Spywares et virus

Computervirussen gemakkelijk gemaakt

Posted by admin

Ik virussen

1 Definitie – Wat is schadelijke code?

Schadelijke code verwijst naar elke instructie of reeks instructies die een verdachte functie uitvoeren zonder toestemming van de gebruiker.

2 Definitie – Wat is een computervirus?

Een computervirus is een vorm van kwaadaardige code. Het is een set instructies (dwz een programma) die zowel zelfreplicerend als besmettelijk is en daardoor een biologisch virus imiteert.

3 Programmeer virussen en opstartsectorinfectoren

Virussen kunnen eerst worden ingedeeld in termen van wat ze infecteren. Virussen die de programma’s van de gebruiker infecteren, zoals games, tekstverwerkers (Word), spreadsheets (Excel) en DBMS’s (Access), worden programmavirussen genoemd. Virussen die opstartsectoren (later uitgelegd) en / of Master Boot Records (later uitgelegd) infecteren, staan ​​bekend als opstartsectorinfectoren. Sommige virussen behoren tot beide groepen. Alle virussen hebben drie functies: Reproduceer, Infecteer en Lever Payload. Laten we eerst naar programmavirussen kijken.

3.1 Hoe werkt een programmavirus?

Een programmavirus moet zich hechten aan andere programma’s om te kunnen bestaan. Dit is het belangrijkste kenmerk dat een virus onderscheidt van andere vormen van kwaadaardige code: het kan niet op zichzelf bestaan; het is parasitair op een ander programma. Het programma dat een virus binnendringt, staat bekend als het hostprogramma. Wanneer een virus-geïnfecteerd programma wordt uitgevoerd, wordt het virus ook uitgevoerd. Het virus voert nu zijn eerste twee functies tegelijkertijd uit: Voortplanten en Infecteren.

Nadat een geïnfecteerd programma is uitgevoerd, neemt het virus de controle over van de host en begint het te zoeken naar andere programma’s op dezelfde of andere schijven die momenteel niet zijn geïnfecteerd. Als het er een vindt, kopieert het zichzelf naar het niet-geïnfecteerde programma. Daarna kan het gaan zoeken naar meer programma’s om te infecteren. Nadat de infectie is voltooid, wordt de controle teruggestuurd naar het hostprogramma. Wanneer het hostprogramma wordt beëindigd, worden dit programma en mogelijk ook het virus uit het geheugen verwijderd. De gebruiker zal waarschijnlijk totaal niet weten wat er net is gebeurd.

Een variatie op deze infectiemethode houdt in dat het virus in het geheugen wordt achtergelaten, zelfs nadat de host is gestopt. Het virus blijft nu in het geheugen totdat de computer wordt uitgeschakeld. Vanuit deze positie kan het virus programma’s naar hartenlust infecteren. De volgende keer dat de gebruiker zijn computer opstart, kan hij onbewust een van zijn geïnfecteerde applicaties uitvoeren.

Zodra het virus in het geheugen zit, bestaat het risico dat de derde functie van het virus wordt aangeroepen: Deliver Payload. Deze activiteit kan alles zijn wat de maker van het virus wil, zoals het verwijderen van bestanden of het vertragen van de computer. Het virus kan in het geheugen blijven en zijn lading afleveren totdat de computer wordt uitgeschakeld. Het kan gegevensbestanden wijzigen, gegevensbestanden en programma’s beschadigen of verwijderen, enz. Het kan geduldig wachten tot u gegevensbestanden maakt met een tekstverwerker, spreadsheet, database, enz. Wanneer u het programma afsluit, kan het virus zich wijzigen of verwijder de nieuwe databestanden.

3.1.1 Infectieproces

Een programmavirus infecteert gewoonlijk andere programma’s door een kopie van zichzelf aan het einde van het beoogde doel (het hostprogramma) te plaatsen. Vervolgens worden de eerste paar instructies van het hostprogramma gewijzigd, zodat wanneer de host wordt uitgevoerd, de controle overgaat op het virus. Daarna keert de besturing terug naar het hostprogramma. Een programma alleen-lezen maken is ineffectieve bescherming tegen een virus. Virussen kunnen toegang krijgen tot alleen-lezen bestanden door simpelweg het alleen-lezen attribuut uit te schakelen. Na infectie zou het alleen-lezen kenmerk worden hersteld. Hieronder ziet u de werking van een programma voor en nadat het is geïnfecteerd.

Voor infectie

1. Instructie 1

2. Instructie 2

3. Instructie 3

4. Instructie n

Einde programma

Na infectie

1. Ga naar virusinstructie 1

2. Hostprogramma

3. Hostinstructie 1

4. Hostinstructie 2

5. Hostinstructie 3

6. Hostinstructie n

7. Einde van het hostprogramma

8. Virusprogramma

9. Virusinstructie 1

10. Virusinstructie 2

11. Virusinstructie 3

12. Virusinstructie n

13. Spring naar hostinstructie 1

14. Einde van virusprogramma

3.2 Hoe werkt een Boot Sector Infector?

Op harde schijven, track 0, staat sector 1 bekend als de Master Boot Record. De MBR bevat een programma en gegevens die de gebruikte harde schijf beschrijven. Een harde schijf kan worden opgedeeld in een of meer partities. De eerste sector van de partitie die het besturingssysteem bevat, is de opstartsector.

