Komut dosyası virüsleri tehlikelidir. Bir dizi ücretsiz abone için viral bir komut dosyasını pompalıyoruz

Makro virüsler (makro virüsler) bazı veri işleme sistemlerine (metin editörleri, elektronik tablolar vb.) Katıştırılmış dillerdir (metin editörleri, elektronik tablolar vb.), Ayrıca VBA (Visual Basic for Applications), JS gibi komut dosyası dilleridir ( Java betiği.). Üreme için, bu tür virüsler makro-dillerin yeteneklerini kullanır ve kendilerini enfekte olmuş bir dosyadan (belge veya tablodan) başkalarına aktarmaları. Makro virüsler için en büyük dağıtımını aldı. Microsoft Office.. Ami Pro belgeleri ve veritabanlarını enfekte eden makro virüsler de vardır. Belirli bir sistemde (editör) virüslerin varlığı için, yetenekleri içeren yerleşik bir makro-dil oluşturmak gerekir:

1. Makro-dilde belirli bir dosyaya bağlama programları;
2. Makrogramları bir dosyadan diğerine kopyalayın;
3. Kullanıcı müdahalesi olmadan makro programı alma yeteneği (otomatik veya standart makrolar).

Bu koşullar editörleri memnun ediyor Microsoft Word., Ofis ve amipro, ayrıca bir Excel elektronik tablosu ve üssü microsoft verileri Giriş. Bu sistemler makro dilleri içerir: kelime - kelimesi temel; Excel, Erişim - VBA. Burada:

1. Makrogramlar belirli bir dosyaya (Amipro) bağlanır veya dosyanın içinde (Word, Excel, Access);
2. Makro dil, dosyaları (Amipro) kopyalamanızı veya makrogramları sistem hizmeti dosyalarına ve düzenlenebilir dosyalara (Word, Excel) hareket ettirmenizi sağlar;
3. Belirli koşullar altında bir dosyayla çalışırken (açılış, kapama vb.), Makro programları özel bir şekilde tanımlanmış (AMIPRO) veya standart isimleri (Word, Excel) bulunur.

Bu makro-dil özelliği, büyük organizasyonlarda veya küresel ağlarda otomatik veri işleme için tasarlanmıştır ve "otomatik belge yönetimi" olarak adlandırmanıza izin verir. Öte yandan, bu tür sistemler bu tür sistemlerin yetenekleri, virüsün kodlarını diğer dosyalara aktarmasına ve böylece bunlara bulaşmasına izin verir. Virüsler, virüslü bir dosyayı açarken veya kapatırken kontrolü alır, standart dosya işlevlerini durdurun ve ardından herhangi bir şekilde temyiz başvurusu olan dosyaları enfekte edin. MS-DOS'lu analoji ile, çoğu makro virüsünün yerleşik olduğunu söyleyebiliriz: sadece dosyayı açma / kapatma sırasında aktifler, ancak editörün kendisi aktif olduğu sürece aktifler.

Kelime / Excel / Office Virüsleri: Genel Bilgiler

Dosyanın içindeki virüsün fiziksel konumu, Microsoft ürünlerinde son derece karmaşık durumda olan formatına bağlıdır. word Dosya BelgesiExcel tablosu, çok sayıda servis verisi ile birlikte, (her biri kendi biçimine sahip olan) bir dizi veri bloklarıdır. Bu formatta OLE2 - nesne bağlantısı ve gömme denir.

Kelime, Excel ve Office Dosya Yapısı (OLE2) disklerin karmaşık bir dosya sistemini andırıyor: Belge dosyasının veya tablonun "kök dizini", çeşitli veri bloklarının ana alt dizinlerini gösterir, birkaç yağ tablosu, konum hakkında bilgi içeriyor. Belgedeki veri blokları vb. Ayrıca, Word ve Excel standartlarını destekleyen Office Ciltçi Sistemi, eşzamanlı olarak bir veya daha fazla belge içeren dosyalar oluşturmanıza olanak sağlar. excel formatı. Aynı zamanda, Word virüsleri Word belgelerini vurabilir ve Excel virüsleri Excel tablolarıdır ve bunların hepsi bir arada mümkündür disk dosyası.. Aynısı ofis için de geçerlidir. Kelime için tanınmış virüslerin çoğu, ulusal (Rusça) Word'in (Rusça) versiyonları ile uyumsuzdur veya bunun tersi - yalnızca yerelleştirilmiş kelime sürümleri için tasarlanmıştır ve İngilizce versiyonu altında çalışmazlar. Bununla birlikte, belgedeki virüs aktif kalır ve diğer bilgisayarları, üzerine kurulu olan Word'nin ilgili versiyonuyla bulaştırabilir. Kelime virüsleri herhangi bir sınıfın bilgisayarlarını bulaştırabilir. Enfeksiyon mümkündür bu bilgisayar Bir metin editörü, Microsoft Word sürüm 6 veya 7 veya daha yüksek (örneğin, Macintosh için MS Word) ile tamamen uyumludur.

Aynısı Excel ve Ofis için de geçerlidir. Ayrıca, Word belge biçimlerinin karmaşıklığının, Excel tablolarının ve özellikle Office'in aşağıdaki özelliğe sahip olduğu da belirtilmelidir: Dosya dosyalarında ve tablolarda "gereksiz" veri blokları, yani. Düzenlenebilir metin veya tablolarla ilgili olmayan veriler, orada diğer dosya verilerinin kopyalarıyla rastgele tartışılmaktadır. Bu tür veri bloklarının nedeni, OLE2 belgeleri ve tablolarındaki küme veri kuruluşudur - yalnızca bir metin sembolü girilmiş olsa bile, bir veya hatta birkaç veri kümesi tahsis edilir. Belgeleri ve tabloları "yararlı" verilerle doldurulmuş kümelerdeki kaydederken, dosyayı diğer verilere giren "çöp" olmaya devam eder. Dosyalardaki "çöp" sayısı "Hızlı Kaydet'e İzin Ver" konfigürasyon öğesinin iptali ile azaltılabilir, ancak toplam "çöp" sayısını azaltır, ancak tamamen çıkarmaz. Bunun sonucu, bir belgeyi düzenlerken, bedenini değiştirirken, bununla birlikte üretilen eylemlerden bağımsız olarak değişir - yeni bir metin eklenirken, dosya boyutu azalabilir ve metnin parçası silindiğinde, mümkündür. artırmak.

Makro virüslerle aynı: Dosya enfekte olduğunda, boyutu azalabilir, artabilir veya değişmeden kalır. Ayrıca, Ole2.dll dosyasının bazı versiyonlarının, bunun bir sonucu olarak küçük bir kusur içerdiği gerçeği de belirtilmelidir. belgeler sözcüğü., Excel ve özellikle "çöp" bloklarındaki ofis, gizli de dahil olmak üzere diskten rastgele veri alabilir ( uzak dosyalar, kataloglar vb.). Bu bloklar virüs takımlarını da alabilir. Sonuç olarak, enfekte olmuş belgelerin tedavisinden sonra, aktif virüs kodu dosyadan kaldırılır, ancak komutlarının bir kısmı "çöp" bloklarında kalabilir. Virüsün varlığının bu tür izleri bazen görülebilir metin editörleri Ve hatta bazı virüsten koruma programlarının tepkisine neden olabilir. Bununla birlikte, bu virüs kalıntıları tamamen zararsızdır: kelime ve Excel onlara herhangi bir dikkat etmiyor.

