Comment Effectuez Le Travail De Vers


  Share  
|

Le ver 1988 de Morris (le ver d'Internet) et ses enfants de mêmes parents, comme SE BRANLENT et CHRISTMA EXEC, matériel résistant habituellement visé d'unité centrale et de mini-ordinateur, courrier, et logiciels d'exploitation. Des menaces plus récentes ont été visées principalement des PCS, et, dans un incident fortement annoncé (le ver de démarrage automatique), des impers de Apple. Cependant, elles pourraient avoir l'effet fortuit d'apporter en bas des serveurs de courrier par le poids fin du trafic qu'elles produisent. Certaines de ces derniers ont été différemment classifiées par différents chercheurs et fournisseurs comme virus, comme vers, comme hybrides de virus/worm, et de temps en temps comme chevaux de Trojan.

Les vers d'aujourd'hui et les virus d'email tendent à être les brûleurs rapides. Ils ont le potentiel d'écarter globalement avant que les fournisseurs d'anti-virus aient le temps pour les analyser et pour distribuer des moyens de détection et de désinfection. Une partie du malware généralement visé car les vers sont réellement des virus spécialisés qui infectent seulement un dossier. Ceci ne signifie pas, naturellement, qu'un virus aiment Lehigh, qui infecte seulement COMMAND.COM, peut raisonnablement être défini comme ver.

Les classifications universellement admises des vers n'existent pas, mais Carey Nachenberg, dans un papier pour la conférence 1999 de bulletin de virus, a proposé un arrangement de classification le long des lignes suivantes :

· Vers d'email, unsurprisingly, diffusion par l'intermédiaire d'email.

· Diffusion arbitraire de vers de protocole par l'intermédiaire des protocoles non basés sur email (douilles d'IRC/DCC, de ftp, de TCP/IP).

Aussi bien que proposer la classification par le mécanisme de transport, Nachenberg a également proposé la classification en lançant le mécanisme :

· Les vers de art de l'auto-portrait-launching tels que le ver 1988 d'Internet n'exigent d'aucune interaction avec l'utilisateur d'ordinateur d'écarter : Ils exploitent de la vulnérabilité de l'environnement de centre serveur, plutôt que d'une manière quelconque de duper l'utilisateur dans exécuter le code contagieux. Cependant, KAK et le BubbleBoy un peu plus rare sont des exemples des vers de art de l'auto-portrait-launching. En exploitant un bogue dans l'environnement de Windows, ils peuvent s'exécuter sans intervention d'utilisateur.

· les vers Utilisateur-lancés agissent l'un sur l'autre avec l'utilisateur. Ils doivent employer des techniques sociales de technologie pour persuader la victime à open/execute un attachement avant que le ver puisse renverser l'environnement afin de se lancer sur le prochain groupe de centres serveurs. Plusieurs de vers d'aujourd'hui de VBScript tombent dans ceci ou Hybride-lancez la catégorie.

En fait, certains des vers que nous avons vus jusqu'ici sont probablement meilleurs classifiés en tant que Hybride-lancent les vers (par l'arrangement de la classification de Nachenberg's) ou le multipartite (en termes de terminologie conventionnelle de virus) parce qu'ils emploient les deux art de l'auto-portrait-launching et mécanismes utilisateur-lancés.

Caractéristiques De Virus

Les caractéristiques suivantes ne sont pas nécessairement limitées aux classifications particulières de virus/worm, mais sont d'importance ne fût-ce qu'en raison de la manière la discrétion et le polymorphisme de limites sont tellement souvent abusés :

· Discrétion. Presque tous les virus incluent un degré de discrétion, c.-à-d., ils essayent de cacher leur présence afin de maximiser leurs chances de la propagation. Il y a eu des virus qui ont demandé la permission avant l'infection, mais cette courtoisie n'a pas été récompensée par la diffusion large. Des charges utiles remarquables tendent à être évitées, ou sont livrées assez irrégulièrement. Les virus de discrétion emploient n'importe laquelle d'un certain nombre de techniques pour cacher le fait qu'un objet a été infecté. Par exemple, quand le logiciel d'exploitation réclame certaine information, le virus de discrétion répond avec une image de l'environnement comme il était avant que le virus l'ait infecté. En d'autres termes, quand l'infection a lieu d'abord, les informations sur les enregistrements de virus nécessaires pour duper plus tard le logiciel d'exploitation.

Ceci a également des implications pour les outils d'anti-virus qui fonctionnent à côté de détecter que quelque chose a changé plutôt qu'en détectant et en identifiant les virus connus. Pour être efficaces, de tels outils doivent employer des techniques génériques d'anti-discrétion. Naturellement, il n'est pas possible de garantir que de telles techniques fonctionneront contre un virus qui n'a pas été encore découvert. Cependant, modules de balayage de virus qui détectent su que les virus sont à un avantage à cet égard, parce que les fournisseurs compenseront normalement une nouvelle technique blagueur quand ils ajoutent la détection pour le virus qui l'utilise. Le tour utilisé par un certain BSIs de montrer une image du secteur original d'initialisation comme si il était toujours où il a appartenu est une technique classique de discrétion. Les virus de dossier caractéristiquement (mais pas invariablement) augmentent la longueur d'un dossier infecté, et peuvent charrier le logiciel d'exploitation ou un module de balayage d'anti-virus en renversant le système appelle de sorte que les attributs du dossier avant l'infection, soient rapportés, y compris la longueur de dossier, l'heure et le datestamp, et somme de CRC.

