Если ваш компьютер ведет себя странно, то, возможно, он был заражен вредоносными программами. Итак, на какие признаки вам следует обратить внимание?
1. Мой компьютер/ноутбук/смартфон работает очень медленно
Если ваш компьютер внезапно замедляется или даже зависает, то это может быть признаком наличия проблемы. Некоторые типы вредоносных программ, такие как криптомайнеры и ботнеты, перегружают ваше устройство: они эффективно «крадут» ресурсы вашего устройства для их неправомерного использования хакерами.
Конечно, вполне естественно, когда ваш компьютер со временем начинает работать медленнее, поскольку для нового программного обеспечения требуется все больше ресурсов ПК. Низкая производительность не обязательно говорит о том, что компьютер заражен вредоносными программами, однако может являться признаком этого.
2. Мой компьютер/ноутбук/смартфон сильно нагревается
Если ваш компьютер издает много шума, скорее всего, вентиляторы внутри работают в форсированном режиме, чтобы поддерживать хрупкие электронные компоненты в прохладном состоянии. Это признак того, что установленное у вас программное обеспечение доводит ваш компьютер до предела, заставляя процессор чрезмерно нагреваться. Смартфоны и планшеты не имеют вентиляторов, но они тоже могут сильно нагреваться при интенсивном использовании – иногда вы даже можете получить на экране предупреждающее сообщение о перегреве устройства.
Стоп коронавирус. Программа «Наука» #59
Опять же, вредоносные программы могут подвергнуть ваше устройство дополнительной нагрузке, что приведет к его чрезмерному нагреву. Однако легальные приложения также могут вызвать аналогичный эффект: игры с «тяжелой» графикой, приложения для редактирования видеоматериалов и системы САПР также могут привести к перегреву вашего компьютера. Вы также столкнетесь с проблемами перегрева, если оставите свой смартфон под сильным солнечным светом в теплый день.
3. Я часто вижу рекламу и всплывающие окна
Множество всплывающих окон или дополнительных вкладок, автоматически открывающихся на вашем устройстве, — еще один классический признак вредоносного поведения. Вирус может автоматически загружать требуемые ему веб-сайты, чтобы проводить мошеннические аферы, или пытаться заставить ваш компьютер загрузить другие вредоносные программы.
Некоторые веб-сайты действительно открывают много всплывающих окон, особенно те сайты, на которых размещен нелегальный контент (например, warez и торренты ) или прямые трансляции. Вы также должны проверить, что ваш браузер настроен на блокировку нежелательных всплывающих окон.
4. Мое устройство периодически зависает или вылетает
Иногда ваше устройство полностью перестает отвечать на запросы или самопроизвольно перезагружается. Причиной тому может быть сильный перегрев устройства: ресурсы вашего компьютера используются настолько интенсивно, что ему приходится выключаться.
Неожиданные перезагрузки всегда являются признаком неправильной работы, хотя и не обязательно это связано с вирусом. Некорректно настроенные или «глючные» приложения также могут перегружать системные ресурсы.
Антивирусная утилита AVZ. Подробное описание + примеры работы
5. Я получаю предупреждения от своего антивируса
Существует один гарантированный признак того, что ваш компьютер заражен вредоносным ПО, – это предупреждение от антивируса. Антивирусное программное обеспечение, такое как Panda Dome , сканирует ваше устройство в поисках признаков заражения вредоносными программами и автоматически удаляет подозрительные файлы. После этого вы получите уведомление о том, что делать дальше.
Еще лучше, если ваш антивирус обнаружит вредоносную программу до того, как она будет установлена на вашем устройстве. В результате этого вы вряд ли столкнетесь с любой из описанных здесь проблем – по крайней мере, не в результате работы компьютерного вируса.
Источник: www.securitylab.ru
Векторно-операторная модель компьютерных вирусов
Организация эффективной системы борьбы с компьютерными вирусами невозможна без разработки конструктивной математической модели, описывающей их структуру и принципы функционирования [1]. Наличие таких моделей позволит создать универсальные средства противодействия, доказать их эффективность и определить область применения. С другой стороны, могут быть определены условия, требующиеся для распространения вирусов, и сформулированы требования к системе, делающие существование вирусов невозможным.
Предлагается рассматривать процесс заражения программы вирусом как синтез новой программы, состоящей из взаимно адаптированных копий исходной программы и вируса.