Kelime / Excel / Office virüsleri: Çalışma prensipleri

Bir belge ile çalışırken Kelime sürümleri 6 ve 7 veya daha yüksek performans gösterir Çeşitli eylemler: Belgeyi açar, kaydeder, yazdırır, kapanır vb. Aynı zamanda, Word, ilgili "yerleşik makroları" arıyor ve gerçekleştiriyor - dosya / Kaydet komutundaki bir dosyayı kaydederken, dosya / Saveas komutunu - dosyaAlılar, belgeleri yazdırırken dosya / saveas komutunu kaydederken çağrılır. - FilePrint vb. Tabii ki, bu tür makrolar tanımlanır. Ayrıca farklı koşullar altında otomatik olarak neden olan birkaç "otomatik makrolar" vardır. Örneğin, AUTOOPEN makroyu için bir Word belgesi açılır. Böyle bir makro varsa, kelime onu gerçekleştirir. Word belgesini kapatırken, AutoClose Makro'yu çalıştırırken, AUTOEXEC makrosu, Word başlatıldığında, Operasyon tamamlandığında - Autoexit, yeni bir belge oluştururken - AutoneW.

Benzer mekanizmalar (ancak diğer makrolar ve fonksiyonlarla) Excel / Office'de, herhangi bir makroda veya makrolarda bulunan otomatik ve gömülü fonksiyonlar gerçekleştirdiği ve birkaç gömülü bir makroda bulunabilecek Excel / Office'de kullanılır. ve otomatik işlevler. Otomatik olarak (yani kullanıcı katılımı olmadan), makrolar / fonksiyonlar da herhangi bir anahtar veya saat veya tarih ile ilişkili, yani Kelime / Excel, belirli bir tuşa (veya bir tuş kombinasyonu) bastığınızda veya herhangi bir zaman ulaştığında bir makro / fonksiyona neden olur. Ofiste, olayları engelleme yeteneği biraz genişledi, ancak prensip aynı şekilde kullanılır.

Word, Excel veya Office dosyalarını etkileyen makro virüsler, genellikle yukarıda listelenen üç yöntemden biri tarafından kullanılır - virüsten veya bir otomatik makro (otomatik işlev) veya standart sistem makrolarından biri (bir ile ilişkili) Menü öğesi) aşırı gelişmedir veya herhangi bir tuşa veya tuş kombinasyonuna tıkladığınızda virüs makrosu otomatik olarak aranır. Ayrıca, tüm bu teknikleri kullanmayan ve yalnızca kullanıcının kendilerini bağımsız olarak çalıştırmak için başlattığında çoğaldığı yarı virüsler de vardır. Böylece, belge enfekte olursa, bir Word belgesini açarken, virüslü bir Otopen otomatik makro (veya bir belgeyi kapatırken otokül) ve bu nedenle, bu, DisableAutomaCACROS sistem değişkeni tarafından yasaklanmazsa, virüs kodunu başlatır. Virüs, standart adlarla makrolar içeriyorsa, ilgili menü öğesini çağırırken kontrol alırlar (Dosya / Açık, Dosya / Kapat, Dosya / SavaS). Herhangi bir klavye sembolü geçersiz kılınırsa, virüs yalnızca karşılık gelen tuşa bastıktan sonra etkinleştirilir.

Çoğu makro virüs, tüm fonksiyonlarını standart Word / Excel / Office makroları biçiminde içerir. Bununla birlikte, kodlarını gizleme ve kodlarını makrolar biçiminde saklama alımlarını kullanan virüsler vardır. Böyle bir resepsiyon var, hepsi diğer makroları oluşturma, düzenleme ve yürütme yeteneğini kullanır. Kural olarak, benzer virüsler, yerleşik makro editöre neden olan virüsün küçük (bazen polimorfik) bir makroyuna sahiptir, bu da yeni bir makro oluşturur, virüsün temel koduyla doldurur, gerçekleştirir ve ardından bir kural olarak, yok eder (virüs varlığının izlerini gizlemek için). Bu tür virüslerin ana kodu, virüs makro'ndaki metin dizeleri (bazen şifrelenmiş) biçiminde veya belge değişkenlerinde veya otomatik metin alanında saklanır.

Algoritma İş sözcüğü. Makro virüsleri

Tanınmış kelime virüslerinin çoğu, kodlarını (makrolar) küresel belge makroları ("genel" makrolar) alanına aktarmaya başlar, bunun için makrocopi makroskopi komutları, organizatör.copi makroları veya makro düzenleyiciyi kullanarak - Virüs nedense, yeni bir makro oluşturur, kodunu içine ekler, bu da belgeye kaydeder. Word Global Macros (virüs makroları dahil) çıktığınızda, global makroların bir nokta dosyasına otomatik olarak kaydedilir (genellikle dosya normaldir. DOW). Böylece, bir sonraki başladığınızda mS-Word Editor Winword gemileri global makrolar, yani, yani virüs şu anda etkinleştirilir. Hemen. Sonra virüs bir veya daha fazla standart makrosu (örneğin, FileOpen, Filesave, FileSaveas, FilePrint) ve Intercepts, bu nedenle dosyalarla çalışmanın komutları. Bu komutları aradığınızda, virüs, temyizin olduğu dosyayı enfekte eder. Bunun için virüs dosyayı şablon formatına dönüştürür (bu, dosyayı, yani herhangi bir şablon formatına dönüştürmeyi imkansız hale getirir) ve makrolarını otomatik makro da dahil olmak üzere dosyaya kaydeder. Böylece, virüs fileSaveas makrolarını keserse, her bir DOC dosyası virüslü makro üzerinden kaydedilirse virüs tarafından kaydedilir. FileOpen makrosu yakalanırsa, virüs diskten okurken dosyaya yazılır.

Virüsü uygulamanın ikinci yolu çok daha az kullanılır - "eklenti" dosyalarına dayanır, yani. Word'e servis eklentileri olan dosyalar. Bu durumda, normal.dot değişmez ve Word, başlatıldığında, virüs makrolarını "eklenti" olarak tanımlanan dosyadan (veya dosyalardan) yükler. Bu yöntem neredeyse tamamen küresel makroların enfeksiyonunu tamamen tekrarlar, virüsün makrolarının Normal.dot'ta saklanmadığından, ancak başka bir dosyada saklanmasıyla tamamen tekrar eder. Virüsü, başlangıç \u200b\u200bdizininde bulunan dosyalara uygulamak da mümkündür - Word otomatik olarak bu katalogdaki dosya şablonları yükler, ancak bu tür virüsler henüz tanışmamıştır. Yukarıda tartışılan yöntemler, bazı yerleşik DOS virüslerinin analogudur. Yerleşik olmayanların analogu, kodlarını sistem makroları alanına toleranslandırmayan makro virüslerdir - diğer belge dosyalarını bulaştırmak için, bunları kelimeye gömülü dosyaları kullanarak arıyorlar veya son düzenlenmiş dosyaların listesine bakın (son kullanılanlar) Dosya listesi). Ardından, bu tür virüsler bir belgeyi açar, enfekte edin ve kapatılır.

