Үндсэн цэс
        OS
        Компьютерын тухай
        Програм хангамж
        Anti Virus Security
        Драйвэр
        График
        Mac
        Flash/Animated
        HTML/CSS
        Joomla/CSS
        3D Max
        Icon
        Theme
        Фонт
        Электрон ном
        Хөгжилтэй булан
        Зөвөлгөө
        Клип
        Дуу хөгжим Цомог
        Кино
        Элдэв зураг

 

Хичээл цэс
        Компьютерын анхан шатны хичээл
        Visual studio хэл
        Java хэл
        C++ хэл
        Mozilla Firefox
        MS Office Word
        MS Office Excel
        Photo shop
        Yahoo
         Бусад хичээл

 

Тоглоом цэс
        PC
        Mac Games
        PlayStation
        PSP
        Wii
        Xbox
        Гар утсанд
        Warcraft
        Counter strike

 

Санал асуулга
Бидэнтэй холбогдох
Хэрэгцээт програм

 

Үндсэн хуудас » 2011 » Дөрөвүгээр cap » 19 » About Computer Virus
2:34 PM
About Computer Virus

Компьютерт  зөвшөөрөлгүйгээр  нэвтрэх  чадвартай,  тодорхой  үүрэг,  зорилготой  программыг  вирус гэж  ойлгож  болно.  Өөрөөр  хэлбэл  вирус  нь  хэрэглэгчид  мэдэгдэлгүйгээр,  түүний  зөвшөөрөлгүй компьютерт  нэвтэрч  чаддаг,  мөн  тодорхой  үүргийг  биелүүлэх  чадвартай  байна. Жишээлбэл:  зарим вирус  ехе  файлуудыг  гэмтээдэг  бол,  зарим  нь  компьютерийн  санах  ойд  байрлан  файлыг  өөрчлөх болон  шинээр  файлууд  үүсгэдэг  г.м  төрөл  бүрийн  зорилготой  байдаг.  Анхны  вирусууд  тоглоомын
зорилгоор үүсэж байсан бол одоо компьютерийн технологи, компьютерийн сүлжээ өргөжин тэлэхийн хэрээр вирусын  зорилго нь ч улам бүр өргөн  хүрээг  хамрах боллоо. Аливаа вирусын  гол  зорилго нь өөрийгөө  хэрхэн  түгээх  бололцоог  бий  болгох (хатуу  болон  уян  дискээр  дамжих,  сүлжээ,  захианд хавсаргагдан түгэх зэрэг), дараа нь тодорхой үүргийг гүйцэтгэх явдал байдаг. Эхэн үеийн вирусууд нь компьютерийн  зөвхөн software  хэсэг  буюу  программ  хангамжийг  гэмтээх  зорилготой  байсан  бол
сүүлийн  вирусууд  нь  компьютерийн hardware  хэсэг  гэж  нэрлэгддэг  зарим  төхөөрөмжүүд BIOS, SMOS setting, hard disk зэргийн үйлдвэрээс бичигдсэн программын хэсгийг нь өөрчлөх болон устгах чадалтай болжээ. Жишээлбэл:

  • Basic Input  Output System (BIOS)  нь  компьютер  асах  үед  уншигддаг  хамгийн  эхний  программ. Хэрвээ  компьютерийн  энэ  хэсэг  гэмтвэл  компьютер  асахгүй. BIOS  нь motherboard  дээр  байрлах тодорхой микросхем буюу chip-д байрлана. Тэгвэл W95/CIH-10xx зэрэг вирусууд нь компьютерийн энэ хэсгийг гэмтээдэг. 
  • CMOS settings нь  системийн  тухай  үндсэн мэдээллийг  агуулна. Энэ  нь motherboard  дээр  байрлах тодорхой микросхем буюу chip-д байрлана. Энэхүү chip нь motherboard дээрх тусгай батерейгаар тэжээгдэх бөгөөд системийн цаг, нууц үг, уян диск, хатуу диск, CD-ROM зэрэг төхөөрөмжүүд болон бусад  мэдээллийг  агуулна. CMOS settings-ийг  өөрчилснөөр  компьютерийг  асахгүй  болгож  болно.


