Scripturi decât periculoase. Pompați un script viral pentru un set de abonați gratuit

Macro Virusuri (Macro Virusuri) sunt limbi (macro-limbă) încorporate în unele sisteme de prelucrare a datelor (editori de text, foi de calcul etc.), precum și limbi de script, cum ar fi VBA (Visual Basic pentru aplicații), JS (Java Script). Pentru reproducerea sa, astfel de viruși utilizează capabilitățile macrovolelor și cu ajutorul lor se transferă dintr-un dosar infectat (document sau tabel) altor persoane. Virușii macro au primit cea mai mare distribuție pentru Microsoft Office.. Există, de asemenea, viruși macro care infectează documentele și bazele de date AMI Pro. Pentru existența virusurilor într-un anumit sistem (editor), este necesar să se construiască o limbă macro-in-in-in capabilitati:

1. programe de legare pe macro-limbă la un anumit dosar;
2. Copiați macroprogramele de la un dosar la altul;
3. Abilitatea de a primi un program macro fără intervenție utilizator (macrocomenzi automate sau standard).

Aceste condiții satisfac editorii Microsoft Word., Office și AmiPro, precum și o foaie de calcul Excel și bază datele Microsoft. Acces. Aceste sisteme conțin limbi de macro: cuvânt - cuvânt de bază; Excel, Access - VBA. În care:

1. Macrogramele sunt legate de un fișier specific (AmiPro) sau sunt în interiorul fișierului (Word, Excel, Access);
2. Macro-Language vă permite să copiați fișierele (Amiipro) sau să mutați macrogramele la fișierele de service de sistem și fișierele editabile (Word, Excel);
3. Când lucrați cu un fișier în anumite condiții (deschidere, închidere etc.), programele macro sunt numite (dacă există), care sunt definite într-un mod special (AmiPro) sau au nume standard (Word, Excel).

Această caracteristică macro-limbă este destinată procesării automate a datelor în organizații mari sau în rețele globale și vă permite să organizați așa-numitul "gestionare automată a documentelor". Pe de altă parte, capacitățile de macro-limbă, astfel de sisteme permit virusul să-și transfere codul la alte fișiere și să le infecteze astfel. Virușii primesc controlul la deschiderea sau închiderea unui fișier infectat, interceptați funcțiile de fișiere standard și apoi infectați fișierele la care în orice mod recurs. Prin analogie cu MS-DOS, putem spune că majoritatea virușilor macro sunt rezidenți: sunt activi nu numai la momentul deschiderii / închiderii fișierului, dar atâta timp cât editorul în sine este activ.

Word / Excel / Office Virus: Informații generale

Localizarea fizică a virusului în interiorul fișierului depinde de formatul său, care, în cazul produselor Microsoft, este extrem de complicat - fiecare fișier cuvânt, tabelul Excel este o secvență de blocuri de date (fiecare dintre acestea având și propriul format), combinat cu un număr mare de date de serviciu. Acest format se numește OLE2 - Legarea și încorporarea obiectului.

Structura fișierului, Excel și Office (OLE2) seamănă cu un sistem complicat de fișiere al discurilor: "Directorul rădăcină" al fișierului sau tabelului de documente indică principalele subdirectoare ale diferitelor blocuri de date, mai multe tabele de grăsime conțin informații despre locația blocuri de date în document etc. Mai mult, sistemul Binder Binder care susține standardele Word și Excel vă permite să creați fișiere care conțin simultan unul sau mai multe documente în format Word și unul sau mai multe tabele din formatul Excel.. În același timp, virușii de cuvinte sunt capabili să atingă documentele Word, iar virușii Excel sunt mese excelente și toate acestea sunt posibile în interiorul unuia fișier disc.. Același lucru este valabil și pentru birou. Majoritatea virușilor bine-cunoscuți pentru cuvânt sunt incompatibile cu versiunile naționale (inclusiv rusești) ale cuvântului sau viceversa - sunt concepute doar pentru versiunile de cuvinte localizate și nu funcționează sub versiunea în limba engleză. Cu toate acestea, virusul din document rămâne activ și poate infecta alte computere cu versiunea corespunzătoare a cuvântului instalat pe ele. Virușii de cuvânt pot infecta computerele oricărei clase. Infecția este posibilă dacă editorul de text este instalat pe acest computer, complet compatibil cu Microsoft Word versiunea 6 sau 7 sau mai mare (de exemplu, MS Word pentru Macintosh).

Același lucru este valabil și pentru Excel și Office. De asemenea, trebuie remarcat faptul că complexitatea formatelor de documente Word, tabelele Excel și în special a biroului are următoarea caracteristică: în fișierele și tabelele de fișiere sunt blocuri de date "inutile", adică. Datele care nu sunt legate de textul sau tabelele editabile sunt discutate aleatoriu acolo cu copii ale altor date despre fișiere. Cauza unor astfel de blocuri de date este organizarea datelor de cluster în documentele și tabelele OLE2 - chiar dacă este introdus doar un singur simbol text, atunci unul sau mai multe clustere de date sunt alocate. La salvarea documentelor și a tabelelor în clustere care nu sunt umplute cu date "utile" rămân "gunoi", care intră în fișierul cu alte date. Numărul de "gunoi" în fișiere poate fi redus prin anularea cuvântului / Excel "Permiteți elementul de configurare Fast Save", dar reduce doar numărul total de "gunoi", dar nu îl elimină complet. Consecința acestui fapt este faptul că atunci când editați un document, mărimea acestuia se schimbă, indiferent de acțiunile produse cu acesta - atunci când adăugați un text nou, dimensiunea fișierului poate scădea, iar când partea textului este șters, este posibilă a creste.

Același lucru cu virușii macro: Când fișierul infectat, dimensiunea sa poate scădea, crește sau rămâne neschimbată. De asemenea, trebuie remarcat faptul că unele versiuni ale lui Ole2.dll conțin un mic defecte, ca rezultat al căreia lucram cu documente cuvânt., Excel și mai ales Biroul din blocurile "gunoi" pot obține date aleatorii de pe disc, inclusiv confidențiale ( fișiere la distanță., cataloage etc.). Aceste blocuri pot obține și echipele de virus. Ca urmare, după tratamentul documentelor infectate, codul virus activ este eliminat din fișier, dar o parte din comenzile sale poate rămâne în blocurile "gunoi". Astfel de urme de prezență a virusului sunt uneori vizibile cu editori de text Și chiar poate provoca reacția unor programe antivirus. Cu toate acestea, aceste rămășițe de virus sunt complet inofensive: Cuvântul și Excel nu le acordă nici o atenție.

