Como Faça O Trabalho Dos Sem-fins

Share

|

O sem-fim 1988 de Morris (o sem-fim do Internet) e seus siblings, como WANK e CHRISTMA EXEC, ferragem resistente geralmente alvejada do mainframe e do minicomputer, correio, e sistemas operando-se. Umas ameaças mais recentes foram apontadas primeiramente em PCES, e, em um incident altamente publicized (o sem-fim do autoStart), em macs de Apple. Entretanto, puderam ter o efeito incidental de trazer abaixo usuários do correio através do peso sheer do tráfego que geram. Alguma destes foi classificada vària por investigadores e por vendedores diferentes como vírus, como sem-fins, como híbrido de virus/worm, e ocasionalmente como cavalos de Trojan.

Os sem-fins de hoje e os vírus do email tendem a ser queimadores rápidos. Têm o potencial espalhar global antes que os vendedores do anti-vírus tenham o tempo para os analisar e para distribuir meios da deteção e do disinfection. Algum do malware consultado geralmente a porque os sem-fins são realmente os vírus especializados que infect somente uma lima. Isto não significa, naturalmente, que um vírus gosta de Lehigh, que infects somente COMMAND.COM, pode sensibly ser definido como um sem-fim.

As classificações universal aceitadas dos sem-fins não existem, mas Carey Nachenberg, em um papel para a conferência 1999 do boletim do vírus, propôs um esquema da classificação ao longo das seguintes linhas:

· Sem-fins do email, unsurprisingly, propagação através do email.

· Propagação arbitrária dos sem-fins do protocolo através dos protocolos não baseados em email (soquetes de IRC/DCC, de ftp, de TCP/IP).

As.well.as propôr a classificação pelo mecanismo do transporte, Nachenberg propôs também a classificação lançando o mecanismo:

· os sem-fins Self-lançando-se tais como o sem-fim 1988 do Internet não requerem nenhuma interação com o usuário do computador espalhar: Exploram algum vulnerability do ambiente do anfitrião, melhor que em alguma maneira que engana o usuário em executar o código infective. Entretanto, KAK e o BubbleBoy rather mais raro são exemplos de self-lançar sem-fins. Explorando um erro no ambiente de Windows, podem executar sem intervenção do usuário.

· os sem-fins Usuário-lançados interagem com o usuário. Necessitam usar técnicas sociais da engenharia persuadir a vítima a open/execute um acessório antes que o sem-fim possa subvert o ambiente para se lançar no grupo seguinte dos anfitriões. Muitos de sem-fins de hoje de VBScript caem neste ou Híbrido-lance a categoria.

No fato, alguns dos sem-fins que nós vimos para datar são provavelmente melhores classificados como Híbrido-lançam-se sem-fins (pelo esquema da classificação de Nachenberg) ou multipartite (nos termos da terminologia convencional do vírus) porque usam ambos quese lançam e mecanismos usuário-lançados.

Características Do Vírus

As seguintes características não estão restringidas necessariamente às classificações particulares de virus/worm, mas são de alguma importância se somente por causa da maneira o stealth e o polymorphism dos termos forem empregados mal assim frequentemente:

· Stealth. Quase todos os vírus incluem um grau de stealth, isto é, tentam esconder sua presença a fim maximize suas possibilidades de espalhar. Houve os vírus que pediram a permissão antes de infecting, mas esta cortesia não foi recompensada pela disseminação larga. Os payloads conspícuos tendem a ser evitados, ou são entregados razoavelmente irregular. Os vírus de Stealth usam algumas de um número de técnicas esconder o fato que um objeto infected. Para o exemplo, quando o sistema se operando se chama para determinada informação, o vírus do stealth respondeu com uma imagem do ambiente como era antes que o vírus infected o. Ou seja quando a infecção ocorrer primeiramente, a informação de registros do vírus necessária enganar mais tarde o sistema operando-se.

Isto tem também implicações para as ferramentas do anti-vírus que trabalham detectando que algo mudou melhor que detectando e identificando vírus sabidos. Para ser eficazes, tais ferramentas devem usar técnicas genéricas do anti-stealth. Naturalmente, não é possível garantir que tais técnicas trabalharão de encontro a um vírus que não seja descoberto ainda. Entretanto, varredores do vírus que detectam sabido que os vírus estão em uma vantagem neste respeito, porque os vendedores compensarão normalmente para uma técnica spoofing nova quando adicionarem a deteção para o vírus que a emprega. O truque empregado por algum BSIs de indicar uma imagem do setor original do carregador como se era ainda onde pertenceu é uma técnica clássica do stealth. Os vírus da lima caracterìstica (mas não invariàvel) aumentam o comprimento de uma lima infected, e o spoof da lata o sistema operando-se ou um varredor do anti-vírus subverting o sistema chamam-se de modo que os atributos da lima antes da infecção, sejam relatados, including o comprimento da lima, a hora e o datestamp, e somas de controle do CRC.