Зарим trojan  вирусууд (Troj/KillCMOS-E  г.м) CMOS settings-ийг  өөрчлөх  замаар  компьютерийг ажиллахгүй болгоно. Ирээдүйн  вирусууд  нь  компьютерын  бусад  техникийн  хэсэг  рүү  довтлох,  үүгээр  зогсохгүй компьютерээр дамжуулан тухайн компьютерийг ашиглаж байгаа хүнд нөлөөлөх, жишээ нь дэлгэцийн давтамжийг  өөрчилснөөр  тухайн  хэрэглэгчид  нөлөөлөх,  толгой  өвдүүлэх, дотор муухай  оргиулах  г.м
боломжийг хайж байна. Үүгээр зогсохгүй санхүүгийн үйл ажиллагаанд ч вирусыг ашиглах тохиолдолд бий болж байгаа талаар бичих боллоо. Тухайлбал тухайн вирус банкны сүлжээнд нэврэн орж тодорхой үүрэг гүйцэтгэсний дараа өөрийгөө устгах г.м.
Анхны вирусыг 1981 онд зохиогдсон гэж үздэг. Энэ нь Apple II-ийн ний дискүүдэд халдварладаг Elk Cloner гэдэг нэртэй дараах текстийг дэлгэцэнд гаргадаг байв.


It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!
It will stick to you like glue
It will modify ram too
Send in the Cloner!


Үүнтэй  зэрэгцээд  энэ  вирусыг  устгах  зорилгоор  анхны anti-virus-ийг Fridrik Skulason  зохион гаргажээ.
1986 онд Пакистаны ах дүү Басит, Амжад нар уян дискийн boot sectоr-д агуулагддаг кодыг бичжээ. Энэ код нь компьютерийг уян дискнээс эхлүүлэхэд ажилладаг байв. Энэ нь өөрийнхөө кодыг хувилах чадвартай  буюу  санах  ойд  резидент  болон  байрлаж  өөр  уян  дискийг  компьютерт  хийхэд  тийшээгээ өөрийнхөө кодыг хуулдаг байв. Энэ программ нь өөрийгөө дүгээх чадвартай байсан тул үүнийг вирус гэж нэрлэжээ. Гэхдээ энэ нь зөвхөн 360KB-ийн уян дискийг л гэмтээдэг байв.
1990 онд 200 – 500 вирус л байсан бол 1991 онд 600 - 1,000, 1992 оны  сүүл  гэхэд 1,000 - 2,300 virus, 1994 оны дундуур 4,500 - 7,500 virus, 1996 онд 10,000, 1998 онд 20,000 ялгаатай вирус байсан бол 2000 онд энэ тоо 50,000-ийг нэгэнт давжээ.  Вирусыг  ихэвчлэн  вирус  чухам  юуг  гэмтээдэг  болон  хэрхэн  гэмтээдэг  аргаар  нь  ангилдаг. Жишээлбэл  вирусыг  компьютерийн  чухам  аль  хэсгийг  гэмтээдэг  вэ  гэдэг  талаас  нь  дараах  байдлаар
ангилдаг.

  • System Sector  virus -  энэ  нь  компьютерийг  асаах  үед  эхлэн  ажилладаг  программыг  агуулсан дискийн  хэсэг.  Энэ  талбарт  бичигдсэн  программыг  гэмтээсэн  тохиолдолд  компьютер  асахгүй. Компьютерт Dos Boot Sector (DBS), Partition Sector (Master Boot Record MBR) гэсэн 2 system sector 1МУИС, ФЭС – С.Баяртайван байдаг.  Энэ  хэсэгт  байрласан  вирус  нь  компьютерийг  гэмтээж  ажиллахгүй  болгохоос  гадна  уян дискээр дамжин тархах өргөн боломжтой байдаг тул түгээмэл тохиолддог.
  • File virus – энэ нь программын файлууд болох ехе, com өргөтгөлтэй файлуудыг гэмтээдэг.
  • Macro virus –  энэ нь data file  гэж нэрлэгддэг ажлын файлууд болох word, excel, powerpoint  зэрэг
    программуудыг  ашиглан  бэлтгэсэн файлуудыг  гэмтээдэг. Ихэвчлэн  захианд  хавсаргасан файлаар
    дамжин тархана.
  • Companion  File virus –  энэ  нь  файлуудыг  гэмтээдэггүй  боловч  файлуудын  нэр,  өргөтгөлийг сольчихдог  тул  жинхэнэ  замбараагүй  байдлыг  бий  болгодог.  Жишээ  нь  эдгээр  нь  бүх  ехе файлуудыг хайн олоод com өргөтгөлтэй болгож өргөтгөлийг сольдог.
  • Disk Cluster  virus –  энэ нь  өмнөх вирустай  төсөөтэй  үйлдлийг  хийнэ.  Гэхдээ файлын  өргөтгөлийг биш харин тухайн файлуудын байрлах директоруудыг сольчихдог.
  • Source Code virus – энэ нь идэвхтэй байгаа программын кодыг хайн олоод гэмтээдэг.
  • Worm virus  –  энэ  нь  өөрийгөө  хувилан  сүлжээгээр  дамжуулах  чадвартай  программ.  Ихэвчлэн үүнийг вирусууд өөрийгөө түгээх зорилгоор ашигладаг.