Een opstartsectorinfector is behoorlijk wat geavanceerder dan een programmavirus, omdat het een gebied van de schijf binnendringt dat normaal gesproken niet toegankelijk is voor de gebruiker. Om te begrijpen hoe een bootsectorinfector (BSI) werkt, moet men eerst iets begrijpen dat de opstartprocedure wordt genoemd. Deze reeks stappen begint wanneer de aan / uit-schakelaar wordt ingedrukt, waardoor de stroomtoevoer wordt geactiveerd. De voeding start de CPU, die op zijn beurt een ROM-programma uitvoert dat bekend staat als het BIOS. Het BIOS test de systeemcomponenten en voert vervolgens de MBR uit. De MBR lokaliseert en voert vervolgens de opstartsector uit die het besturingssysteem laadt. Het BIOS controleert niet wat het programma is in track 0, sector 1; het gaat er gewoon heen en voert het uit.

Om te voorkomen dat het volgende diagram te groot wordt, verwijst de opstartsector naar zowel de opstartsector als de MBR. Een opstartsectorinfector verplaatst de inhoud van de opstartsector naar een nieuwe locatie op de schijf. Het plaatst zichzelf dan op de oorspronkelijke schijflocatie. De volgende keer dat de computer wordt opgestart, gaat het BIOS naar de opstartsector en voert het virus uit. Het virus bevindt zich nu in het geheugen en kan daar blijven totdat de computer wordt uitgeschakeld. Het eerste dat het virus zal doen, is op de nieuwe locatie het programma uitvoeren dat zich in de opstartsector bevond. Dit programma laadt dan het besturingssysteem en alles gaat gewoon door, behalve dat er nu een virus in het geheugen zit. De opstartprocedure, voor en na virale infectie, is hieronder te zien.

Voor infectie

1. Druk op de aan / uit-schakelaar

2. Voeding start CPU

3. CPU voert BIOS uit

4. BIOS test componenten

5. BIOS voert de opstartsector uit

6. Opstartsector laadt OS

Na infectie

1. Druk op de aan / uit-schakelaar

2. Voeding start CPU

3. CPU voert BIOS uit

4. BIOS test componenten

5. BIOS voert de opstartsector uit

6. BSI voert het originele bootsectorprogramma uit op een nieuwe locatie

7. Oorspronkelijk opstartsectorprogramma laadt het besturingssysteem (BSI blijft in het geheugen wanneer het opstartproces is voltooid)

BSI = Boot Sector Infector

4 Stealth-virus

Een andere manier om virussen te classificeren betreft de manier waarop ze zich in hun host verbergen, en is van toepassing op zowel programma- als opstartsectorvirussen. Een gewoon virus infecteert een programma of opstartsector en blijft daar gewoon zitten. Een speciaal type virus dat bekend staat als een stealth-virus, versleutelt zichzelf wanneer het zich in een ander programma of een andere opstartsector verstopt. Een gecodeerd virus is echter niet uitvoerbaar. Daarom laat het virus een kleine tag achter die nooit wordt versleuteld. Wanneer het hostprogramma of de opstartsector wordt uitgevoerd, neemt de tag de controle over en decodeert de rest van het virus. Het volledig gedecodeerde virus kan dan zijn Infect and Reproduce-functie of zijn Deliver Payload-functie uitvoeren, afhankelijk van de manier waarop het virus is geschreven.

Een geavanceerde vorm van een stealth-virus is een polymorf stealth-virus, dat elke keer een ander versleutelingsalgoritme gebruikt. De tag mag echter op geen enkele manier worden versleuteld. Anders is het niet uitvoerbaar en kan het de rest van het virus niet decoderen.

5 Logische bom

Virussen zijn vaak geprogrammeerd om te wachten tot aan een bepaalde voorwaarde is voldaan voordat ze hun lading afleveren. Dergelijke voorwaarden zijn onder meer: ​​nadat het zichzelf een bepaald aantal keren heeft gereproduceerd, wanneer de harde schijf voor 75% vol is, enz. Deze virussen staan ​​bekend als logic bombs omdat ze wachten tot een logische voorwaarde waar is voordat ze de lading afleveren.

5.1 Tijdbom

De term tijdbom wordt gebruikt om te verwijzen naar een virus dat wacht tot een bepaalde datum en / of tijd voordat het zijn lading aflevert. Sommige virussen gaan bijvoorbeeld af op vrijdag 13, 1 april of 31 oktober. Het Michelangelo-virus had 6 maart als triggerdatum. Wachten tot een specifieke datum en / of tijd voordat de lading wordt afgeleverd, betekent dat een tijdbom een ​​specifiek type logische bom is (eerder besproken), omdat wachten op een datum / tijd betekent dat het virus wacht op een logische voorwaarde om waar te zijn. Er is een aanzienlijke overlap op deze gebieden van het beschrijven van virussen. Een bepaald virus kan bijvoorbeeld een programmavirus zijn, en een polymorf stealth-virus. Een ander virus zou een opstartsectorinfector, een stealth-virus en een tijdbom kunnen zijn. Elke term verwijst naar een ander aspect van het virus.