Word / Excel / Office Virus: principii de lucru

Când lucrați cu un document Word, 6 și 7 sau mai mare efectuează diferite acțiuni: deschide documentul, economisește, imprimă, închidere etc. În același timp, cuvântul caută și efectuează "macrocomenzii încorporate" - Când salvați un fișier pe comanda File / Save, se numește Macro FileSave, salvând comanda File / Saveas - FileSaveas, când imprimați documente - Fișier, etc, dacă, desigur, sunt definite astfel de macrocomenzi. Există, de asemenea, mai multe "auto-macrocomenzi", cauzate automat în condiții diferite. De exemplu, atunci când deschideți un document Word verifică macroul autoopen. Dacă un astfel de macro este prezent, atunci cuvântul o interpretează. La închiderea documentului cuvântului execută macroul autoclozei, Macro-ul Autoexec se numește atunci când cuvântul este pornit, la finalizarea operației - Autoexit, la crearea unui nou document - Autonew.

Mecanisme similare (dar cu alte macrocomenzi și funcții) sunt utilizate în Excel / Office, în care rolul macrocomenzilor auto și încorporate efectuează funcții auto și încorporate care sunt prezente în orice macro sau macrocomenzi, iar mai multe embedded pot fi prezente într-o singură macro. și funcții auto. Automat (adică fără participare la utilizator), se efectuează, de asemenea, macrocomenzi / funcții, asociate cu orice cheie sau dată sau dată, adică. Word / Excel provoacă o macro / funcție atunci când apăsați orice tastă specifică (sau o combinație de taste) sau când se ajunge la orice moment. În funcție, capacitatea de a intercepta evenimentele este oarecum extinsă, dar principiul este folosit la fel.

Macro-virușii care afectează fișierele Word, Excel sau Office sunt de obicei utilizate de una dintre cele trei metode enumerate mai sus - în virus sau există o auto-macro (funcția auto) sau una dintre macrocomenzile standard (asociate cu a Elementul de meniu) este supraezisded sau macroul de virus este numit automat când faceți clic pe orice legătură sau combinație de taste. Există, de asemenea, semi-viruși care nu utilizează toate aceste tehnici și se înmulțesc numai atunci când utilizatorul le lansează independent pentru a executa. Astfel, dacă documentul este infectat, la deschiderea unui document Word, o macrocomandă automată automată infectată (sau autocloza la închiderea unui document) și, astfel, pornește codul virusului, dacă acest lucru nu este interzis de variabila de sistem dezactivată. Dacă virusul conține macrocomenzi cu nume standard, aceștia primesc controlul atunci când sunați la elementul de meniu corespunzător (fișier / deschis, fișier / închidere, fișier / Saveas). Dacă orice simbol de tastatură este suprascris, virusul este activat numai după apăsarea tastei corespunzătoare.

Majoritatea virușilor macro conțin toate funcțiile lor sub formă de macrocomenzi standard / Excel / Office. Există totuși viruși care utilizează recepții de ascundere a codului lor și stocându-și codul sub formă de macrocomenzi. Există trei astfel de recepții, toate utilizează capacitatea de a crea, edita și executa alte macrocomenzi. De regulă, virușii similare au un mic macro mic (uneori polimorfe) al virusului, ceea ce determină editorul macro încorporat, creează un nou macro, îl umple cu codul de bază al virusului, efectuează și apoi, de regulă, distruge (pentru a ascunde urmele prezenței virusului). Codul principal al unor astfel de virusuri este prezent fie în macroul virusului în sine sub forma de șiruri de text (uneori criptate), fie depozitate în variabilele de documente sau în zona de text auto.

Algoritm. cuvânt de lucru. Macro-Virusuri

Majoritatea virușilor de cuvinte bine cunoscute au început să transfere codul (macrocomenzi) în zona de macrocomenzi de documente globale ("General" Macros), pentru aceasta utilizează comenzi macrocopie macrocopie, organizator.copy macros sau folosind editorul macro - Virusul îl determină, creează un nou macro, introduce codul său în ea, ceea ce economisește în document. Când ieșiți din Word macrocomenzile globale (inclusiv macrocomenzele virusului) sunt înregistrate automat într-un fișier dot al macrocomenzilor globale (de obicei, fișierul este normal.dot). Astfel, data viitoare când începeți mS-Word Editor Virusul este activat în momentul în care WinWord navează macrocomenzile globale, adică. Imediat. Apoi, virusul redefinește (sau conține deja în sine) unul sau mai multe macro-uri standard (de exemplu, FileOpen, FileSave, Fundsaveas, Fileprint) și interceptări, astfel încât comenzile pentru a lucra cu fișierele. Când numiți aceste comenzi, virusul infectează fișierul la care este recursul. Pentru aceasta, virusul convertește fișierul în formatul șablonului (ceea ce face imposibilă modificarea în continuare a formatului de fișier, adică convertirea în orice format de șablon) și înregistrează macrocomenzile la fișier, inclusiv Auto Macro. Astfel, dacă virusul interceptează Macro FirSaveas, atunci fiecare fișier DOC este infectat, salvat prin macro interceptat de virus. Dacă se interceptează macroul FileoPen, virusul este scris în fișier când îl citiți de pe disc.

A doua modalitate de a implementa virusul este folosită mult mai rar - se bazează pe așa-numitele fișiere "add-in", adică. Fișiere care sunt add-on-uri de serviciu la cuvânt. În acest caz, normal.dot nu se schimbă și cuvântul, la pornire, încărcați macrocomenzile de virus din fișierul (sau fișierele) definite ca "add-in". Această metodă se repetă aproape complet infecția macrocomenzilor globale, cu excepția faptului că macrocomenzile virusului nu sunt stocate în normal.dot, ci în orice alt fișier. De asemenea, este posibilă implementarea virusului la fișierele situate în directorul de pornire - Word încărcați automat fișierele-șabloane din acest catalog, dar astfel de viruși nu s-au întâlnit încă. Metodele discutate mai sus sunt un analog al virusurilor DOS rezidente. Analogul nerezident sunt viruși macro care nu tolerează codul lor în zona Macros Macros - pentru a infecta alte fișiere de documente, fie că le caută utilizând fișiere încorporate în cuvânt sau se referă la lista ultimelor fișiere editate (utilizate recent Listă de fișiere). Apoi, astfel de viruși deschid un document, infectează-o și închise.