Algoritma excel çalışır Makro virüsleri

Excel virüs çoğaltma yöntemleri genellikle Word virüs yöntemlerine benzer. Farklılıklar, makroları (örneğin, saclar.copy) kopyalamak içindir ve Normal.dot - işlevi (viral anlamda) Excel Startup dizininde dosyaları yürütür. Makro virüslerinin bulunduğu yer için iki olası seçenek olduğu belirtilmelidir. excel Masaları. Bu tür virüslerin ezici çoğunluğu kodlarını VBA formatında (Visual Basic uygulamaları) kaydeder, ancak kodlarını eski Excel sürüm 4.0 formatında depolayan virüsler vardır. Bu tür virüsler, Excel tablolarındaki virüs kodlarının konum formatındaki farklılıklar hariç, VBA virüslerinden özünde farklılık göstermez. Excel'in yeni sürümlerinde (5. sürümden), daha ileri teknolojiler kullanılmasına rağmen, uyumluluğu korumak için eski Excel versiyonlarının makrolarını yürütme yeteneği kaldı. Bu nedenle, Excel 4 formatında yazılı tüm makrolar, Microsoft'un bunları kullanmanızı ve Excel'in teslimatı için gerekli belgeleri içermemesine rağmen, sonraki tüm sürümlerde tamamen kazanılmıştır.

Erişim için virüs algoritması

Erişim parçası olduğu gibi ofis paketi Pro, daha sonra erişim için virüsler, Office uygulamalarını enfekte eden diğer virüsler gibi, Visual Basic dilinde aynı makrolardır. Bununla birlikte, bu durumda, otomatik makrolar yerine, sistem, sistem tarafından çeşitli etkinliklerde çağrılan otomatik komut dosyaları içerir (örneğin, Autoexec). Bu komut dosyaları daha sonra çeşitli makrogramlara neden olabilir. Böylece, bazları enfekte ederken erişim verileri Virüs, herhangi bir otomatik komut dosyası ile değiştirilmeli ve makrolarını kirli tabana kopyalamalıdır. Ek makrolar olmayan komut dosyalarının enfeksiyonu mümkün değildir, çünkü komut dosyası dili oldukça ilkeldir ve bunun için gerekli işlevleri içermez.

Erişim komut dosyalarında makrolar (makro) ve makrolar - modüller (modül) olarak adlandırıldığına dikkat edilmelidir, ancak birleşik terminoloji kullanılacak - komut dosyaları ve makrolar. Erişim veritabanı tedavisi, diğer makro virüslerin çıkarılmasından daha karmaşık bir görevdir, çünkü erişim durumunda, yalnızca viral makroları değil, aynı zamanda otomatik komut dosyalarını da müzakere etmek gerekir. Erişim çalışmalarının çoğu komut dosyalarına ve makrolarına atanır, herhangi bir elemanın yanlış sökülmesi veya devre dışı bırakılması, veritabanındaki işlemlerin imkansızlığına yol açabilir. Aynı zamanda virüsler için de aynıdır - Otomatik komut dosyalarının yanlış değiştirilmesi, veritabanında depolanan veri kaybına neden olabilir.

Amipro virüsleri

Herhangi bir belgeyle çalışırken, Amipro editörü iki dosya oluşturur - doğrudan belgenin metni (SAM adının uzantılı) ve belgenin makrolarını içeren ek bir dosyayı ve muhtemelen diğer bilgilerin (ad - SMM) içeren ek bir dosyayı oluşturur. Her iki dosyanın da formatı oldukça basittir - onlar düzenlenebilir metin ve kontrol komutlarının geleneksel metin dizeleri şeklinde bulunduğu sıradan bir metin dosyasıdır. Belge, SMM dosyasındaki bir makroya doğrultusunda yapılabilir (AtamaMacrotofile komutu). Bu makro, MS Word'de Autoopen ve Otoklosun analogudur ve bir dosyayı açarken veya kapatırken AmiPro Editor tarafından çağrılır. Görünüşe göre, Amipro'da makroları "genel" bölgeye yerleştirme imkanı yoktur, bu nedenle amipro için virüsler sisteme sadece virüslü bir dosyayı açarken, ancak enfeksiyondan sonra MS-Word ile gerçekleştiğinde, sistemi yüklerken değil, normal.dot dosyası. MS Word gibi, Amipro, Changemenuction komutuyla sistem makrolarını (örneğin, Saveas, Save) geçersiz kılmanıza izin verir. Geçersiz kılavuz işlevleri (menü komutları) çağırırken, kontrol enfekte makrolar tarafından elde edilir. Virüs kodu.

Gizli virüsler

Bu sınıfın temsilcileri, sistemdeki varlıklarını maskelemek için çeşitli yollar kullanır. Bu genellikle dosyalarla çalışmaktan sorumlu bir dizi sistem işlevini yakalayarak elde edilir. Stels - Teknoloji, özel bir araç seti olmadan virüsü tespit etmeyi imkansız hale getirir. Virüs, etkilenen nesnenin (dosyanın) uzunluğunu ve bedeninin, "sağlıklı" yerine "sağlıklı" bir kısmı yerine "ikame" olarak arttırır.

Bilgisayarın testi sırasında, anti-virüs programları veri dosyalarını ve sistem alanlarını okur - sabit sürücülerden ve disketlerden araçlar kullanarak işletim sistemi ve BIOS. Gizli - virüsler veya görünmez virüsler, bırakıldıktan sonra rasgele erişim belleği Bilgisayar özel modülleri, programların bilgisayarın disk alt sistemine yakalanması. Bu modül, kullanıcı programının virüslü dosyayı veya diskin sistem alanını okumaya çalıştığını tespit ederse, hareket halindeyken okunabilir verileri değiştirir ve böylece antivirüs programlarını aldatarak fark edilmeden kalır.

Ayrıca gizli - virüsler, sistemik ve diğer işlemlerde akış biçiminde gizlenebilir, bu da onları tanımlamayı zorlaştırır. Bu gibi gizli virüsler, süreç sisteminde şu anda çalışanların listesinde bile görülemez.

Gizli - virüslerin maskelemesinin mekanizmasını devre dışı bırakmanın basit bir yolu vardır. Bilgisayarı, yayınlanmamış bir sistem disketiyle indirmek için yeterlidir ve bir bilgisayar diskindeki programları çalıştırmıyor, bir bilgisayar diskinden (enfekte olabilecek) bir antivirüs programı ile bilgisayarı kontrol edin. Bu durumda, virüs, RAM'deki gizli algoritmayı uygulayan bir yerleşik modülü yönetemeyecek ve kuramayacak, virüsten koruma, diskte gerçekten kaydedilen bilgileri okuyacak ve kolayca "Bacillus" algılayacaktır.

Çoğu antivirüs programı, gizli virüslerin göze çarpmasız kalmasına yöneliktir, ancak bunları tek bir şans bırakmamak için, bilgisayarı kontrol etmeden önce bilgisayar, bir disketten yazma ve virüsten koruma programlarından indirilmelidir. Birçok antivirüs, gizlenmeye çalışırken onları buldukları gizli - virüslere çok başarılı bir şekilde karşın. Bu tür programlar, programın işaretli dosyalarını bu birkaç için kullanan diskten okur çeşitli metodlar - Örneğin, işletim sistemini kullanarak ve BIOS aracılığıyla: Eğer tutarsızlıklar tespit edilirse, sonuç, RAM'de, Gizli - virüs olması muhtemeldir.