Необходимо отметить, что в данной статье рассматривается только один класс вирусов — файловые вирусы, имеющие сигнатуру. Хотя метод универсален, в качестве примеров используются вирусы, функционирующие в системе MS-DOS.
Определим базовые элементы предлагаемой модели.
Сигнатурой называется фрагмент тела вируса, встречающийся во всех без исключения его копиях [2]. Обычно в качестве сигнатуры берется фрагмент кода, характерный для этого вируса.
Программа, вирус, сигнатура в данной модели представляются вектором, компонентами которого являются байты. Элементы вектора нумеруются начиная с 0 (это удобно при программировании). Размер вектора будем писать после его имени в круглых скобках, а индекс в квадратных.
Определим набор операций над этими векторами:
-
Операция равенства ( = ). Будем считать, что вектор X длиной n равен вектору Y длиной n, при условии, что компоненты X и Y попарно равны, то есть:
Х = Y
( | A[i] для 0 ( C[i] | B[i-k] для k
В терминах теории операторов в общем случае факт заражения вирусом программы можно описать так:
Pinf = V(P),
где V — оператор заражения программы вирусом; Р — чистая программа; Pinf — инфицированная программа.
Рассмотрим подробнее оператор заражения для сигнатурных файловых вирусов. Процесс заражения программы вирусом состоит из следующих этапов.
- Внесение возмущений в заражаемую программу. Имеются в виду действия вируса, направленные на преобразование программы в носитель вируса. Для этогo, во-первых, обеспечивается передача управления на код вируса (замена первых команд и адресов переходов у COM-файлов, точки входа у ЕХЕ-файлов) и, во-вторых, создается пространство для размещения кода вируса (стирание частей программы, увеличение размера файла, переписывание фрагментов программы из начала в конец и т.д. вплоть до архивации программы). Назовем оператор, осуществляющий эти действия, оператором возмущения и обозначим его D(p). Оператор преобразует программу р в искаженную программу, готовую к присоединению вируса.
- Настройка вируса на заражаемую программу. Под настройкой вируса понимается процесс создания копии вируса, способной функционировать в данной программе. Сюда относятся настройка адресов, инициализация рабочих переменных, сохранение искаженных элементов программы в коде вируса, возможно, перекодировка кода вируса в зависимости от параметров программы и т.д. Заметим, что та часть кода вируса, которая не изменяется в процессе настройки, является сигнатурой. Назовем этот оператор оператором настройки и обозначим его А(р). Оператор осуществляет настройку вируса для работы в программе р.
- Внесение кода вируса в заражаемую программу. Имеется в виду процесс внедрения копии вируса, настроенной на данную программу, в тело программы. Этот процесс в простейшем случае может состоять из конкатенации программы и вируса, кроме того, может применяться сложный алгоритм разбиения вируса на несколько фрагментов и вставка их в различные точки программы. Назовем его оператором инфицирования и обозначим I(р,v) Оператор вносит в программу р, подготовленную к заражению вирусом, настроенную на эту программу копию вируса v.
Тогда можно представить себе стуктуру зараженной программы следующим образом:
+——————————————+ |######PPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPP| |PPPPPPPPP ПРОГРАММА PPPPPPPPPPPPPPPPPPPPP| |PPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPP| |PPPPPPPPPPPPP+—————————+ |PPPPPPPPPPPPP|PPPPPPvvvvvvvvvvvvvvvvvvvvv| |————-+vvvvv ВИРУС vvvvvvvvvvvvvvv| |vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv| |#########################################| +——————————————+ P — программа # — настраиваемая часть вируса v — сигнатура вируса
В терминах этих операторов процесс заражения программы P некоторым вирусом, имеющим сигнатуру Sign, с получением зараженной программы Pinf описывается следующим уравнением:
I( D(P), A(P) + Sign ) = Pinf,
где D(P) — программа после воздействия оператора возмущения; A(P) — вирус, адаптированый к программе; Sign — сигнатура вируса.
При такой постановке задача анализа вирусов сводится к нахождению сигнатуры Sign, с помощью которой можно однозначно определить наличие вируса в программе и (если они существуют) операторы, обратные к I и D, позволяющие восстановить зараженную программу.