Excel algoritm macro virusuri

Metodele de reproducere a virusului Excel sunt, în general, similare cu metodele de virus de cuvinte. Diferențele trebuie să copieze macrocomenzi (de exemplu, foile.Copy) și în absența normal.dot - funcția sa (într-un sens viral) Execută fișiere în directorul de pornire Excel. Trebuie remarcat faptul că există două opțiuni posibile pentru localizarea virușilor macro mese Excel.. Majoritatea covârșitoare a unor astfel de viruși înregistrează codul lor în format VBA (Visual Basic pentru aplicații), cu toate acestea, există viruși care stochează codul în vechiul format Versiunea 4.0. Astfel de viruși nu diferă în esență de la virușii VBA, cu excepția diferențelor în formatul de locație al codurilor de virus din tabelele Excel. În ciuda faptului că, în noile versiuni ale Excel (din versiunea 5), \u200b\u200bsunt folosite mai multe tehnologii avansate, capacitatea de a executa macrocomenzi de versiuni vechi Excel a fost lăsată să mențină compatibilitatea. Din acest motiv, toate macrocomenzile scrise în format Excel 4 sunt pe deplin câștigate în toate versiunile ulterioare, în ciuda faptului că Microsoft nu recomandă utilizarea acestora și nu include documentația necesară pentru livrarea lui Excel.

Algoritmul virusului pentru acces

Întrucât accesul face parte din pachetul Office Pro, atunci accesul virusurilor sunt aceleași macrocomenzi în Visual Basic, ca și alte virusuri care infectează aplicațiile de birou. Cu toate acestea, în acest caz, în loc de auto-macrocomenzi, sistemul conține scripturi automate care sunt numite de sistem la diverse evenimente (de exemplu, Autoexec). Aceste scripturi pot provoca apoi diverse macroprograme. Astfel, când infectează bazele accesați datele Virusul trebuie înlocuit cu orice script auto și copiați macrocomenzile la baza contaminată. Infecția scripturilor fără macrocomenzi nu este posibilă, deoarece limba scriptului este destul de primitivă și nu conține funcțiile necesare pentru acest lucru.

Trebuie remarcat faptul că, în ceea ce privește accesul, s-au numit macrocomenzi (macro), și macro-urile (modulul), totuși, terminologia unificată va fi utilizată - script-uri și macrocomenzi. Tratamentul bazei de date de acces este o sarcină mai complexă decât eliminarea altor virusuri macro, deoarece, în cazul accesului, este necesar să negociezi nu numai macrocomenzi virale, ci și scripturi auto. Și atât de multe dintre lucrările de acces este atribuită scripturilor și macrocomenzilor, îndepărtarea incorectă sau dezactivarea oricărui element poate duce la imposibilitatea operațiunilor cu baza de date. Același lucru și pentru viruși - înlocuirea incorectă a scripturilor auto poate duce la pierderea datelor stocate în baza de date.

Amipro-virusuri

Când lucrați cu orice document, editorul Amipro creează două fișiere - direct textul documentului (cu extensia numelui SAM) și un fișier suplimentar care conține macrocomenzile documentului și, eventual, alte informații (nume - SMM). Formatul ambelor fișiere este destul de simplu - ele sunt un fișier text obișnuit, în care ambele comenzi de text și control sunt prezente sub formă de șiruri de text convenționale. Documentul poate fi pus în linie cu un macro din fișierul SMM (comanda AssignMacrofile). Acest macro este un analog al Autoopen și AutoCloze în MS Word și este numit de editorul AMIPRO la deschiderea sau închiderea unui fișier. Aparent, în amipro nu există posibilitatea de a plasa macrocomenzi în zona "generală", astfel încât virușii pentru AmiPRO pot infecta sistemul numai la deschiderea unui fișier infectat, dar nu la încărcarea sistemului, așa cum se întâmplă cu MS-Word după infectarea fișierul normal.dot. La fel ca MS Word, AmiPro vă permite să depășiți macrocomenzi de sistem (de exemplu, Saveas, salvare) cu comanda de schimbare. La apelarea funcțiilor excesive (comenzi de meniu), controlul este obținut prin macro-uri infectate, adică Cod de virus.

Virusuri stealth

Reprezentanții acestei clase utilizează diverse mijloace pentru a masca prezența lor în sistem. Acest lucru este de obicei realizat prin interceptarea unui număr de funcții de sistem responsabile pentru lucrul cu fișierele. Stels - Tehnologia face imposibilă detectarea virusului fără un set de instrumente special. Măștile de virus și cresc lungimea obiectului afectat (fișier) și corpul său în ea, "substituirea" în loc de o parte "sănătoasă" a fișierului.

În timpul testului computerului, programele anti-virus Citiți datele - fișierele și zonele de sistem - de la hard disk-uri și dischete care utilizează mijloace sistem de operare și BIOS. Stealth - viruși sau viruși invizibili, după lansarea concediului memorie cu acces aleator Module speciale de calculator, interceptarea programelor la subsistemul de disc al computerului. Dacă acest modul detectează că programul de utilizator încearcă să citească fișierul infectat sau zona de sistem a discului, acesta înlocuiește datele citite din mișcare și, astfel, rămân neobservate prin înșelăcirea programelor antivirus.

De asemenea, stealth - virușii se pot ascunde sub formă de fluxuri în procese sistemice și alte procese, ceea ce face dificilă identificarea acestora. Astfel de virusuri stealth nu pot fi văzute nici măcar în lista tuturor funcționării, în acest moment, în sistemul de proces.

Există o modalitate simplă de a dezactiva mecanismul de mascare a stealth-virusurilor. Este suficient să descărcați computerul cu o dischetă de sistem nelegiuită și să verificați computerul cu un program antivirus, să nu executați programe de pe un disc pe computer (pot fi infectate). În acest caz, virusul nu va putea gestiona și instala un modul rezident care implementează algoritmul stealth din memoria RAM, antivirusul va citi informațiile într-adevăr înregistrate pe disc și vor detecta cu ușurință "Bacillus".