Polimorfik virüsler

Polimorfik virüsler, söz konusu viral imzalar - belirli bir virüse özgü bir sabit kodun bölümleri ile ilgili olarak imkansız olan (veya son derece zor) olanları içerir. Bu, iki ana yolla elde edilir - temel virüs kodunun kalıcı olmayan bir anahtarla şifrelenmesi ve bir Decryr komutunun rastgele bir dizi veya Virüs kodunda bir değişiklik. Ayrıca, örneğin şifrelenmemiş olan DOS virüsü "Bombacısı" - DOS virüsü "Bombacısı", ancak virüs kodu kontrolünü ileten komutların dizisi tamamen polimorfik olarak da vardır.

Değişken derecelerde karmaşıklık derecelerinin polimorfizması, önyükleme ve dosya virüslerinden Windows virüslerine ve hatta makro virüslere kadar tüm virüs türlerinde bulunur.

Sorunların çoğu "polimorfik virüs" terimi ile ilişkilidir. Bu tür bilgisayar virüsleri en tehlikelidir.

Polimorfik virüsler, enfekte olmayan programlardaki kodlarını, aynı virüsün iki örneğinin herhangi bir partide çakışmayacağı şekilde değiştiren virüslerdir.

Bu tür virüsler, yalnızca çeşitli şifreleme yollarını kullanarak kodlarını şifrelemektedir, aynı zamanda kodlarının, kodlarının bölümlerini şifreleyebilecek, ancak Kalıcı bir şifreleme kodu ve kod çözücüye sahip olan geleneksel şifreleme virüslerinden ayıran kod oluşturma kodu ve Decryr içerir.

Polimorfik virüsler, kendi kendini değiştiren şifrelemecilerle virüslerdir. Bu tür şifrelemenin amacı: enfekte olmuş ve orijinal dosyalar Kodunu geleneksel sökme kullanarak hala analiz edemeyeceksiniz. Bu kod şifrelidir ve anlamsız bir komut kümesidir. Kod çözme, yürütme sırasında doğrudan virüsün kendisi tarafından yapılır. Aynı zamanda, seçenekler mümkündür: kendini hemen deşifre edebilir ve bu şifrelemeyi "davada", bölümleri tekrar şifreleyebilir. Bütün bunlar, virüs kodunu analiz etmenin zorluğu için yapılır.

Polimorfik kod çözücüler

Polimorfik virüsler, kod çözücülerinin kodunu oluşturmak için karmaşık algoritmaları kullanırlar: Talimatlar (veya eşdeğerleri) enfeksiyondan enfeksiyona olan yerler tarafından yeniden düzenlenir, NOP, STI, CLI, STC, CLC, DEC kullanılmayan Kayıt , XCHG kullanılmayan kayıtlar vb. D.

Tam polimorfik virüsler daha da karmaşık algoritmaları kullanır, bunun bir sonucu olarak, isteğe bağlı miktarlarda alt, ekleme, XOR, ROR, ROL ve diğerlerinin virüs kod çözücüsünde buluşabilir. Yükleme ve değiştirme tuşları ve diğer şifreleme parametreleri, neredeyse tüm talimatların gelebileceği keyfi bir işlem kümesiyle de yapılır. İntel işlemci (Tüm olası adresleme modları ile (ekleme, alt, test, xor veya, shr, shl, ror, mov, xchg, jnz, itme, pop ...). Polimorfik virüsler ayrıca, kod çözücü, Intel386'ya kadar olan talimatları kullanır ve 1997 yazında, 32 bit polimorfik bir virüs, Windows95'in EXE dosyalarını bulaşan 32 bit polimorfik virüs tespit edildi. Şimdi zaten modern işlemcilerin çeşitli ekiplerini de kullanabilen polimorfik virüsler var.

Sonuç olarak, böyle bir virüsle bulaşmış dosyanın başlangıcında, bir anlamsız talimat vardır ve tamamen uygulanabilir olan bazı kombinasyonlar markalı sökenler (örneğin, CS: CS: veya CS kombinasyonu) tarafından alınmaz. : NOP). Ve bu "püresi" arasında komutlardan ve veriler arasında zaman zaman kayıyor, XOR, döngü, JMP - gerçekten "işçiler" olan talimatlar.

Polimorfizm düzeyleri

Bu virüslerin şifrelemelerinde bulunan kodun karmaşıklığına bağlı olarak düzeylerde polimorfik virüslerin bir bölümü vardır. Böyle bir bölünme ilk önce DR'yi önerildi. Alan Solomon, bir süre sonra Vesselin Bonchev onu genişletti.

Seviye 1: Sabit kodlu ve enfekte olduğunda bir dizi şifreleme kümesi olan virüsler bunlardan biri seçilir. Bu tür virüsler "zemin-polimorfik" dir ve "oligomorfik" adını yıpranmıştır (oligomorfik). Örnekler: "Cheeba", "Slovakya", "Balina".
Seviye 2: Virüs şifresini çözme bir veya daha fazla kalıcı talimat içeriyor, ana kısmı durdurdu.
Seviye 3: Decrypter kullanılmayan talimatlar içeriyor - NOP, CLI, STI, vb. "Çöp" dir.
Seviye 4: Decrypter'da, değiştirilebilir talimatlar kullanılır ve siparişteki değişiklik (karıştırma) talimatları izler. Şifre çözme algoritması değişmez.
Seviye 5: Yukarıdaki tüm yöntemler kullanılır, şifre çözme algoritması göze çarpmaz, virüs kodunu yeniden şifrelemek ve hatta decrypter'ın kodunun Kısmi şifrelemesini bile mümkündür.
Seviye 6: Virüslere izin verilir. Virüsün ana kodu değişebilir - rastgele bir sırayla yeniden düzenlenen bloklara ayrılmıştır. Virüs operasyonel kalır. Bu tür virüsler şifrelenemez.

Yukarıdaki bölünme, eksikliklerden arındırılmaz, çünkü tek bir kriter tarafından üretildiğinden - virüsün standart alımını kullanarak kod çözücü kodundaki virüsü tespit etme yeteneği:

Seviye 1: Virüsü tespit etmek için, birkaç maskeye sahip olmak yeterlidir.

Seviye 2: "joker karakterler" kullanarak maske algılama

Seviye 3: "çöp" talimatlarını çıkardıktan sonra bir maske üzerinde tespit

Seviye 4: Maske, olası kod için birkaç seçenek içerir, yani. Algoritmik olur
Seviye 5: Maske virüsünü tespit edememe

Bu bölümün yetersizliği, "Seviye3" olarak adlandırılan 3. düzeyde polimorfiklik virüsünde gösterilmiştir. Bu virüs, yukarıdaki bölünmeye göre, en karmaşık polimorfik virüslerden biri olan, Seviye 3'te düşer, çünkü daha önce değerinde bir insizyonun kalıcı bir algoritmasına sahiptir. çok sayıda Takımlar "çöp". Bununla birlikte, bu virüste, "çöp" nesil algoritması mükemmelliğe getirildi: Yönetici Kodunda, I8086 işlemcisinin hemen hemen tüm talimatları karşılaşabilir.