II Meer over schadelijke code

1 Trojaanse paarden

Een Trojaans paard is een onafhankelijk programma en een vorm van kwaadaardige code. Het is geen virus maar een programma waarvan je denkt dat het één ding doet, maar eigenlijk iets anders doet. De gebruiker wordt misleid door de naam van het programma, wat nietsvermoedende gebruikers verleidt om het uit te voeren, en eenmaal uitgevoerd, wordt een stukje kwaadaardige code aangeroepen. De kwaadaardige code kan een virus zijn, maar dat hoeft niet zo te zijn. Het kunnen eenvoudigweg enkele instructies zijn die niet besmettelijk zijn, noch zichzelf repliceren, maar wel een soort van lading opleveren. Een Trojaans paard uit de DOS-dagen was SEX.EXE dat opzettelijk met een virus was geïnfecteerd. Als u een programma met deze naam op uw harde schijf zou vinden, zou u het dan uitvoeren? Toen het programma werd geladen, verschenen er enkele interessante afbeeldingen op het scherm om je af te leiden. Ondertussen infecteerde het meegeleverde virus uw harde schijf. Enige tijd later vervormde de derde functie van het virus de FAT (File Allocation Table) van uw harde schijf, wat betekende dat u geen toegang meer had tot uw programma’s, gegevensbestanden, documenten, enz.

Een Trojaans paard kan op verschillende manieren zijn weg vinden naar uw harde schijf. De meest voorkomende zijn internet.

– Het kan zonder uw toestemming downloaden terwijl u iets anders downloadt.

– Het kan automatisch worden gedownload wanneer u bepaalde websites bezoekt.

– Het kan een bijlage in een e-mail zijn.

Zoals eerder gezegd, lokt de bestandsnaam van een Trojaans paard nietsvermoedende gebruikers uit om het uit te voeren. Als een Trojaans paard een bijlage in een e-mail is, kan de onderwerpregel van de e-mail ook worden geschreven om de gebruiker te verleiden het uit te voeren. De onderwerpregel kan bijvoorbeeld zijn: “Je hebt 5 miljoen dollar gewonnen!” en de bestandsnaam van de bijlage zou “million dollar winner.exe” kunnen zijn.

2 wormen

Een worm is geen virus. Het is eerder een vorm van kwaadaardige code die reproduceert en een lading levert, maar niet besmettelijk is. Het is een onafhankelijk programma dat op zichzelf staat, zoals een Trojaans paard of een normaal programma. Virussen kunnen niet alleen bestaan. Wormen infecteren geen programma’s, maar ze reproduceren zich wel en worden meestal overgedragen met de Trojan Horse-techniek.

3 Lever payload – wat kan kwaadaardige code doen?

– Laat een bericht of afbeelding op het scherm zien, zoals een aantal krabben die langzaam rondkruipen en alles wat ze vinden verslinden en vernietigen. Dit zeer oude virus heette Krabben.

– Een eis stellen dat de gebruiker een bepaalde functie uitvoert, zoals het indrukken van een bepaalde reeks toetsen voordat de normale werking kan worden hervat. Een voorbeeld hiervan is het Cookie Monster-virus, waarbij het Cookie Monster op uw scherm verschijnt en een cookie vraagt ​​voordat hij de controle over uw computer aan u teruggeeft. U zou moeten reageren door een cookie te typen. Enkele minuten later zou hij weer verschijnen en een ander koekje eisen.

– De computer en / of muis laten vastlopen en onbruikbaar worden totdat het systeem opnieuw wordt opgestart.

– Het toetsenbord opnieuw definiëren (druk op r en ak verschijnt, enz.).

– ervoor zorgen dat de computer met een fractie van zijn normale snelheid werkt.

– Een of meer bestanden op de computer wissen.

– Het wijzigen of corrumperen van de inhoud van databestanden (subtiel of anderszins), vaak op een manier die tot een veel latere datum bijna niet detecteerbaar is voor de gebruiker. Kwaadaardige code kan bijvoorbeeld een decimaalteken verplaatsen in een spreadsheetbudgetbestand, of het eerste woord van elke alinea in een tekstverwerkerbestand veranderen in “gotcha!”

III Preventief onderhoud

De beste manier om te voorkomen dat u het slachtoffer wordt van een virusaanval, is door te voorkomen dat uw systeem ooit een virus oploopt. Door eenvoudige voorzorgsmaatregelen te nemen, kunt u de kans verkleinen dat uw systeem ooit wordt geïnfecteerd.

– Installeer antivirussoftware. Ik raad Avast Free Antivirus aan. Het is gratis, uitgebreide bescherming en het werkt goed.

– Bezoek alleen websites die u vertrouwt

– Maak back-ups van uw gegevens

Leave A Comment