Majoritatea programelor antivirus contracarează încercările virușilor stealth să rămână neobservate, dar pentru a nu le lăsa o singură șansă, înainte de a verifica computerul, calculatorul ar trebui să fie descărcat de la o dischetă pentru a scrie și programe antivirus. Multe antivirusuri sunt atât de cu succes ale lui Stealth - viruși pe care le găsesc atunci când încearcă să deghizeze. Astfel de programe citesc fișierele verificate ale programului de pe disc utilizând pentru mai multe diverse metode - De exemplu, utilizând sistemul de operare și prin BIOS: Dacă sunt detectate discrepanțe, atunci concluzia se face ca în memoria RAM, este probabil să fie stealth - virusul.

Virusuri polimorfe

Virusurile polimorfe includ cele din care detectarea este imposibilă (sau extrem de dificilă) cu ajutorul așa-numitelor semnături virale - secțiuni ale unui cod constant specific unui anumit virus. Acest lucru se realizează prin două moduri principale - criptarea codului de bază al virusului cu o cheie non-permanentă și un set aleatoriu de comandă de decryr sau o schimbare în codul foarte virus. Există, de asemenea, alte exemple de polimorfism destul de exotice - virusul DOS "Bomber", de exemplu, necriptat, dar secvența de comenzi care transmite controlul codului de virus este complet polimorfic.

Polimorfismul diferitelor grade de complexitate se găsește în toate tipurile de viruși - de la viruși de boot și de fișiere la virușii de ferestre și chiar macro-virusuri.

Majoritatea problemelor sunt asociate cu termenul "virus polimorf". Acest fel virusuri de calculator Se pare cel mai periculos astăzi.

Virusurile polimorfe sunt viruși care își modifică codul în programele infectate astfel încât două cazuri de același virus să nu coincide în nici un lot.

Astfel de viruși nu numai că criptează codul folosind diferite căi de criptare, dar conțin și codul de generare a codului și decrryr, care le distinge de virusurile de criptare convenționale, care pot, de asemenea, să cripteze secțiunile codului lor, dar au un cod permanent de criptare și un decodor.

Virusurile polimorfe sunt viruși cu decriptori auto-modificați. Scopul unei astfel de criptare: având un infectat și fișiere originale Încă nu veți putea să analizați codul său folosind dezasamblarea convențională. Acest cod este criptat și este un set de comenzi fără sens. Decodarea se face de către virusul în sine în timpul executării. În același timp, sunt posibile opțiuni: se poate descifra imediat imediat și poate efectua o astfel de decriptare "în cursul cazului", poate cripta din nou secțiunile. Toate acestea se fac pentru dificultatea analizei codului de virus.

Decoduri polimorfe

Virusurile polimorfei utilizează algoritmi complexi pentru generarea codului decodoarelor lor: instrucțiunile (sau echivalentele lor) sunt rearanjate prin locații de la infecție la infecție, ele sunt diluate fără comenzi schimbătoare de tip NOP, STI, CLI, STC, CLC, declanșator neutilizat , Registrele neutilizate de xchg etc. d.

Virusurile polimorfe complete utilizează algoritmi și mai complexi, ca rezultat al sub, add, xor, ror, rol și altele în cantități arbitrare se pot întâlni în decodorul virusului. Cheile de încărcare și schimbare și alți parametri de criptare este de asemenea realizată de un set arbitrar de operațiuni în care pot veni aproape toate instrucțiunile. procesor Intel (Adăugați, sub, test, xor, sau, shl, shl, ror, mov, xchg, jnz, push, pop ...) cu toate modurile de adresare posibile. De asemenea, apar virusuri polimorfe, decodorul care utilizează instrucțiuni până la Intel386, iar în vara anului 1997, un virus polimorf de 32 de biți, infectarea fișierelor exe de Windows95 detectate. Acum există deja viruși polimorfici care pot folosi și diverse echipe de procesoare moderne.

Ca rezultat, la începutul fișierului infectat cu un astfel de virus, există un set de instrucțiuni fără sens, iar unele combinații care sunt pe deplin funcționale nu sunt luate de dezasamblații de marcă (de exemplu, o combinație de CS: CS: sau CS : Nop). Și printre acest "terci" de la comenzi și date ocazional Slip Mov, Xor, Loop, JMP - instrucțiuni care sunt cu adevărat "muncitori".

Niveluri de polimorfism

Există o diviziune a virușilor polimorfe la niveluri în funcție de complexitatea codului, care se găsește în decriptorii acestor viruși. O astfel de diviziune a sugerat pentru prima dată doctorul .. Alan Solomon, după o perioadă de timp, Bonchev la extins.

Nivelul 1: Viruși care au un set de decriptori cu un cod constant și atunci când sunt infectați sunt alese una dintre ele. Astfel de viruși sunt "podea-polimorf" și, de asemenea, purtați numele "oligomorf" (oligomorf). Exemple: "Cheeba", "Slovacia", "balena".
Nivelul 2: Virusul decript conține una sau mai multe instrucțiuni permanente, partea sa principală este inconstant.
Nivelul 3: Decrypterul conține instrucțiuni neutilizate - "gunoi" de tip nop, CLI, STI, etc.
Nivelul 4: În decriptare, sunt utilizate instrucțiuni interschimbabile și modificarea ordinului urmează (amestecare) instrucțiuni. Algoritmul de decriptare nu se schimbă.
Nivelul 5: Toate metodele de mai sus sunt utilizate, algoritmul de decriptare este inconspicuos, este posibil să re-criptați codul de virus și chiar criptarea parțială a codului decriptului în sine.
Nivelul 6: Permutarea virușilor. Codul principal al virusului este supus schimbării - este împărțită în blocuri rearanjate într-o ordine arbitrară. Virusul rămâne operațional. Astfel de viruși pot fi necriptați.

Divizia de mai sus nu este liberă de deficiențe, deoarece este produsă printr-un singur criteriu - capacitatea de a detecta virusul pe codul decodorului utilizând recepția standard a măștilor virale:

Nivelul 1: Pentru a detecta virusul, este suficient să aveți mai multe măști

Nivelul 2: Detectarea mascului folosind "Wildcards"

Nivelul 3: Detectarea pe o mască după îndepărtarea instrucțiunilor "Gunoi"

Nivelul 4: Masca conține mai multe opțiuni pentru codul posibil, adică Ea devine algoritmică
Nivelul 5: Incapacitatea de a detecta virusul mascului

Insuficiența acestei diviziuni este demonstrată în virusul celui de-al treilea nivel al polimorficității, numit - "Nivel3". Acest virus, fiind unul dintre cele mai complexe virusuri polimorfe, în funcție de diviziunea de mai sus, cade în nivelul 3, deoarece are un algoritm permanent de incizie, înainte de care merită un numar mare de Echipe "gunoi". Cu toate acestea, în acest virus, algoritmul de generație "gunoi" a fost adus la perfecțiune: în codul de execuție, aproape toate instrucțiunile procesorului I8086 se pot întâlni.

Dacă sunteți împărțită în nivele din punctul de vedere al antivirusurilor utilizând sistemul de decriptare automată a codului de virus (emulatori), diviziunea la niveluri va depinde de complexitatea emalității codului de virus. Este posibilă detectarea virusului și a altor tehnici, de exemplu, decodarea cu legi matematice elementare etc.

Prin urmare, mi se pare o diviziune obiectivă, în care alți parametri sunt, de asemenea, implicați în criteriul măștilor virale:

Gradul de complexitate al Codului polimorf (procentul tuturor instrucțiunilor procesorului care se pot întâlni în codul-cadru)
Utilizați recepții anti-emulator
Constanța algoritmului de decodor
Constanța lungimii decodorului

Schimbarea codului executat

Cel mai adesea, o metodă similară de polimorfism este utilizată de viruși macro, care la crearea noilor copii schimbă aleatoriu numele variabilelor lor, introduceți șiruri goale sau schimbați codul în orice alt mod. Astfel, algoritmul virusului rămâne neschimbat, dar codul de virus se schimbă aproape complet de la infecție cu infecție.

Mai rar, această metodă este aplicată de virusuri complexe de bootabile. Astfel de viruși sunt introduși în sectoarele de boot doar o procedură suficient de scurtă, care citește codul principal al virusului de pe disc și transmite controalele la acesta. Codul acestei proceduri este selectat dintre mai multe opțiuni diferite (care pot fi diluate și cu comenzi "goale"), comenzile sunt rearanjate unul de celălalt etc.

Chiar mai puțin adesea, această recepție se găsește în virușii de fișiere - deoarece trebuie să-și schimbe pe deplin codul și pentru aceasta necesită algoritmi destul de complexi. Până în prezent, sunt cunoscute doar doi astfel de virusuri, dintre care unul ("Plry") își mișcă aleatoriu comenzile pe corpul lor și le înlocuiește la JMP sau comenzi de apel. Un alt virus ("TMC") utilizează mai mult mod complicat - de fiecare dată o infecție, virusul modifică blocurile codului și datelor în locuri, introduce "gunoiul", în instrucțiunile sale de asamblare stabilește noi valori de compensare pentru date, schimbă constante etc. Ca urmare, deși virusul nu criptează codul, este un virus polimorf - nu există un set permanent de comenzi în cod. Mai mult, atunci când creați noile copii, virusul își schimbă lungimea.

Virușii acțiunii distructive

Conform acțiunilor distructive, virușii pot fi împărțiți în trei grupe:

Virușii de informare (viruși de primă generație)

Așa-numitele virusuri de primă generație sunt toți virușii existenți în prezent ale căror acțiuni vizează distrugerea, modificarea sau furtul de informații.

Virusuri hardware (virusuri de a doua generație)

Acest tip de viruși este capabil să facă față hardware-ului computerului. De exemplu, ștergeți BIOS-ul sau stricați-l, întrerupeți structura logică a fiscalauzei dure în așa fel încât să fie posibilă restabilirea numai formatare la nivel scăzut (și nu întotdeauna). Singurul reprezentant al acestei specii este cel mai periculos dintre toate au existat vreodată, Win95.CiH virus "Chernobl". La un moment dat, acest virus a dezactivat milioane de computere. El a spălat un program din BIOS, punând astfel calculatorul, iar aceleași au distrus toate informațiile cu hard disk Deci, era aproape imposibil să o restabilim.

În prezent, virușii hardware "sălbatic" nu au fost detectați. Dar acum experții prezice apariția unor noi tipuri de viruși care pot afecta BIOS-ul. Protecția împotriva acestor viruși este planificată să se facă pe fiecare plăci de bază Jumpers speciali care vor bloca intrarea în BIOS.

Virusii psihotrope (viruși de a treia generație)

Acești viruși sunt capabili să omoare o persoană prin afectarea acestuia printr-un monitor sau o coloană de calculator. Reproducând anumite sunete, o anumită frecvență sau o anumită pâlpâire a diferitelor culori pe ecran, virușii psihotrope sunt capabili să provoace un atac epileptic (oameni care sunt predispuși la aceasta) sau o oprire a inimii, hemoragie în creier.

Din fericire, astăzi nu se știe despre existența reală a unor astfel de viruși. Mulți experți chestionați în general existența unui tip similar de viruși. Dar un lucru poate fi exact. Tehnologiile psihotrope au fost intenționate de mult timp asupra influenței unei persoane prin sunet sau imagine (nu pentru a fi confundate cu 25 de cadre). Atacul epileptic provoacă o persoană predispusă la acest lucru este foarte simplă. Cu câțiva ani în urmă, hype-ul a fost spart în unele medii despre apariția unui nou virus numit "666". Acest virus după fiecare 24 de cadre oferă o combinație specială de culori ecranului capabil să schimbe activitatea vitală a spectatorului. Ca urmare, o persoană acoperă un transfer hipnotic, creierul pierde controlul asupra activității corpului, care poate duce la o stare dureroasă, schimbând modul de funcționare a inimii, tensiunea arterială și altele asemenea. Dar combinațiile de culori de astăzi nu sunt interzise de lege. Prin urmare, ele pot apărea perfect pe ecrane, deși rezultatele impactului lor pot fi dezastruoase pentru noi toți.

Un exemplu de astfel de impact poate servi drept "Pokemon", după ce a arătat unul dintre episoadele din Japonia, sute de copii au intrat în spitale cu dureri de cap teribile, hemoragie cerebrală. Unii dintre ei au murit. În desene animate au fost rame cu generație strălucitoare de o anumită paletă de culori, de regulă, acestea sunt flash-uri roșii pe un fundal negru într-o secvență specifică. După acest incident, acest desen animat la spectacolul din Japonia a fost interzis.