Virüs kodunun otomatik şifre çözme sistemini (emülatörler) kullanarak antivirüslerin bakış açısına göre seviyelere ayrılırsanız, seviyelerdeki bölünme, virüs kodu emülasyonunun karmaşıklığına bağlı olacaktır. Örneğin, ilköğretim matematiksel yasaları vb. Kod çözme, virüs ve diğer teknikleri tespit etmek mümkündür.

Bu nedenle, bana, diğer parametrelerin viral maskelerin kriterine de dahil olduğu daha fazla nesnel bölünme gibi görünüyor:

Polimorfik Kodun karmaşıklığı derecesi (Çerçeve kodunda karşılaşabilecek işlemcinin tüm talimatlarının yüzdesi)
Emulator anti-emulator resepsiyonlarını kullanın
Dekoder algoritmasının sabitliği
Kod çözücünün uzunluğunun sabitliği

Yürütülen kodun değiştirilmesi

Çoğu zaman, benzer bir polimorfizm yöntemi, makro virüsler tarafından kullanılır, bu da yeni kopyalarını oluştururken değişkenlerinin adlarını rastgele değiştirir, boş dizeleri yerleştirin veya kodlarını başka bir şekilde değiştirin. Böylece, virüs algoritması değişmedi, ancak virüs kodu neredeyse enfeksiyondan enfeksiyondan tamamen değişiyor.

Daha az sıklıkta bu yöntem, karmaşık önyüklenebilir virüslerle uygulanır. Bu tür virüsler önyükleme sektörlerine yalnızca yeterince kısa bir prosedüre sokulur, bu da virüsün ana kodunu diskten okuyan ve kontrolleri iletir. Bu prosedürün kodu birkaç farklı seçenekten seçilir ("Boş" komutlarla da seyreltilebilir), komutlar birbirleri tarafından yeniden düzenlenir vb.

Daha az sıklıkta, bu resepsiyon dosya virüslerinde bulunur - çünkü kodlarını tam olarak değiştirmek zorundalar ve bunun için oldukça karmaşık algoritmalar gerektirir. Bugüne kadar, bu tür iki virüsün bilinmesidir, biri ("PLRY"), komutlarını vücutlarına rastgele bir şekilde hareket ettirir ve bunları JMP veya Arama komutlarına değiştirir. Başka bir virüs ("TMC") daha fazlasını kullanıyor karmaşık yol - Her bir enfeksiyon, virüs, kodun bloklarını ve verilerinin bloklarını değiştirir, "çöpü" ekler, assembler talimatlarında veri için yeni ofset değerleri ayarlar, sabitler, vb. Sonuç olarak, virüs kodunu şifrelemesine rağmen, polimorfik bir virüsdür - kodda kalıcı bir komut kümesi yoktur. Dahası, yeni kopyalarını oluştururken, virüs uzunluğunu değiştirir.

Yıkıcı eylem virüsleri

Yıkıcı eylemlere göre, virüsler üç gruba ayrılabilir:

Bilgi virüsleri (ilk nesil virüsler)

Sözde birinci nesil virüsler, eylemleri imha etmek, modifikasyon veya bilginin çalınması amaçlanan mevcut virüslerdir.

Donanım virüsleri (ikinci nesil virüsler)

Bu tür virüsler, bilgisayarın donanımı ile başa çıkabilir. Örneğin, BIOS'u silin veya şımartın, sert Fiscuse'nin mantıksal yapısını yalnızca geri yüklemek mümkün olacak şekilde engelleyin. düşük seviye biçimlendirme (ve her zaman değil). Bu türün tek temsilcisi, şimdiye kadarki en tehlikelidir, Win95.cih virüs "Chernobl". Bir seferde, bu virüs milyonlarca bilgisayarı devre dışı bıraktı. Bir programı BIOS'tan yıkadı, böylece bilgisayarı çıkardı ve aynı bilgileri imha etti hard disk Yani, onu geri yüklemek neredeyse imkansızdı.

Halen, "Wild" donanım virüsleri tespit edilmedi. Ancak şimdi uzmanlar, BIOS'u etkileyebilecek yeni benzer virüslerin ortaya çıkmasını tahmin ediyor. Bu tür virüslere karşı koruma her birinde yapılması planlanıyor anakart BIOS'taki girişi engelleyecek özel atlama telleri.

Psikotropik virüsler (üçüncü nesil virüsler)

Bu virüsler, bir monitör veya bilgisayar sütunu ile etkileyerek bir kişiyi öldürebilir. Belirli seslerin çoğaltılması, belirli bir frekans veya ekranda çeşitli renklerin belirli bir geçişi, psikotropik virüsler, epileptik bir saldırıya (buna yatkın kişiler) veya bir kalp durmasına, beynin içine kanamaya neden olabilir.

Neyse ki, bugün bu tür virüslerin gerçek varlığı hakkında bilinmemektedir. Birçok uzman, genel olarak benzer bir virüs türünün varlığını sorgulamıştır. Ama bir şey tam olarak olabilir. Psikotropik teknolojiler uzun zamandır bir kişinin ses veya imaj yoluyla etkisinde icat edilmiştir (25 kare ile karıştırılmamalıdır). Epileptik atak, buna eğilimli bir kişinin çok basittir. Birkaç yıl önce, yutturmaca "666" adında yeni bir virüsün ortaya çıkması hakkında bazı ortamlarda kırıldı. Her 24 karede bir bu virüs, izleyicinin hayati aktivitesini değiştirebilen ekrana özel bir renk kombinasyonu verir. Sonuç olarak, bir kişi hipnotik bir Trans'ı kapsar, beyin vücudun çalışmaları üzerinde kontrolü kaybeder, bu da ağrılı bir duruma yol açabilecek, kalbin çalışma şeklini, kan basıncını ve benzerlerini değiştirebilir. Ancak bugün renk kombinasyonları yasa ile yasaklanmaz. Bu nedenle, etkilerinin sonuçları hepimiz için felaket olmasına rağmen, ekranlarda mükemmel görünebilirler.

Böyle bir etkinin bir örneği, Japonya'daki bölümlerden birini gösterdikten sonra, yüzlerce çocuk korkunç baş ağrısı, beyin kanaması olan hastanelere girdikten sonra bir karikatür "Pokemon" olarak hizmet edebilir. Bazıları öldü. Karikatürde, belirli bir renk paleti, bir kural olarak, belirli bir sıradaki siyah bir arka plan üzerinde kırmızı renkte yanıp sönen çerçeveler vardı. Bu olaydan sonra, bu karikatür Japonya'daki gösteriye yasaklandı.

Başka bir örnek verebilirsiniz. Herkes, Futbol Takımımızın maçını Japonya Milli Takımı ile yayınladıktan sonra Moskova'da neler olduğunu kesinlikle hatırlayacak (eğer yanılmıyorsam). Ama büyük ekran Her şey sadece bir rulo tarafından gösterildi, bir yarasalı olan bir adam arabayı parçaladı. Aynı zamanda psikotropik bir etki, "insanların" rulo, her şeyi ve hepsinde her şeyi yok etmeye başladı.

Malzemeler ve veriler kaynaklardan alınmıştır:
http://www.stopinfection.narod.ru.
http://hackers100.narod.ru.
http://broxer.narod.ru.
http://www.viruslist.com
http://logic-bratsk.ru.
http://www.offt.ru.
http://www.almanet.info.

Yorumları göndermek için lütfen giriş yapın ya da kaydolun

Bu makaleyi yazmaya başlamadan önce, Rusgeny Kaspersky'nin evgeny Kaspersky'nin kurucularından biriyle tanıştım. Ayrıca, ünlü DiagOnnauka Anti-Virus Şirketi'nin bir temsilcisiyle konuştum. büyük istemcilerMaxim Skida. Konuşmadan, meraklı bir gerçek öğrendim - antivirüs endüstrisinin ilk on yılını kutlamak üzere olduğu ortaya çıktı.

Tabii ki, antivirüsler on yıldan daha uzun bir süre önce ortaya çıktı. Ancak, ilk başta ücretsiz bir antidot olarak başvurdukları. Nedeniyle yoktu servis desteğiProjeler kar amacı gütmeyen. Antivirüs programlarının yaratılması ve sağlanması endüstrisi olarak, anti-virüs programlarının oluşturulması ve sağlanması, yaklaşık 1992'de, daha önce değil, bu nedenle yakında on yılını fark edecektir. Bütün endüstrinin doğum ve gelişimi için on yıl, yüz milyonlarca dolar cirosu ile terim çok küçük. Bu süre zarfında, tamamen yeni bir pazar ortaya çıktı, belirli bir ürün listesi oluşturuldu, böyle bir çok sayıda yeni terim, bütün bir ansiklopedi için yeterli olacaklardı. Deneyimsiz kullanıcının bazen bilimsel terimi ticari isminden ayırt etmeyi bile zor olduğu belirtilmelidir. Tabii ki, virüsten koruma programlarını kullanmak için, virüslerin yapısının ve davranışlarının tüm detaylarını bilmek gerekli değildir, ancak günümüzde büyük virüs gruplarının oluşturduğu genel fikirlere sahip olmak gerekirse, algoritmalarda hangi ilkelerin yerleştirildiği kötü amaçlı programlar Ve dünyaya ve Rusya anti-virüs pazarına bölündüğü gibi, yeterince faydalı olacak geniş bir daire içinde Bu makalenin ele alındığı okuyucular.

Rusya'da antivirüs pazarının on yıllık gelişimi

Zaten belirtildiği gibi, antivirüs pazarı on yılının arifesinde yaşıyor. 1992'de, AOZT "DialOnnuk" yaratıldı, bu da, Lozinsky Aidstest'in ünlü programının iç pazarına aktif olarak tanıtımını sağlayan; Bu zamandan beri, Aidstest ticari olarak yayılmaya başladı. Aynı zamanda, Evgeny Kaspersky, üç kişinin başlangıçta çalıştığı Kami çerçevesinde küçük bir ticari departmanı düzenliyor. Ayrıca 1992 yılında, Amerikan pazarı hızlı bir şekilde McAfee Virusscan programını fethetti. Rusya'da, pazar oldukça yavaş ve en az 1994 (Şekil 1), resim aşağıdaki gibi baktı: Dialognaucke (yaklaşık% 80) baskın konumdu, Kaspersky Anti-virüsünün% 5'inden azına aitti. Pazar, her şey - pazarın% 15'i daha. 1995 yılında Evgeny Kaspersky, antivirüsünü 32 bit Intelovsky'de erteledi. windows platformları, Novell NetWare ve OS / 2, sonuç olarak, ürün aktif olarak pazara taşınmaya başladı.

Çeşitli çift amaçlı programlar, diğer programların davranışlarını analiz eden ve şüpheli eylemlerle engellenen davranış bloklarıdır.

Anti-virüs çekirdeği ile klasik antivirüs, "tanımak" ve laboratuarda analiz edilen ve tedavi algoritmasının tescilli olduğu virüslerden katılmak, davranış blokları virüslerden muamele edemiyorlar, çünkü hiçbir şey bilmiyorlar. onlar hakkında. Blokların bu özelliği, bilinmeyenler de dahil olmak üzere, herhangi bir virüsle çalışabilmeleri konusunda yararlıdır. Bu, bugün özellikle ilgilidir, çünkü virüs ve antivirüslerin distribütörleri aynı veri kanallarını kullanır, yani internet. Aynı zamanda, virüs her zaman bazı oranlara sahiptir (gecikme süresi), çünkü virüsten koruma şirketi her zaman virüsün kendisini almak için zamana ihtiyacı var, analiz et ve uygun terapötik modülleri yaz. Çift amaçlı bir gruptaki programlar, şirketin terapötik modülü yazana kadar virüsün yayılmasını engellemenizi sağlar.

Algoritma "Checksum"

CheckSum'un algoritması, virüsün eylemlerinin sağlama toplamını değiştirdiğini varsayar. Ancak, iki farklı segmentteki senkron değişiklikler gerçeğine yol açabilir. toplamı kontrol etmek Dosyayı değiştirirken değişmeden kalır. Algoritmayı inşa etmenin temel görevi, dosyadaki değişiklikleri sağlama toplamını değiştirme garantisi vermektir.

Polimorfik virüslerin belirlenmesi için yöntemler

İncirde. Şekil 6, virüs (A) ile enfekte olan bir programın çalışmasını ve şifreli bir virüs (B) ile enfekte olmuş bir program göstermektedir. İlk durumda, virüsün diyagramı aşağıdaki gibi çalışır: Program çalışıyor, bazı noktada virüs kodu başlar ve ardından program tekrar yapılır. Şifreli bir program durumunda, her şey daha karmaşıktır.

Program çalışıyor, sonra kod çözücü, virüsü şifreleyen, daha sonra virüsü çalıştırır ve tekrar ana programın kodlayıcısının yürütülmesini takip eder. Her durumda virüs kodu farklı şekilde şifrelenir. Bir enfootted virüs durumunda, referans karşılaştırması, virüsü belirli bir sabit imza boyunca "bulmanıza" izin verir, daha sonra şifreli formda, imza görünmez. Aynı zamanda, bir kod çözücüyü aramak neredeyse imkansızdır, çünkü çok küçük ve böyle bir kompakt unsur tespiti işe yaramaz, çünkü yanlış pozitif sayısı çarpıcı bir şekilde artar.

Bu makaleyi yazmaya başlamadan önce, Rusgeny Kaspersky'nin evgeny Kaspersky'nin kurucularından biriyle tanıştım, bana Rus ve küresel anti-virüs pazarının durumu hakkında bazı rakamlar bilgilendirdi. Ayrıca ünlü Dianognauca Anti-Virus Company, bir iş müdürü, maksimum bir kızakla konuştum. Konuşmadan, meraklı bir gerçek öğrendim - antivirüs endüstrisinin ilk on yılını kutlamak üzere olduğu ortaya çıktı.

Tabii ki, antivirüsler on yıldan daha uzun bir süre önce ortaya çıktı. Ancak, ilk başta ücretsiz bir antidot olarak başvurdukları. Projeler ticari olmayan, çünkü hizmet için uygun bir destek yoktu. Antivirüs programlarının yaratılması ve sağlanması endüstrisi olarak, anti-virüs programlarının oluşturulması ve sağlanması, yaklaşık 1992'de, daha önce değil, bu nedenle yakında on yılını fark edecektir. Bütün endüstrinin doğum ve gelişimi için on yıl, yüz milyonlarca dolar cirosu ile terim çok küçük. Bu süre zarfında, tamamen yeni bir pazar ortaya çıktı, belirli bir ürün listesi oluşturuldu, böyle bir çok sayıda yeni terim, bütün bir ansiklopedi için yeterli olacaklardı. Deneyimsiz kullanıcının bazen bilimsel terimi ticari isminden ayırt etmeyi bile zor olduğu belirtilmelidir. Tabii ki, antiviral programları kullanmak için, virüslerin yapısının ve davranışlarının tüm detaylarını bilmek gerekli değildir, ancak bugün önemli viruss gruplarının oluşturduğu genel fikirlere sahip olup, hangi ilkelerin kötü amaçlı yazılım algoritmalarına yerleştirildiği ve Dünya ve Rusya Anti-Virüs Pazarı tarafından bölündüğü gibi. Bu makalenin ele alındığı geniş geniş bir okuyucu yelpazesi için faydalı olacaktır.