 

Дээрх ангилалыг арай дэлгэрэнгүйгээр нь авч үзвэл:

Joke

Тодорхойлолт:

Гэм хоргүй боловч алиа шог хэлбэрийн программууд. Ихэнх тохиолдолд хүмүүс үүнийг virus, trojan-уудтай андуурдаг.

Үйлчилгээ:

Ямар нэгэн хортой нөлөө байхгүй

Нэршил:

"Joke/" гэсэн үгийг агуулсан байдаг.

Trojan

Тодорхойлолт:

Trojan-ний  жинхэнэ  нэршил  нь Trojan  Horse.  Эдгээр  нь  янз  бүрийн  тоглоом,  нэмэлт
буюу update  программуудаар  дамжина.  Хэсэг  хугацаанд  нуугдмал  хэлбэрт  байж
байгаад тодорхой боломжийг бүрдмэгц идэвхждэг. Тухайлбал бүх файлуудыг устгах г.м

Нэршил:

"Troj/" гэсэн үгийг агуулсан байна.


Access 97 macro virus

Халдварлах хүрээ:

MS Access 97 болон сүүлийн үеийн үйлдлийн системүүдийг гэмтээнэ.

Ашигласан программчлалын хэл:

VBA macro language.

Үйлчилгээ:

Access-ийн мэдээллийн сангийн файлуудыг гэмтээж ажиллахгүй болно.

Нэршил:

"AM97/" болон нэрэндээ "A97M", "AM" үгнүүдийг агуулсан байна.

Batch file worm

Халдварлах хүрээ:

Сүлжээнд  холбогдсон DOS,  Windows 95/98/Me, Windows NT/2000  үйлдлийн  систем
бүхий компьютерууд.

Үйлчилгээ:

Сүлжээнд холбогдсон компьютеруудын share-ийг хайн олоод өөрөө тэнд хуулагдана.

Нэршил:

Энэ төрлийн вирусууд нь "Bat/" гэсэн үгийг агуулсан байна.


Companion virus

Халдварлах хүрээ:
Бүх үйлдлийн системүүд
Үйлчилгээ:

Сompanion virus  нь  файлуудын  нэр  болон  өргөтлийг  сольж  өөр  нэр  өргөтгөлтэй
болгодог. Жишээ нь GAME.EXE файлыг GAME.EX г.м-ээр.
Нэршил:

Албан ёсны нэршил байхгүй, ямарч нэртэй байж болно.


Corel Script virus

Халдварлах хүрээ:
Corel SCRIPT файлууд нь бүх үйлдлийн системүүд нь ажиллах боломжтой.
Ашигласан программчлалын хэл:

Corel SCRIPT macro language.
Үйлчилгээ:

Corel SCRIPT файлуудыг гэмтээж ажиллахгүй болгоно.
Нэршил:

Энэ төрлийн вирус нь "CSC/" үгийг агуулсан байдаг.