Puteți da un alt exemplu. Toată lumea își va aminti cu siguranță ce se întâmpla la Moscova după ce a difuzat meciul echipei noastre de fotbal cu echipa națională din Japonia (dacă nu mă înșel). Dar prin ecran mare Totul a fost demonstrat doar de o rolă, ca un bărbat cu o bâtă, a zdruncinat mașina. Este, de asemenea, un impact psihotropic, văzând că rolul "Oamenii" a început să distrugă totul pe drum și totul.

Materialele și datele au fost luate din resurse:
http://www.stopinfection.narod.ru.
http://hackers100.narod.ru.
http://broxer.narod.ru.
http://www.viruslist.com.
http://logic-bratsk.ru.
http://www.offt.ru.
http://www.almanet.info.

Pentru a posta comentarii, vă rugăm să vă autentificați sau să vă înregistrați

Înainte de a începe să scrieți acest articol, m-am întâlnit cu unul dintre fondatorii industriei anti-virus interne de către Evgeny Kaspersky, care mi-a informat câteva cifre despre starea pieței ruse și globale anti-virus. De asemenea, am vorbit cu un reprezentant al celebrului firma DIALNEGAUKA Anti-Virus, un manager de lucru cu clienți mariMaxim Skida. Din conversație, am învățat un fapt curios - se pare că industria antivirus este pe punctul de a sărbători primul său deceniu.

Desigur, antivirusurile au apărut acum mai bine de zece ani. Cu toate acestea, la început au aplicat ca un antidot gratuit. Nu a fost datorată suport pentru serviciiDeoarece proiectele au fost non-profit. Deoarece industria creării și furnizării de programe antivirus, crearea și furnizarea de programe antivirus au scăzut în aproximativ 1992, nu mai devreme și, prin urmare, va observa în curând decenii. Zece ani pentru nașterea și dezvoltarea întregii industrii, cu o cifră de afaceri de sute de milioane de dolari, termenul este foarte mic. În acest timp a apărut o piață complet nouă, a fost formată o anumită listă de produse, un astfel de număr de noi termeni au apărut că ar avea suficiente pentru o întreagă enciclopedie. Trebuie remarcat faptul că utilizatorul neexperimentat uneori este chiar dificil de distins termenul științific de la numele comercial. Bineînțeles, pentru a utiliza programe antivirale, nu este necesar să se cunoască toate detaliile structurii și comportamentului virușilor, cu toate acestea, au idei generale despre care grupurile majore de viruse au fost formate astăzi, care sunt așezate în algoritmi malware și așa cum este împărțit pe piața lumii și rusești anti-virus. va fi suficient de utilă Într-un cerc larg Cititorii cărora li se adresează acest articol.

Zece ani de dezvoltare a pieței antivirus din Rusia

După cum sa observat deja, piața antivirus trăiește în ajunul deceniului său. A fost creată în 1992 că a fost creată AOZT "DIALOGNAUK", care a pus începutul să promoveze activ pe piața internă a faimosului program al Asistestului Lozinsky; Din acest moment, AIDSTEST a început să se răspândească pe o bază comercială. La aproximativ același timp, Evgeny Kaspersky organizează un mic departament comercial în cadrul lui Kami, în care au lucrat inițial trei persoane. De asemenea, în 1992, piața americană cucerește rapid programul McAfee Virusscan. În Rusia, piața a fost dezvoltată destul de încet și cel puțin 1994 (figura 1), imaginea se uită în jur după cum urmează: Dialognucke (aproximativ 80%) a fost poziția dominantă, Kaspersky Anti-Virus a aparținut mai puțin de 5% din Piața, orice altceva - încă 15% din piață. În 1995, Evgeny Kaspersky am amânat antivirusul pe platformele Intel pe 32 de biți, Novell Netware și OS / 2, ca rezultat, produsul a început să se mute activ pe piață.

O varietate de programe cu scop dublu sunt blocuri comportamentale care analizează comportamentul altor programe și sunt blocate de acțiuni suspecte.

Din antivirusul clasic cu miezul anti-virus, "recunoașterea" și participarea la viruși, care au fost analizate în laborator și la care a fost înregistrat algoritmul de tratament, blocurile comportamentale nu sunt capabile să trateze de la viruși, deoarece nu știu nimic despre ele. Această proprietate a blocurilor este utilă prin faptul că pot lucra cu orice viruși, inclusiv cei cu necunoscuți. Acest lucru este astăzi deosebit de relevant, deoarece distribuitorii de viruși și antivirusuri utilizează aceleași canale de date, adică Internetul. În același timp, virusul are întotdeauna unele cote (timp de întârziere), deoarece compania antivirus are nevoie întotdeauna de timp pentru a obține virusul în sine, a analiza și a scrie modulele terapeutice corespunzătoare. Programele dintr-un grup dual-scop vă permit doar să blocați răspândirea virusului până când compania scrie modulul terapeutic.

Algoritmul "controlul"

Algoritmul de control al verificării presupune că acțiunile virusului schimbă controlul. Cu toate acestea, modificările sincrone în două segmente diferite pot duce la faptul că verificați suma va rămâne neschimbată la schimbarea fișierului. Sarcina principală de a construi algoritmul este de a efectua modificări în dosar garantate pentru a schimba controlul.

Metode de determinare a virusurilor polimorfe

În fig. 6 prezintă funcționarea unui program infectat cu virusul (A) și un program infectat cu un virus criptat (B). În primul caz, diagrama virusului funcționează după cum urmează: Programul funcționează, la un moment dat începe codul virusului și apoi programul este realizat din nou. În cazul unui program criptat, totul este mai complicat.

Programul funcționează, apoi este inclus decodorul, care decriptează virusul, apoi execută virusul și urmează din nou executarea code-ului programului principal. Codul de virus din fiecare caz este criptat diferit. Dacă în cazul unui virus neinformat, comparația de referință vă permite să "aflați" virusul de-a lungul unei anumite semnături constante, apoi în forma criptată, semnătura nu este vizibilă. În același timp, este aproape imposibil să căutați un decodor, deoarece este foarte mic și detectarea unui astfel de element compact este inutil, deoarece numărul de falsuri false crește dramatic.

Înainte de a începe să scrieți acest articol, m-am întâlnit cu unul dintre fondatorii industriei anti-virus interne de către Evgeny Kaspersky, care mi-a informat câteva cifre despre starea pieței ruse și globale anti-virus. De asemenea, am vorbit cu un reprezentant al celebrului companie anti-virus dialogouca, un manager de lucru, un derapaj maxim. Din conversație, am învățat un fapt curios - se pare că industria antivirus este pe punctul de a sărbători primul său deceniu.