Rusya'da antivirüs pazarının on yıllık gelişimi

Zaten belirtildiği gibi, antivirüs pazarı on yılının arifesinde yaşıyor. 1992'de, AOZT "DialOnnuk" yaratıldı, bu da, Lozinsky Aidstest'in ünlü programının iç pazarına aktif olarak tanıtımını sağlayan; Bu zamandan beri, Aidstest ticari olarak yayılmaya başladı. Aynı zamanda, Evgeny Kaspersky, üç kişinin başlangıçta çalıştığı Kami çerçevesinde küçük bir ticari departmanı düzenliyor. Ayrıca 1992 yılında, Amerikan pazarı hızlı bir şekilde McAfee Virusscan programını fethetti. Rusya'da, pazar oldukça yavaş ve en az 1994 (Şekil 1), resim aşağıdaki gibi baktı: Dialognaucke (yaklaşık% 80) baskın konumdu, Kaspersky Anti-virüsünün% 5'inden azına aitti. Pazar, her şey - pazarın% 15'i daha. 1995 yılında Evgeny Kaspersky, antivirüsünü 32 bit Intel platformları pencereleri, Novell NetWare ve OS / 2'ye erteledi, sonuç olarak, ürün aktif olarak pazara taşınmaya başladı.

Çeşitli çift amaçlı programlar, diğer programların davranışlarını analiz eden ve şüpheli eylemlerle engellenen davranış bloklarıdır.

Algoritma "Checksum"

CheckSum'un algoritması, virüsün eylemlerinin sağlama toplamını değiştirdiğini varsayar. Bununla birlikte, iki farklı segmentteki senkron değişiklikler, dosya değiştirildiğinde sağlama toplamının değişmeden kalacağı gerçeğine yol açabilir. Algoritmayı inşa etmenin temel görevi, dosyadaki değişiklikleri sağlama toplamını değiştirme garantisi vermektir.

Polimorfik virüslerin belirlenmesi için yöntemler

Aslında, makrovirüsler bağımsız bir "tür" değildir, ancak büyük bir kötü amaçlı programlar ailesinin çeşitlerinden biri - komut dosyası virüsleri. Ayrılmaları, bu ailenin başlangıcını, virüslerinin, "bilenmiş" olarak işaret eden makrovirüs olduğu haricinde bağlanır. microsoft programları Office, tüm klandan en büyük dağıtımı yaptı. Ayrıca, komut dosyası virüslerinin bir dosya virüsünün bir alt grubu olduğu da belirtilmelidir. Bu virüsler çeşitli komut dosyaları dillerinde (VBS, JS, BAT, PHP, vb.) Yazılır.

Komut dosyası virüslerinin genel özelliği, "yerleşik" programlama dillerinden birine bağlanır. Her virüs, birinin korunmasında belirli bir "deliğe" bağlanır. windows programları Ve bu bağımsız bir program değildir, ancak genel derecede masum bir "motor" programında zorlanan bir dizi talimatın yıkıcı bir eylem olmamasını sağlamak.

Kelime belgeleri durumunda, ürün yazılımı (komut dosyaları, java uygulamaları vb.) Kullanımı bir suç değildir, - çoğu huzur içinde çalışır ve sayfayı daha çekici veya daha uygun hale getirir. Sohbet, Ziyaretçi Defteri, Oylama Sistemi, Sayaç - Tüm bu olanaklar sayfalarımız firmware- "Komut dosyaları" tarafından gerekliydi. Java uygulamalarına gelince, sayfadaki varlıkları da makuldur - örneğin, fare imlecinin altında ortaya çıkan uygun ve işlevsel bir menü görüntülemek için izin verir ...

Olanaklar, ama unutma, tüm bu uygulamalar ve komut dosyaları en gerçek, tam teşekküllü programlardır. Ve birçoğu piyasaya sürüldü ve bir yerde, bilinmeyen bir sunucuda, ancak doğrudan bilgisayarınızda çalışmıyor! Ve virüsü bağlayarak, sayfa yaratıcıları sabit diskinizin içeriğine erişebileceklerdir. Sonuçlar zaten bilinen - şifrenin basit bir şekilde depolanmasından zor biçimlendirme disk.

Tabii ki, "Killer Scripts" ile, yüzlerce kat daha az sık sık, sıradan virüslerden daha az yüzünüze sahip olacaksınız. Bu arada, bu durumda sıradan antivirüsler için çok az umut var, ancak kötü amaçlı program, sayfa ile birlikte açılan, tarayıcının kendisinin korunmasının üstesinden gelmesi gerektiği, yaratıcıları bu tür şeylerin iyi farkındalar.

Ayarlar için bir dakika dönelim Internet Explorer.- yani menüde Hizmet / Gözlemci Özellikleri / Güvenlik. Internet Explorer bize birkaç güvenlik seviyesi sunar. Standart koruma seviyesine ek olarak (bölge internet) Güçlendirebiliriz (bölge Sınırlamak) veya uyanıklığınızı zayıflatır (bölge Güvenilir knot). düğmesine basın DiğerTarayıcı korumasını manuel olarak ayarlayabiliriz.

Bununla birlikte, komut dosyası virüslerinin çoğu e-posta yoluyla uzanır (bu virüsler daha sık "internet solucanlar" olarak adlandırılır). Belki de bu ailenin en parlak temsilcileri virüslerdir. Aşk mektubu. ve Anna. Kournikova.2001-2002 sezonuna gelen saldırıların her ikisi de bu virüsün her ikisi de, yalnızca işletim sisteminin zayıf korunmasına değil, aynı zamanda kullanıcıların saflığında da aynı şekilde kullanıldı.

Çoğu durumda virüs taşıyıcılarının mesaj olduğunu hatırlıyoruz. e-postaiç içe geçmiş dosyaları içeren. Hem virüsün bilgisayara programlar aracılığıyla (* .exe, * .com uzantılı) veya Microsoft Office belgeleri aracılığıyla bilgisayara nüfuz edebileceğini unutmayın. Resimlerin yanında veya ses dosyaları Bize tehdit etmek gibi bir sorun gibi görünüyor. Bu nedenle, ekskavatör beklenmedik bir şekilde posta kutusu Ona bağlı olan bir mektup (dosya ve genişletme adına göre yargılamak) resmini derhal başlatın ... ve biz onu keşfediyoruz, kötü amaçlı viral "komut dosyası" resmin altına gizleniyordu. Hemen keşfetmemiz iyidir, virüs tüm verilerinizi tamamen yok etmeyi başardılar.

Virüsün yaratıcılarının kurnazması basittir - resme göre bize giden dosya, çift uzatma vardı! Örneğin, Annakournikova.. jpg.. vbs.