· Polymorphism. Os vírus polymorphic adored por autores do vírus e são temidos por quase todos mais. Isto é em parte por causa de um over-estimation do impacto da ameaça polymorphic. os vírus Non-non-polymorphic infect geralmente por a unindo mais-ou-menos pela cópia idêntica dse a um objeto novo do anfitrião. Os vírus polymorphic unem uma cópia evoluída dse, de modo que a forma do vírus mude de uma infecção a outra. Os vírus polymorphic adiantados usaram técnicas tais como a mudança da ordem das instruções, introduzir bytes do ruído e as instruções dummy, e variar as instruções usadas executar uma função específica. Uma aproximação mais sofisticada deve usar o encryption variável, reduzindo dràstica a quantidade de código (unchanging) de estática disponível ao programador do anti-vírus para usar-se extrair um teste padrão por que o vírus pode ser identificado. Você pôde imaginar (tantos como povos ) que este faz a polymorphism uma tecnologia formidable para se opôr. Certamente, o emergence de vírus polymorphic e os motores de encaixe do mutation (que permitem quase algum autor do vírus de incluir o encryption variável em seu próprio trabalho sem reinventing a roda) contribuíram ao disappearance de alguns de uns pacotes mais adiantados do anti-vírus. Entretanto, embora os vírus polymorphic fossem populares com os autores do vírus que demonstram suas habilidades, foram mais menos bons representados no campo do que nas coleções de investigadores do anti-vírus, de laboratórios da certificação, de verificadores comparativos, e de outros que necessitam tão completo uma coleção como possível. a tecnologia da exploração do Anti-vírus moveu-se também sobre, e a exploração simples da assinatura para uma corda de caráter fixa não faz uma parte grande na operação de um varredor moderno.

As classificações do malware viral descritas mais cedo não cobrem a escala inteira dos objetos detectados pelo software do anti-vírus. Alguns vendedores são rápidos indicar que o que vendem é software do anti-vírus, não software do anti-malware. Nonetheless, hoje em dia a maioria de produtos comerciais detectam alguns cavalos de Trojan e outros objetos que qualificam mal como o malware, deixam vírus sozinhos. Tais objetos incluem pretenderam (non-funcionando) vírus, programas do gracejo, programas de DDoS (negação de serviço distribuída), mesmo as limas do lixo que são sabidas para estar atuais nas coleções provavelmente mal mantidas do vírus a ser usadas por revisores do produto.

Certamente, há mais vírus que infect plataformas do PC (DOS e todos os sabores de Windows) do que todo o outro sistema se operando. Os vírus nativos de Macintosh são distantes menos. No fato, há provavelmente uns vírus mais nativos nos sistemas tais como Atari e Amiga que nunca tiveram a mesma popularidade (em ambientes incorporados, ao menos). Entretanto, o fato que a parte de Apple Macintoshes com Windows um o grau de vulnerability aos vírus macro do escritório de Microsoft lhes faz o outro ambiente vírus-amigável principal hoje.

Não se deve supor, entretanto, que outras plataformas não têm problemas do vírus. Os controles de acesso podem ser impostos em clientes unprivileged em UNIX (Linux including), em NT, em NetWare, e em outras plataformas para restringir o fluxo da infecção. Entretanto, não podem impedir que os usuários unprivileged compartilhem de limas, se somente pelo email. Nem podem impedir um usuário privilegiado que espalha inadvertidamente a infecção. Mesmo sistemas que não suportam nenhuns vírus nativos sabidos (usuários ou estações de trabalho) podem carregar objetos infected entre anfitriões infectable, um processo sabido às vezes como a transmissão heterogênea do vírus. É como importante fazer a varredura dos usuários do arquivo da rede, Intranet, e os outros usuários da correia fotorreceptora, não obstante seu sistema operando-se nativo. No fato, um número crescente dos produtos detecta os vírus associados com outros ambientes operando-se. Assim alguns produtos do mac detectam vírus do PC, e o versa vice.

Claramente, os vírus representam um risco no Internet. Esse risco é mais elevado para aqueles DOS funcionando, todo o variant de Windows, ou determinadas aplicações macro-capazes, especial o suite de aplicações do escritório de Microsoft. Na maior parte esta é uma matéria da parte de mercado. A maioria de escritores do vírus alvejam PCES e Windows porque aquele é o que têm o acesso. Entretanto, há outros fatores que aumentam o risco: para a arquitetura do exemplo, de ferragem do PC, a vista rosy de Microsoft da falta da necessidade para a segurança em sistemas single-user, e os perigos de ter o código e dados macro na mesma lima. Há algumas ferramentas a ajudar manter sistemas seguros dos ataques do vírus. o software do Anti-vírus é na maior parte reactive: Responde a uma ameaça percebida, e aos trabalhos o mais eficazmente de encontro às ameaças que possa identificar com precisão (isto é, vírus sabidos). A mais melhor defesa de encontro aos vírus desconhecidos deve frequentemente trabalhar em um ambiente que não forneça um anfitrião às classes particulares da ameaça. Sadly, entretanto, esta não é frequentemente uma opção, particularmente em alguns ambientes incorporados onde os produtos de Microsoft são considerados obligatory.