Desigur, antivirusurile au apărut acum mai bine de zece ani. Cu toate acestea, la început au aplicat ca un antidot gratuit. Nu a existat un sprijin adecvat pentru serviciu, deoarece proiectele erau necomerciale. Deoarece industria creării și furnizării de programe antivirus, crearea și furnizarea de programe antivirus au scăzut în aproximativ 1992, nu mai devreme și, prin urmare, va observa în curând decenii. Zece ani pentru nașterea și dezvoltarea întregii industrii, cu o cifră de afaceri de sute de milioane de dolari, termenul este foarte mic. În acest timp a apărut o piață complet nouă, a fost formată o anumită listă de produse, un astfel de număr de noi termeni au apărut că ar avea suficiente pentru o întreagă enciclopedie. Trebuie remarcat faptul că utilizatorul neexperimentat uneori este chiar dificil de distins termenul științific de la numele comercial. Bineînțeles, pentru a utiliza programe antivirale, nu este necesar să se cunoască toate detaliile structurii și comportamentului virușilor, cu toate acestea, au idei generale despre care grupurile majore de viruse au fost formate astăzi, care sunt așezate în algoritmi malware și Așa cum a împărțit pe piața mondială și rusă antivirus. Acesta va fi util pentru o gamă largă de cititori la care se adresează acest articol.

Zece ani de dezvoltare a pieței antivirus din Rusia

O varietate de programe cu scop dublu sunt blocuri comportamentale care analizează comportamentul altor programe și sunt blocate de acțiuni suspecte.

Algoritmul "controlul"

Algoritmul de control al verificării presupune că acțiunile virusului schimbă controlul. Cu toate acestea, modificările sincrone în două segmente diferite pot duce la faptul că suma de control va rămâne neschimbată când fișierul este schimbat. Sarcina principală de a construi algoritmul este de a efectua modificări în dosar garantate pentru a schimba controlul.

Metode de determinare a virusurilor polimorfe

De fapt, macrovirusurile nu sunt o "specie" independentă, ci doar una dintre soiurile unei mari familii de programe rău intenționate - viruși de script. Separarea lor este conectată, cu excepția faptului că a fost macrovirus care a marcat începutul acestei familii, în plus, viruși, "ascuțit" sub programe Microsoft. Biroul, a primit cea mai mare distribuție din întreaga clan. De asemenea, trebuie remarcat faptul că virușii de script sunt un subgrup de viruși de fișiere. Aceste virusuri sunt scrise pe diferite limbi ale scripturilor (VBS, JS, BAT, PHP etc.).

Caracteristica generală a virușilor script este o legare la una dintre limbile de programare "încorporate". Fiecare virus este atașat la o anumită "gaură" în protecția uneia dintre programe Windows. Și nu este un program independent, ci un set de instrucțiuni care sunt forțate într-un program general inofensiv de "motor" pentru a nu face acțiuni distructive.

Ca și în cazul documentelor Word, utilizarea firmware-ului (scripturi, aplicații Java etc.) nu este o crimă, majoritatea lucrurilor lucrează destul de pașnic, făcând pagina mai atractivă sau mai convenabilă. Chat, carte de oaspeți, sistem de vot, contra - toate aceste facilități Paginile noastre sunt cerute de firmware - "scripturi". În ceea ce privește Applets Java, prezența lor pe pagină este, de asemenea, rezonabilă - acestea permit, de exemplu, să afișeze un meniu convenabil și funcțional care se desfășoară sub cursorul mouse-ului ...

Facilități, dar nu uitați, toate aceste aplicații și scripturi sunt cele mai reale, programe complete. Și multe dintre ele sunt lansate și nu lucrează undeva acolo, pe un server necunoscut, dar direct pe computerul dvs.! Și prin legarea virusului în ele, creatorii de pagini vor putea accesa conținutul hard diskului. Consecințele sunt deja cunoscute - de la o simplă stocare a parolei la formatarea greu disc.

Desigur, cu "scripturile ucigașe", va trebui să vă confruntați de o sută de ori mai puțin decât cu virușii obișnuiți. Apropo, există puțină speranță pentru antivirusurile obișnuite în acest caz, totuși, programul rău intenționat se deschide împreună cu pagina ar trebui să depășească protecția browserului în sine, ale căror creatori sunt conștienți de astfel de lucruri.

Să ne întoarcem pentru un minut la setările Internet Explorer, și anume în meniu Service / Proprietăți de observare / Securitate. Internet Explorer ne oferă mai multe niveluri de securitate. În plus față de nivelul standard de protecție (zona internetul) Putem consolida (zona Limită) sau slăbiți vigilența (zona Noduri fiabile ). apasa butonul AltePutem regla manual protecția browserului.

Cu toate acestea, majoritatea virușilor script se extind prin e-mail (astfel de viruși sunt mai des numiți "viermi de internet"). Poate că cei mai străluciți reprezentanți ai acestei familii sunt viruși Scrisoare de dragoste. și Anna. Kournikova.Atacurile din care au ajuns în sezonul 2001-2002, ambii viruși au fost utilizați de aceeași admitere, bazați nu numai pe protecția slabă a sistemului de operare, ci și pe naivitatea utilizatorilor.

Ne amintim că purtătorii de viruși în majoritatea cazurilor sunt mesaje e-mailconținând fișiere imbricate. Amintiți-vă atât că virusul poate pătrunde în calculator fie prin programe (fișiere executabile cu extensia * .exe, * .com.) Sau prin intermediul documentelor Microsoft Office. Ne amintim că de partea pozelor sau a fișierelor de sunet, nu ne place să amenințim să amenințați. Și, prin urmare, excavatorul este în mod neașteptat cutie poștală O scrisoare cu atașată la el (judecând după numele fișierului și expansiunii), lansați imediat cu ea ... și o descoperim, "scriptul" viral rău intenționat se ascunde sub imagine. Este bine că descoperim imediat și nu după ce virusul a reușit să distrugă complet toate datele.

Cunningul creatorilor virusului este simplu - fișierul care ne-a părut de imagine, a avut o extensie dublă! De exemplu, Annakournikova.. jPG.. vBS.

Aceasta este a doua expansiune și este adevăratul tip de fișier, în timp ce prima este doar o parte a numelui său. Și din moment ce extensia VBS Windows este bine familiarizată, ea, nu mai gândește, îl ascunde de la ochiul utilizatorilor, lăsând doar numele pe ecran Annakournikova.. jPG.