Bu ikinci genişlemedir ve gerçek dosya türüdür, ilk ise isminin sadece bir parçası. VBS Windows uzantısı iyi tanıştığından, artık düşünmemesi, kullanıcıların gözünden gizlenmesiyle, yalnızca ekrandaki adını bırakıyor. Annakournikova.. jpg.

Ve Windows tüm kayıtlı dosya türleriyle girer: çözünürlük atılır ve dosya türü simgeyi göstermelidir. Ne yazık ki, nadiren dikkat ediyoruz.

Tuzak iyidir, ancak daha kolay ayırt etmek daha kolaydır: Dosya türlerinin ekranını önceden görüntüleyerek "çift uzatma" olan "çift uzatma" ile aktarılmaz. Menüyü kullanarak yapabilirsin Klasör Özellikleri üzerinde Kontrol panelleriWindows: Bu simgeye tıklayın, ardından yer imi açın Görünüm ve onay kutusunu satırdan çıkarın Kayıtlı dosya türleri için uzantıları gizle.

Hatırlamak: "Ek" olarak, harfte sadece birkaç dosya türüne izin verilir. Nispeten güvenli txt, jpg, gif, tif, bmp, mp3, WMA dosyaları.

Ancak liste koşulsuzdur tehlikeli Dosya Türleri:

Aslında, bir potansiyel "virüsler" listesi, henüz bir düzine dosya türünü içermez. Ancak bunlar daha sık bulunur.

Son zamanlarda, şimdi viral etkisi nedeniyle aboneleri çekmek için şık şimdi komut dosyası ile çalıştım.

Komut dosyasının dahiye fikri basittir. Aboneleri çekip bunun yerine lezzetli bir topuz alıyorsunuz. Ancak daha fazla etkiyi elde etmek için küçük bir komut dosyasını değiştirmeye karar verdim.

Makale kodu ve elbette yeniliklerin gösterilmesini sağlar.

Komut dosyasının herhangi bir bülten servisi ile çalıştığı gerçeğini sevdim. Başlangıçta keskinleşen SmartRoverer'a kaydolmadan.

Oleg'in hizmetini sıcak bir şekilde kullandım, JustClick. Artık satış yapmıyorsanız, şimdi hızla gelişiyor ve tamamen ücretsiz. Bir abone kimliği almanıza izin vermez, bu yüzden Ortaklık Bağlantısı'nda e-posta kullandık.

Dolayısıyla ilk yenilik gerçekleşti.

Kısa bir bağlantı ekle

İkincisi, herkes e-postanızı parlatmak istemiyor. Üçüncüsü, kısa bir bağlantı daha uygundur. Ve nihayet dördüncü, Posta adresinin tanımlayıcı rolündeki kullanımı nedeniyle, bazı sosyalistler bağlantıyı yanlış idare eder.

Örneğin, Twitter, Diababt sembolünün (@) sayfanın adresine ve bağlantı parçalarında nerede olabileceğini anlamıyor.

Bu nedenle, en basit ve en uygun çözüm, bağlantıları azaltmak ve makineye kısa bağlantılar oluşturmak için bağlantılardan birinin API'sini kullanmaktır. Tinyurl.com ile yapımı kolaydır, bu da olağan alım isteğini kullanarak kısaltılmış bir bağlantı elde etmenizi sağlar.

Öyleyse, işlevi kodun içine yerleştirin.

fonksiyon Gettinyurl ($ URL)
{
$ Tinyurl \u003d file_get_contents ("http://tinyurl.com/api-create.php?url\u003d". $ URL);
$ Tinyurl dönüş;
}

Sadece bir fonksiyona neden olmak için kalır ($ tinyurl \u003d getTinyurl ($ link)) ve yerine yeni bağlantı doğru yerlerde.

Ortaklar nedeniyle verimliliği arttırın

Sadece virüsü başlatmak istemedim, aynı zamanda etkisini de arttırırdım. Bu nedenle, viral ve bağlı trafiği birleştirmeye karar verdim. Ücretsiz abonelerle işlemeyi kullanarak, ücretsiz aboneler ortaklar üzerinde çalışmayı öğrendi.

Daha önceki ortaklar, yalnızca satışlardan bir komisyon aldıkları için size yeni aboneler vermek için mantıklı değildi. Ve veritabanı herhangi bir şekilde artar. Aksine, ortaklar, ekmeklerini aldığı için virüsün yayılması için bile karlı değildir.

Şimdi eş virüsü dağıtmak için faydalıdır. Sonuçta, virüs bağlı kuruluş bağlantısından geçiyorsa, sonraki tüm bağlantılar da ortak olacaktır.

Yani, kendi tabanınızdaki bir bülten yapabilirsiniz (veya reklam vermek için) ve sayfaya bir teklifle başvuru bağlantısı sağlayabilirsiniz. Ve sonraki tüm kullanıcılar, komut dosyanızın bağlantısını dağıtacağı için yönlendirmeleriniz olacaktır.

Kısacası, virüsü kullanarak, komisyonunuzu aldığınız satışları yapacağınız çok sayıda tavsiye alabilirsiniz. Ortaklık kurabiyeleri genellikle en az bir yıl yaşar.

Nasıl yapılır? Çok basit. Çalıştığım hizmet örneğini göstereceğim. Bu e-AutoPay, muhtemelen satış ve bağlı kuruluş programının organizasyonunun en ucuz versiyonudur.

V.HTACCESS sitesinin kökünündeki dosya, GET parametresine bir ortak tanımlayıcısı ekleyin.

Rewriteengine üzerinde.
Rewriterule ^ (+) $ http: //$1.id .e-autopay.com ? Ortak \u003d 1 $
Rewriterule ^ (+) / (+) $ http: //$2.$1.id .e-autopay.com ? Ortak \u003d 1 $

Kırmızı, sizin için değişecek olan kısımdır. Ve kısım, her zamanki duruma eklediğim kısmı vurgulanır.

Ardından Cookie_Set.php dosyasında, partner parametresi iletilirse, eşin demetini koyarız.

Eğer (isset ($ _ 'na [' ortak ']) &&! Boş ($ _ [' ortak '])))
{
Setcookie ("ortak", $ _GET ["ortak"], zaman () + 9999999);
}

Ve ücretsiz aboneler komut dosyasının index.php dosyasında, bağlantılar oluşturmak için bir durum ekleyin:

eğer (isset ($ _ çerez ["ortak"]) &&! Boş ($ _ çerez ["ortak"])))
$ Link \u003d "http: //". $ _Server ["http_host"]. "/". $ _COOKIE ["ortak"]. "? id \u003d". $ Kimliği;
}
BAŞKA (
$ Link \u003d link_subscribe. "? id \u003d". $ Kimliği;
}

Yeni bir bağlantı, gerekli olduğu tüm yerlere eklenmemelidir. Ve mektup gönderme şeklini unutma. Orada bir ortak tanımlayıcıyla gizli bir alan eklemeniz gerekir ve işleyicinizde referans oluşturmak için bağlantıyı da ekleyin.

Misal

Örnek olmadan nasıl? Tabikide o. Sonuçta, makalelerimi tavandan sanmıyorum, ama onları pratikten alıyorum. Benim tarafından geliştirilen komut dosyası bir kampanya başlatmak için kullanıldı