DOS Boot Sector virus

Халдварлах хүрээ:
Хатуу дискийн DOS Boot Sector (DOS Boot Record) болон уйн дискийн boot sector.
DOS Boot Sector virus нь Intel болон түүнтэй зохицдог персионал компьютеруудад уян
дискээр дамжин халдварлах чадвартай. 
Ашигласан программчлалын хэл нь:

Intel 80x86 Assembler.
Үйлчилгээ:

Халдвар  авсан  компьютерийн  санах  ойд  байрлан  ямар  нэгэн  уян  диск  ашиглах  үед
түүнийг гэмтээнэ.
Нэршил:

Энэ  төрлийн  вирусууд  нь  ямар  нэгэн  стандарт  нэршил  байхгүй,  ямар  ч  нэртэй  байж
болно.


DOS executable file virus

Халдварлах хүрээ:
DOS/Windows-ийн ехе файлууд.
Үйлчилгээ:

Ехе файлуудыг  гэмтээнэ. Санах  ойд резидент болон байрлаж  ямар нэгэн дрограммыг
ажиллуулах үед тухайн программын файлуудыг гэмтээнэ. Зарим хувилбарууд нь бусад
программын файлуудыг хайн олоод гэмтээдэг. 
Нэршил:

Энэ  төрлийн  вирусууд  нь  ямар  нэгэн  стандарт  нэршил  байхгүй,  ямар  ч  нэртэй  байж
болно.


Excel formula virus

Халдварлах хүрээ:
MS Excel 5 болон сүүлийн үеийн үйлдлийн системүүд.
Ашигласан программчлалын хэл:
Excel formula language.
Үйлчилгээ:

Халдвар  авсан  файлыг  нээх  үед  энэ  гэмтэлтэй  файлыг XLSTART  фолдерт  хуулна.
Ингэсний дараа бусад файлуудыг нээхэд энэ файл автоматаар нээгдэнэ.
Нэршил:

Энэ төрлийн вирусууд нь "XF/", "XF97/" үгнүүдийг агуулсан байна.


Excel macro virus


Халдварлах хүрээ:

MS Excel 5 болон сүүлийн үеийн үйлдлийн системүүд.
Ашигласан программчлалын хэл:

VBA3 macro language.
Үйлчилгээ:

Халдвар  авсан  файлыг  нээх  үед  энэ  гэмтэлтэй  файлыг XLSTART  фолдерт  хуулна.
Ингэсний дараа бусад файлуудыг нээхэд энэ файл автоматаар нээгдэнэ.
Нэршил:

"XM97/", "X97M", "XM/" гэсэн үгийг агуулна.


JavaScript virus

Халдварлах хүрээ:
JavaScript scripting файлууд, HTML файлууд, Microsoft Outlook, Internet Explorer.
Ашигласан программчлалын хэл:

JavaScript
Үйлчилгээ:

Файлуудад өөрийг хуулна.
Нэршил:

"JS/" гэсэн үгийг агуулна.


JavaScript worm

Халдварлах хүрээ:
JavaScript scripting file, HTML file, Microsoft Outlook, Internet Explorer.
Ашигласан программчлалын хэл:

JavaScript
Үйлчилгээ:

IRC, Outlook-ийг ашиглан  электрон шуудангаар ашиглан халдвар авсан файлыг бусад
хүмүүс рүү илгээнэ.
Нэршил:

"JS/" гэсэн үгийг агуулна.


Linux worm

Халдварлах хүрээ:
Linux үйлдлийн системтэй сүлжээний компьютеруудад халдварлана.
Үйлчилгээ:

Linux worm нь сүлжээний компьютеруудад халдварлаж замаар тэднийг гэмтээнэ.
Нэршил:

"Linux/", "Unix" гэсэн үгнүүдийг агуулна.


Macromedia Flash infector

Халдварлах хүрээ:
Macromedia Flash файлууд.
Үйлчилгээ:

Flash file-ийг ажиллуулах болгонд түүнд өөрийгөө хуулна.


Master Boot Sector virus

Халдварлах хүрээ:
Хатуу дискийн Master Boot Sector (Master Boot Record) болон уян дискийн boot sector.
Master Boot  Sector virus  нь Intel  болон  түүнтэй  зохицдог  компьютеруудыг  уян  диск
ашиглан гэмтээж чадна.
Ашигласан программчлалын хэл:

Intel 80x86 Assembler.
Үйлчилгээ:

Гэмтэлтэй компьютерийн шуурхай санах ойд байрлаж түүнд уян диск хийх үед түүнийг
гэмтээнэ. 
Нэршил:

There is no standard naming convention for this type of virus.

MIRC, pIRCH script worm

Халдварлах хүрээ:
IRC ашигладаг бүх системүүдэд.
Ашигласан программчлалын хэл:

IRC Script.
Үйлчилгээ:

Exe файлуудыг SCRIPT.INI файл болгон өөрчилнө.
Нэршил:

"mIRC/", "pIRC/" гэсэн үгнүүдийг агуулна


Office 97 macro virus

Халдварлах хүрээ:
MS Office 97болон сүүлийн үеийн үйлдлийн системүүд.
Ашигласан программчлалын хэл:

VBA5 болон сүүлийн үеийн macro language.
Үйлчилгээ:

Word, Excel, PowerPoint, Project файлуудыг гэмтээнэ.
Нэршил:

"OF97/" гэсэн үгийг агуулна.


PalmOS based executable virus

Халдварлах хүрээ:
PalmOS Palm (PRC) файлууд.
Үйлчилгээ:

Мэддэг бүх вирусуудыг идэвхжүүлж, бусад Palm файлуудыг гэмтээнэ.
Нэршил:

"Palm/" гэсэн үгийг агуулна.


PowerPoint 97 macro virus

Халдварлах хүрээ:
MS PowerPoint 97 болон сүүлийн үеийн үйлдлийн системүүд.
Ашигласан программчлалын хэл:

VBA5 болон сүүлийн үеийн macro language.
Үйлчилгээ:

PowerPoint  файлуудыг  гэмтээхээс  гадна  main template (Blank  Presentation.pot)-ийг
гэмтээдэг  ингэснээр шинэ presentation  үүсгэх  болгонд  энэ шинээр  үүссэн файл маань
гэмтэнэ.
Нэршил:

"PM97/", "PP97M" гэсэн үгнүүдийг агуулна.


Visual Basic Script virus

Халдварлах хүрээ:
Visual Basic  файл,  визуаль  бейсик  ашигласан HTML  файл, Microsoft  Outlook,  Internet
Explorer.
Ашигласан программчлалын хэл:

Visual Basic Script.
Үйлчилгээ:

Ехе файлуудыг гэмтээнэ. Зарим вирусууд жишээ нь VBS/Dismissed-B вирус нь Outlook-
ийн захиануудыг гэмтээдэг.
Нэршил:

"VBS/" гэсэн үгийг агуулна.


Visual Basic Script worm

Халдварлах хүрээ:
Visual Basic  файл,  визуаль  бейсик  ашигласан HTML  файл, Microsoft  Outlook,  Internet
Explorer.
Ашигласан программчлалын хэл:

Visual Basic Script.
Үйлчилгээ:

IRC болон Outlook-ийг ашиглан халдварласан файлыг бусдад тараана.
Нэршил:

"VBS/" гэсэн үгийг агуулна.


Win32 executable file virus

Халдварлах хүрээ:
MS Windows 95/98/Me, NT, 2000 PE (Portable Executable) файлууд.
Үйлчилгээ:

Ехе файлуудыг  гэмтээнэ.  Зарим  вирусууд жишээ  нь W32/ExploreZip  вирус  нь Outlook-
ийн захиануудыг гэмтээдэг.
Нэршил:

"W32/", "Win32" гэсэн үгнүүдийг агуулна.


Win32 worm

Халдварлах хүрээ:
MS Windows 95/98/Me, NT, 2000 PE (Portable Executable) файлууд.
Үйлчилгээ:

Win32 worm нь Windows сүлжээний API, MAPI функцуудыг ашиглан тархах болон email
client жишээ нь Microsoft Outlook-ийг ашиглан тархана. Тэдгээр нь өөрсдөө захиа бичиж
түүндээ worm программыг хавсарган илгээх чадвартай.
Нэршил:

"W32/", "Win32" гэсэн үгнүүдийг агуулна.


Windows 95 executable file virus

Халдварлах хүрээ:
MS Windows 95/98/Me PE (Portable Executable) файлууп.
Үйлчилгээ:

Ехе файлуудыг  гэмтээнэ.  Зарим  вирусууд  нь  санах  ойд  байрлан  бусад  програмуудыг
ачааллах  үед  тэднийг  гэмтээнэ.  Мөн  зарим  нь  компьютерт  суугдсан  программуудыг
хайн олж гэмтээнэ.
W95/Babylonia зэрэг зарим хувилбарууд нь захианы файлуудыг олж гэмтээдэг.
Нэршил:

"W95/", "Win95" гэсэн үгнүүдийг агуулна.


Windows 98 executable file virus

Халдварлах хүрээ:
MS Windows 98 PE (Portable Executable) файлууд.
Үйлчилгээ:

Ехе файлуудыг  гэмтээнэ.  Зарим  вирусууд  нь  санах  ойд  байрлан  бусад  програмуудыг
ачааллах  үед  тэднийг  гэмтээнэ.  Мөн  зарим  нь  компьютерт  суугдсан  программуудыг
хайн олж гэмтээнэ.
Нэршил:

"W98/", "Win98" гэсэн үгнүүдийг агуулна.


Windows NT executable file virus

Халдварлах хүрээ:
MS Windows NT, 2000 PE (Portable Executable) файлууд.
Үйлчилгээ:

Ехе файлуудыг гэмтээнэ.
Нэршил:

"WNT/", "WinNT" гэсэн үгнүүдийг агуулна.


Windows 2000 executable file virus

Халдварлах хүрээ:
MS Windows 2000 PE (Portable Executable) файлууд.
Халдварлах хүрээ:

Ехе файлуудыг  гэмтээнэ.  Зарим  вирусууд  нь  санах  ойд  байрлан  бусад  програмуудыг
ачааллах  үед  тэднийг  гэмтээнэ.  Мөн  зарим  нь  компьютерт  суугдсан  программуудыг
хайн олж гэмтээнэ.
Нэршил:

"W2K/" гэсэн үгийг агуулна.


Word macro virus

Халдварлах хүрээ:
MS Word-ийн бүхий л хувилбарууд.
Ашигласан программчлалын хэл:
Word Basic macro language (Word 6 ба 95-д ашигласан).
Үйлчилгээ:

Халдвартай документийг нээх үед global template (ихэвчлэн NORMAL.DOT) уруу macro-г
хуулна. Ингээд бусад документийг нээх үед энэ нь автоматаар ажиллана.
Нэршил:

"WM/", "Winword", "WM97/", "W97M" гэсэн үгнүүдийг агуулна.


Word 97 macro worm

Халдварлах хүрээ:
MS Word 97 болон бусад үйлдлийн системүүд.
Ашигласан программчлалын хэл:

VBA5 болон сүүлийн үеийн macro language.
Үйлчилгээ:

mail program-ууд  жишээ  нь MS Outlook-ийг  ашиглан  автоматаар  гэмтэлтэй  файлыг
address book-д  байгаа  хаягуудаар  илгээнэ.  Зарим worm-ууд  нь Word macro virus-тэй
адилхан үйлчилгээтэй байдаг.
Нэршил:

"WM97/", "W97M" гэсэн үгнүүдийг агуулна.


Өнөөдөр дараах вирусууд хамгийн их хор нөлөөг үзүүлж байна.


Back Orifice

Back Orifice нь Trojan-ний  төрөлд хамаарна, интернэтийн  сүлжээнд холбогдох үед идэвхждэг. Оргиналь программыг Windows 95/98-д зориулан Cult of the Dead Cow (cDc) группээс 1998 оны 8  сард  гаргасан.  Во-2000  хувилбар  нь NT-д  зориулагдсан.  Сүлжээг  удирдахад  зориулагдсан Microsoft-ийн Back Office  прогрммын  нэрийг  бага  зэрэг  өөрчлөн  ашигласан. TCP/IP  сүлжээнд холбогдох үед ажилладаг. Гэхдээ ямар нэгэн remote компьютерээс *!*QWTY? команд ирэхийг хүлээнэ.  Ийм  командыг  хүлээн  авангуутаа  компьютерийн  тухай  мэдээлэл,  дискийн  агуулга, архивласан  болон  архивыг  задласан  файлууд, cache-д  байгаа  паспортууд  зэрэг  нэлээд дэлгэрэнгүй мэдээллийг илгээнэ. Ингээд зогсохгүй энэ компьютерт HTTP протоколыг ашиглан web browser-ээр нэвтрэх боломжийг олгоно. Мөн remote компьютерт download хийх боломжийг олгоно.