Покажем, как в рамках данной модели можно найти сигнатуру файлового вируса, если его оператор возмущения удовлетворяет определенному ниже условию.
Для нахождения сигнатуры используются специальные файлы-мишени [3]. Это типичные COM- и EXE-программы, состоящие из тривиальных команд и обладающие характерными особенностями, которые используются вирусами при заражении программ (например, COM-программы начинаются с инструкции перехода). Необходимо иметь набор таких мишеней различных размеров, так как некоторые вирусы заражают только файлы с длинной, лежащей в определенном диапазоне.
Пусть мы имеем некую мишень t, зараженную вирусом, имеющим сигнатуру:
I( D(t), A(t) + Sign ) = tinf
Допустим, что оператор возмущения D(t) осуществляет только перестановку фрагментов мишени и не изменяет составляющие ее байты. Таким образом, мы ввели ограничение на класс сигнатурных файловых вирусов, для которого справедлив предложеный метод. Этому условию удовлетворяет абсолютное большинство сигнатурных файловых вирусов. Однако, если вирус все же искажает фрагменты программы, метод даст правильный результат при условии, что изменения не очень значительны.
Итак, в этом случае мы имеем файл, в котором перемешаны фрагменты кода мишени и вируса. Поскольку коды команд мишени нам известны, мы можем удалить их из файла, и таким образом выделить экземпляр вируса. Обозначим его Vt:
A(t) + Sign Vt
Вирус состоит из настраиваемой части, в которую внедрена сигнатура. Для того чтобы ее найти, нам необходимо иметь две мишени, зараженные одним и тем же вирусом:
A(tt) + Sign — Vtl A(t2) + Sign — Vt2
Получение сигнатуры из этой системы уравнений сводится к нахождению наибольшей общей подпоследовательности у двух байтовых векторов (Vt1 и Vt2). Существует алгоритм, эффективно решающий эту задачу.
Задача нахождения операторов, обратных к I и D, также может быть решена (поскольку мы можем легко отделить мишень от вируса), однако в данной модели абсолютно не учитывается семантика вируса, и результаты будут очень ненадежны, так как алгоритм работы этих операторов чаще всего зависит от характеристик заражаемой программы.
По описанному методу реализована программа, которая была успешно опробована на довольно большом наборе вирусов [4].
Предложенный метод имеет следующие отличительные особенности:
- он базируется на формальной модели;
- реализация позволяет автоматически выделять сигнатуры неизвестных вирусов;
- на основе предложенной модели можно сформулировать признаки для классификации вирусов, основанной на механизме размножения.
Предложенная модель может быть использована для построения перспективных универсальных самообучающихся антивирусных средств, основанных не на различных системах поиска заданного набора вирусов, а на их комплексном исследовании, позволяющем выработать эффективные способы борьбы против любого неизвестного вируса.
Литература:
- Cohen F. Computer viruses — theory and experiments // Proceedings of the 7th National Computer Security Conference, 1984.
- Pozzo М., Gray Т. Managing Exposure tо Potetially Malicious Programs // Рrосеedings of the 9th National Computer Security Conference, Sept., 1986.
- Котляров В.П., Зегжда Д.П. Средство сертификации и контроля несанкционированного доступа программ и данных компьютерных сетей. Третий всесоюзный семинар «Качество программного обеспечения», тезисы докладов. — М.: СНПО Алгоритм, 1991, с. 109-111.
- Защита информации в компьютерных системах. Теоретические аспекты защиты от вирусов / Зегжда Д.П., Матвеев В.A., Молотков С.В., Тихомиров Ю.В.; Под ред. Э.М. Шмакова — СПб: СПбГТУ, 1993.
Источник: cryptohub.nl
Name already in use
A tag already exists with the provided branch name. Many Git commands accept both tag and branch names, so creating this branch may cause unexpected behavior. Are you sure you want to create this branch?
Cancel Create
mirror-vxheaven.org / vxheaven.org / lib / adz01.html
- Go to file T
- Go to line L
- Copy path
- Copy permalink
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Cannot retrieve contributors at this time
153 lines (150 sloc) 23.4 KB
- Open with Desktop
- View raw
- Copy raw contents Copy raw contents Copy raw contents
Copy raw contents
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters. Learn more about bidirectional Unicode characters
- Copy lines
- Copy permalink
- View git blame
- Reference in new issue
Источник: github.com