· Polymorphisme. Des virus polymorphes sont adorés par des auteurs de virus et craints par presque chacun autrement. C'est en partie en raison d'une surestimation de l'impact de la menace polymorphe. les virus Non-polymorphes infectent habituellement par a de fixation plus-ou-moins copie identique d'eux-mêmes à un nouvel objet de centre serveur. Les virus polymorphes attachent une copie évoluée d'eux-mêmes, de sorte que la forme du virus change d'une infection à l'autre. Les techniques utilisées par virus polymorphes tôt telles que changer l'ordre des instructions, présenter des bytes de bruit et des instructions factices, et changer les instructions exécutaient une fonction spécifique. Une approche plus sophistiquée est d'employer le chiffrage variable, ramenant rigoureusement la quantité de code statique (d'invariable) disponible au programmeur d'anti-virus pour employer pour extraire un modèle par lequel le virus peut être identifié. Vous pourriez imaginer (autant de personnes ) que ceci fait à polymorphisme une technologie formidable pour parer. En effet, l'apparition des virus polymorphes et les moteurs embrochables de mutation (permettant à presque tout auteur de virus d'inclure le chiffrage variable dans son propre travail sans réinventer la roue) ont contribué à la disparition de certains de premiers paquets d'anti-virus. Cependant, bien que les virus polymorphes soient populaires avec des auteurs de virus démontrant leurs qualifications, ils ont été moins bons représentés dans le domaine que dans les collections de chercheurs d'anti-virus, de laboratoires de certification, d'appareils de contrôle comparatifs, et de d'autres qui ont besoin aussi complet d'une collection comme possible. la technologie de balayage d'Anti-virus a également passé, et le balayage simple de signature pour une chaîne de caractères fixe ne joue pas un grand rôle dans le fonctionnement d'un module de balayage moderne.

Les classifications du malware viral décrites plus tôt ne couvrent pas la gamme entière des objets détectés par le logiciel d'anti-virus. Quelques fournisseurs sont rapides pour préciser que ce qu'ils vendent est logiciel d'anti-virus, pas logiciel d'anti-malware. Néanmoins, de nos jours la plupart des produits commercial détectent quelques chevaux de Trojan et d'autres objets qui qualifient à peine comme malware, encore moins virus. De tels objets incluent ont prévu (non-fonctionnant) des virus, programmes de plaisanterie, les programmes de DDoS (démenti de service distribué), même les dossiers d'ordures qui sont connus pour être présents dans les collections probablement mal maintenues de virus pour être les critiques utilisés de sous-produit.

Certainement, il y a plus de virus qui infectent des plateformes de PC (DOS et toutes les saveurs de Windows) que n'importe quel autre logiciel d'exploitation. Les virus indigènes de Macintosh sont lointains moins. En fait, il y a probablement des virus plus indigènes sur les systèmes tels qu'atari et Amiga qui n'ont jamais eu la même popularité (dans les environnements de corporation, au moins). Cependant, le fait que la part de Apple Macintoshes avec Windows par degré de vulnérabilité à de macro virus de Microsoft Office leur fait l'autre environnement virus-amical principal aujourd'hui.

Il ne devrait pas supposer, cependant, que d'autres plateformes n'ont pas des problèmes de virus. Des contrôles d'accès peuvent être imposés aux comptes non privilégiés dans UNIX (Linux y compris), NT, NetWare, et d'autres plateformes pour limiter l'écoulement d'infection. Cependant, ils ne peuvent pas empêcher les utilisateurs non privilégiés de partager des dossiers, ne fût-ce que par l'email. Ni peuvent ils empêcher un utilisateur privilégié écartant par distraction l'infection. Même systèmes qui ne soutiennent aucun virus indigène connu (des serveurs ou des postes de travail) peuvent porter les objets infectés entre les centres serveurs infectable, un processus parfois connu sous le nom de transmission hétérogène de virus. Elle est en tant qu'important pour balayer les serveurs d'archivage de réseau, Intranet, et d'autres serveurs de Web, indépendamment de leur logiciel d'exploitation indigène. En fait, un nombre croissant de produits détectent des virus liés à d'autres environnements de fonctionnement. Ainsi quelques produits d'imper détectent des virus de PC, et vice versa.

Clairement, les virus représentent un risque sur l'Internet. Ce risque est plus haut pour ceux DOS fonctionnant, n'importe quelle variante de Windows, ou certaines applications macro-capables, particulièrement le progiciel d'applications de Microsoft Office. La plupart du temps c'est une question de part de marché. La plupart des auteurs de virus visent des PCS et Windows parce qu'est c'à ce qu'ils ont accès. Cependant, il y a d'autres facteurs qui augmentent le risque : par exemple, architecture du matériel de PC, vue attrayante de Microsoft du manque de besoin de sécurité sur les systèmes individuels, et les dangers d'avoir le macro code et données dans le même dossier. Il y a quelques outils à aider à maintenir des systèmes sûrs des attaques de virus. le logiciel d'Anti-virus est la plupart du temps réactif : Il répond à une menace perçue, et aux travaux le plus efficacement contre des menaces qu'elle peut identifier avec la précision (c'est-à-dire, virus connus). La meilleure défense contre les virus inconnus doit souvent travailler dans un environnement qui ne fournit pas un centre serveur aux classes particulières de la menace. Tristement, cependant, ce n'est souvent pas une option, en particulier dans quelques environnements de corporation où des produits de Microsoft sont considérés obligatoires.

c'est un article supplémentaire par Marcel Baldwin


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions