oldalon található jelenlétük is ésszerű - lehetővé teszi például egy kényelmes és funkcionális menüt, amely kibontakozik az egér kurzor alatt ...

Felszereltség, de ne felejtsük el, mindezen appletek és szkriptek a leginkább igazi, teljes körű programok. És sokan elindulnak, és nem dolgoznak valahol ott, egy ismeretlen szerveren, de közvetlenül a számítógépen! És a vírus kötődésével az oldalkészítők képesek lesznek elérni a merevlemez tartalmát. A következmények már ismertek - a jelszó egyszerű tárolásától kemény formázás korong.

Természetesen a "Killer Scripts" -val kevesebbször is kevesebbet kell szembesülnie, mint a hétköznapi vírusokkal. By the way, kevés remény van a hétköznapi víruskeresők ebben az esetben, azonban a rosszindulatú program megnyílik az oldalt, amely meg kell oldani a böngésző védelmét, amelyek alkotói jól ismerik az ilyen dolgokat.

Visszatérzünk egy percre az Internet Explorer beállításaihoz, nevezetesen a menüben Szerviz / Observer tulajdonságok / biztonság. Az Internet Explorer számos biztonsági szintet kínál. A szabványos védelmi szint mellett (zóna) az internet) Megerősíthetjük (zóna) Határ) vagy gyengíti az éberségét (zóna) Megbízható csomók ). nyomja meg a gombot EgyébManuálisan beállíthatjuk a böngésző védelmét.

Azonban a legtöbb szkript vírus kiterjed e-mailben (az ilyen vírusokat gyakrabban hívják "internetes férgek"). Talán a család legfényesebb képviselői vírusok Szerelmes levél. és Anna. Kournikova.Ezeknek a támadásoknak a támadásai 2001-2002-es szezonra kerültek mindkét vírust ugyanazon felvétele, nemcsak az operációs rendszer gyenge védelmére, hanem a felhasználók naivencsére is.

Emlékeztetünk arra, hogy a vírusok fuvarozói a legtöbb esetben üzenetek emailbeágyazott fájlokat tartalmaz. Ne feledje, hogy a vírus behatolhat a számítógépen keresztül, akár programokon keresztül (futtatható fájlok a * .exe, * .com kiterjesztéssel), vagy a Microsoft Office Dokumentumokon keresztül. Emlékszünk arra, hogy a képek vagy a hangfájlok oldalánál nem szeretnénk fenyegetni. És ezért az exkavátor váratlanul postafiók A csatolt levél (a fájl és a bővítés nevének megítélése) kép, azonnal indítsa el vele ... és felfedezzük, a rosszindulatú vírusos "szkript" a kép alatt rejtőzködött. Jó, hogy azonnal felfedezzük, és nem azután, hogy a vírus sikerült teljesen elpusztítani az összes adatot.

A vírus alkotói ravaszsága egyszerű - az a fájl, amely a képen, kettős kiterjesztés volt! Például, Annakournikova.. jpg.. vBS.

Ez a második terjeszkedés, és az igazi típusú fájl, míg az első csak része a nevének. És mivel a VBS Windows kiterjesztése jól megismerhető, ő már nem gondolkodik, elrejti a felhasználók szemétől, és csak a képernyőn lévő nevet hagyja Annakournikova.. jpg.

És a Windows beírja az összes regisztrált fájltípusokat: a felbontás eldobjuk, és a fájl típusát fel kell tüntetni a ikonra. Melyik, sajnos, ritkán figyeljünk.

A csapda jó, de könnyebb megkülönböztetni könnyebbé: A "kettős kiterjesztés" fókusza nem halad át, ha előre aktiváljuk a fájltípusok megjelenítését. Megteszed a menü használatával Mappa tulajdonságai a VezérlőpanelekWindows: Kattintson erre az ikonra, majd nyissa meg a könyvjelzőt Kilátás és távolítsa el a jelölőnégyzetet a vonalról Bővítmények elrejtése a regisztrált fájltípusokhoz.

Emlékezik: "Mellékletként", csak többféle fájl engedélyezett a levélben. Viszonylag biztonságos TXT, JPG, GIF, TIF, BMP, MP3, WMA fájlok.

De a lista feltétel nélkül van veszélyes Fájl típusok:

Valójában a "vírusok" listája még nem tartalmaz egy tucat fájltípust. De ezek gyakrabban találhatók.

Nemrég történt, hogy működjön együtt a divatos most a forgatókönyvet, hogy vonzzák előfizetők miatt a vírus hatása.

Az ötlet a szkript a zseniális egyszerű. Az előfizetőket vonzza, és inkább finom zsemlapot kapsz. De úgy döntöttem, hogy egy kis szkriptet módosítom, hogy még nagyobb hatással legyen.

A cikk kódja és természetesen az innovációk bemutatása.

Tetszett, hogy a script bármely hírlevélről működik. Anélkül, hogy elvégezné az Smartrodeder-et, amely kezdetben élesedik.

Hotly Oleg szolgáltatást használtam, Justclick. Most gyorsan fejlődik és teljesen ingyenes, ha nem végzi el az értékesítést. Nem teszi lehetővé az előfizetői azonosítót, ezért az Affiliate Link helyett az e-mailt használtunk.

Ezért az első innováció történt.

Adjon hozzá egy rövid linket

Másodszor, nem mindenki meg akarja ragyogni az e-mailedet. Harmadszor, egy rövid kapcsolat kényelmesebb. És végül, negyedik, a postai cím használata az azonosító szerepében, egyes szocialisták helytelenül kezelik a linket.

Például a Twitter nem érti, hol lehet a Diabert Symbol (@) az oldal címében és a link szünetekben történhet.

Ezért a legegyszerűbb és legkényelmesebb megoldás, ha az API az egyik linkeket, hogy csökkentsék kapcsolatokat, és ezáltal a rövid linkek a gépen. A Tinyurl.com segítségével könnyen kezelhető, amely lehetővé teszi, hogy rövidített linket kapjon a szokásos módon.

Tehát helyezze be a funkciót a kódba.

funkció GetTinyurl ($ URL)
{
$ Tinyurl \u003d file_get_contents ("http://tinyurl.com/api-create.php?url\u003d" $ URL);
Vissza $ tinyurl;
}

Csak egy funkciót okozhat ($ tinyurl \u003d gettininyurl ($ link)) és helyettesítő új hivatkozás a megfelelő helyeken.

Növelje a hatékonyságot a partnerek miatt

Nemcsak a vírus elindítását akartam, hanem növeli annak hatását is. Ezért úgy döntöttem, hogy ötvözzem a vírusos és affiliate forgalmat. A feldolgozás ingyenes előfizetőkkel, ingyenes előfizetők tanultak a partnerek munkájában.

A korábbi partnereknek nem volt értelme új előfizetőket adni, mivel csak az értékesítésből kapnak juttatást. És az adatbázis bármilyen módon növekszik. Éppen ellenkezőleg, a partnerek még nem nyereségesek a vírus elterjedéséhez, ahogy a kenyeret veszi.

Most a partner előnyös a vírus terjesztésére. Végtére is, ha a vírus az affiliate linken keresztül fut, akkor az összes későbbi kapcsolat partnerek is lesznek.

Ez az, hogy hírlevelet készíthet a saját bázisodra (vagy reklámozásra), és javaslatot adhat az oldalra az oldalra. És minden későbbi felhasználó lesz a referrals, mivel a szkript elosztja az affiliate linket.

Röviden, a vírus segítségével hatalmas számú hivatkozást nyerhet, a későbbi eladások, amelyekkel megkapja a jutalékot. A partnerségi cookie-k általában legalább egy évig élnek.

Hogyan kell csinálni? Nagyon egyszerű. Megmutatom a szolgáltatás példáján, amellyel dolgoztam. Ez az e-autopay valószínűleg az értékesítési és affiliate program szervezésének legolcsóbb verziója.

V.hacess fájl a webhelyének gyökerében Adjon hozzá egy partnerazonosítót a Get paraméterhez.

Újraírja.
Rewriterule ^ (+) $ http: //$1.id .e-autopay.com Partner \u003d $ 1
Rewriterule ^ (+) / (+) $ http: //$2.$1.id .e-autopay.com Partner \u003d $ 1

A piros olyan rész, amely az Ön számára változik. És a rész kiemeli a szokásos állapothoz hozzáadott részét.

Ezután a cookie_set.php fájlban a partner paraméterét továbbítjuk.

IF (BETSET ($ _ get ['Partner']) &&! Üres ($ _ get ['Partner']))
{
SETCHOOKIE ("PARTNER", $ _GET ["PARTNER"], idő () + 9999999);
}

És az ingyenes előfizetők script index.php-ben a linkek létrehozásának feltétele:

ha ($ _ cookie ["partner"]) &&! Üres ($ _ cookie ["partner"])) (
$ Link \u003d "http: //". $ _Server ["http_host"]. "/". $ _Cookie ["Partner"]. "? ID \u003d". $ Azonosító;
}
MÁS (
$ Link \u003d link_subscribe. "? ID \u003d". $ Azonosító;
}

Az új linket nem szabad elfelejteni az összes olyan helyen, ahol szükséges. És ne felejtsük el a levelek küldésének formáját. Ott hozzá kell adnod egy rejtett mezőt egy partnerazonosítóval, és a kezelőben be kell illeszteni a hivatkozást a hivatkozásra.

Példa

Milyen példa nélkül? Természetesen ő. Végtére is, nem gondolok a fejezetből származó cikkekről, de a gyakorlatból veszem őket. A parancsfájl által javított parancsfájlot kampány elindítására használták