Și Windows intră cu toate tipurile de fișiere înregistrate: rezoluția este aruncată și tipul de fișier trebuie să indice pictograma. La care, din păcate, rareori acordăm atenție.

Capcana este bună, dar este mai ușor să se distingă mai ușor: concentrarea cu "extensia dublă" nu trece, dacă activăm afișarea tipurilor de fișiere în avans. Puteți face acest lucru utilizând meniul Proprietăți de dosare pe Panouri de controlWindows: Faceți clic pe această pictogramă, apoi deschideți marcajul Vedere și scoateți caseta de selectare din linie Ascundeți extensiile pentru tipurile de fișiere înregistrate.

Tine minte: Ca un "atașament", numai mai multe tipuri de fișiere sunt permise în scrisoare. Fișierele TXT, JPG, GIF, TIF, BMP, MP3, TIF, BMP, MP3, WMA.

Dar lista este necondiționată periculos Tipuri de fisiere:

De fapt, o listă de "viruși" potențiali nu include încă o duzină de tipuri de fișiere. Dar acestea sunt mai des găsite.

Recent, am lucrat cu modul la modă acum scenariul pentru a atrage abonați datorită efectului viral.

Ideea scriptului la geniu este simplă. Atrageți abonați și obțineți un bun delicios. Dar am decis să modific un mic script pentru a obține un efect și mai mult.

Articolul oferă codul și, desigur, demonstrarea inovațiilor.

Mi-a plăcut faptul că scriptul funcționează cu orice serviciu de știri. Fără turația de Smartroverver, care este accentuată inițial.

Am folosit serviciul Oleg Hotly, Justlick. Acum se dezvoltă rapid și complet liber, dacă nu efectuați vânzări prin ea. Nu vă permite să obțineți un ID de abonat, așa că în loc de el în legătura afiliată am folosit e-mail.

Prin urmare, a avut loc prima inovație.

Adăugați o scurtă legătură

În al doilea rând, nu toată lumea vrea să strălucească e-mailul. În al treilea rând, o legătură scurtă este mai convenabilă. În cele din urmă, al patrulea, datorită utilizării adresei poștale în rolul identificatorului, unii socialiști gestionează în mod incorect legătura.

De exemplu, Twitter nu înțelege unde poate avea loc simbolul diabert (@) în adresa paginii și pauze de legătură.

Prin urmare, soluția cea mai simplă și cea mai convenabilă este utilizarea API a unuia dintre link-uri pentru a reduce legăturile și pentru a genera link-uri scurte pe mașină. Este ușor de făcut cu Tinyurl.com, care vă permite să obțineți o legătură redusă folosind cererea obișnuită.

Deci, introduceți funcția în cod.

funcția Gettinyurl ($ URL)
{
$ Tinyurl \u003d file_get_contents ("http://tinyurl.com/api-create.php?url\u003d". $ URL);
Returnați $ Tinyurl;
}

Rămâne doar pentru a provoca o funcție ($ Tinyurl \u003d Gettininl ($ link)) și înlocuiți link nou în locurile potrivite.

Creșteți eficiența datorată partenerilor

Am vrut nu numai să lansați virusul, ci și să creștem efectul. Prin urmare, am decis să combinăm traficul viral și afiliat. Folosind prelucrarea cu abonați gratuit, abonații gratuit au învățat să lucreze la parteneri.

Partenerii anteriori nu au avut sens să vă ofere noi abonați, deoarece primesc o comisie numai din vânzări. Iar baza de date crește în orice mod. Dimpotrivă, partenerii nu sunt chiar profitabili pentru răspândirea virusului, deoarece își ia pâinea.

Acum, partenerul este benefic pentru a distribui virusul. La urma urmei, dacă virusul trece prin legătura afiliată, atunci toate legăturile ulterioare vor fi, de asemenea, parteneri.

Adică, puteți face un buletin informativ pe propria dvs. bază (sau să oferiți publicitate) și să oferiți o legătură de recomandare la pagină cu o propunere. Și toți utilizatorii ulteriori vor deveni recomandările dvs., deoarece scriptul va distribui link-ul dvs. de afiliere.

Pe scurt, folosind virusul pe care îl puteți obține un număr mare de recomandări, cu vânzările ulterioare pe care le veți primi comisionul dvs. Cookie-urile de parteneriat trăiesc de obicei cel puțin un an.

Cum să o facă? Foarte simplu. Voi arăta despre exemplul serviciului cu care am lucrat. Acest e-AutoPay este probabil cea mai ieftină versiune a organizării vânzărilor și a programului de afiliere.

Fișierul V.HTTACCESS la rădăcina site-ului său adaugă un identificator de partener la parametrul de obținere.

Rewriteengine pe.
Rewriterule ^ (+) $ http: //$1.Id .e-autopay.com ? Partener \u003d $ 1
ReWriterule ^ (+) / (+) $ http: //$2.$1.ID .e-autopay.com ? Partener \u003d $ 1

Red este parte care se va schimba pentru tine. Iar partea este evidențiată partea pe care am adăugat-o la starea obișnuită.

Apoi, în fișierul cookie_set.php, am pus buchetul partenerului dacă parametrul partener este transmis.

Dacă (Isset ($ _ obține ["partener"]) && goale ($ _ obține ["partener"]))
{
Setcookie ("partener", $ _get ["partener"], Timp () + 9999999);
}

Și în index.php a scriptului de abonați gratuit Adăugați o condiție pentru a genera linkuri:

dacă (Isset ($ _ Cookie ["partener"]) && goale ($ _ Cookie ["partener"])) (
$ Link \u003d "http: //". $ _Server ["http_host"]. "/". $ _Cookie ["partener"]. "id \u003d". $ Id;
}
Altfel (
$ Link \u003d link_subsscrie. "id \u003d". $ Id;
}

O nouă legătură nu trebuie uitată introducerea în toate locurile în care este necesar. Și nu uitați de forma trimiterii de scrisori. Acolo trebuie să adăugați un câmp ascuns cu un identificator de partener, iar în Handler introduce, de asemenea, linkul pentru a genera referință.

Exemplu

Cum fără exemplu? Bineînțeles că este. La urma urmei, nu mă gândesc la articolele mele din tavan, dar le iau din practică. Scenariul îmbunătățit de mine a fost folosit pentru a lansa o campanie