CIH Spacefiller
Хорлон сүйтгэх чадлаараа нэлээд дээгүүрт тооцогддог энэ вирус нь 1998 оны 6 сард Chernobyl гэдэг нэрээр анх гарсан.  Оргиналь вирус нь Чернобылийн сүйрэл болсон 4-р сарын 26-нд идэвхждэг. Бусад хувилбарууд нь сар болгоны 26-нд идэвхждэг. Гол аюул нь идэвхжсэн үедээ Falsh BIOS болон хатуу дискийг дахин  бичихийг  оролддог.  Ингэснээрээ  хатуу  дикэн  дээр  файлуудыг  устгаад  зогсохгүй компьютерийн BIOS-ийг гэмтээснээр компьютерийг асахгүй болгоно.

Kakworm
Kakworm (KAK)  нь worm-ийн  төрөлд  хамаарна. Энэ  нь Microsoft-ийн Internet Explorer browser болон Outlook Express mail program-уудаар дамжин тархана. Бусад программуудаар дамжихгүй. KAK  нь HTML-ийг  ашиглан  захианы signature  хэлбэрээр  дамжина.  Үүнийг  харах  боломжгүй. Учир  нь KAK  нь JavaScript  дээр  бичигдсэн  байдаг.  Зөвхөн  энэхүү  вирустай  захиаг  уншихад  л хангалттай. Ямар нэгэн файлыг нээх болон attachment-ийг үзэх шаардлагагүй. Зөвхөн вирустэй захиаг унших үед энэ worm идэвхжиж Windows-ийг Startup фолдерт KAK.HTA файлыг хадгална. Дараагийн  алхамд  компьютер  асахдаа KAK.HTA  нь  ажиллаж Windows  фолдерт KAK.HTM файлыг  үүсгэнэ. KAK.HTM-ийн registry-г  өөрчлөх  замаар  бүх  илгээж  байгаа  захиануудад signature  агуулагдахаар  бэлтгэнэ.  Ингэснээр  өөрийгөө  цаашид  тархах  нөхцөлийг  бүрдүүлнэ.
Ингэсний дараа шинэ \AUTOEXEC.BAT файлыг үүсгэнэ. Оргиналь файлыг нь \AE.KAK-д хуулна. Ямар нэгэн сарын 1-ний өдрийн 5 цагт дэлгэцэн дээр "Kagou-Anti-Kro$oft says not today" гэсэн мэдээг  гаргаад компьютерыг унтраана. Энэ нь захиагаар дамжин тархдаг вирусуудаас тархах хэлбэрээрээ хамгийн боловсронгуй болсон вирус.

 

Laroux

Laroux нь анхны Microsoft Excel macro virus буюу excel-ийн файлуудыг гэмтээдэг, энгийн macro вирус. Оригналь хувилбар нь AUTO_OPEN болон CHECK_FILES гэсэн 2 макрог агуулна. Эхнийх
нь Exсel ажиллах үед, дараагийнх нь файл нээх үед ажиллана.  CHECK_FILES нь Excel-ийн startup path буюу эхлэх замыг хайн олоод (энэ нь ихэвчлэн XLSTART директор байна) PERSONAL.XLS-ийг ажиллуулна. Хэрэв энэ олдохгүй бол өөрөө үүнийг үүсгэнэ.
PERSONAL.XLS  нь Exсel-ийг  ажиллуулах  үед  автоматаар  ажилладаг (Word-ийн NORMAL.DOT-той адилхан). Хэрэв энэ файлд вирус суусан тохиолдолд Excel-ийг нээсэн хуудас болгон гэмтэх болно. Laroux  нь Visual Basic-ийн  макро  бичихэд  зориулагдсан Visual Basic for Applications (VBA) ашиглан бичигдсэн.

Love Letter
Энэхүү Visual Basic  Script worm  нь  захиагаар  хавсаргагдан  хамгийн  өргөн  тархсан worm-д ордог.  Энэхүү worm  тархах  захиа  нь "ILOVEYOU"  гэсэн  нэртэй  байх  бөгөөд "kindly check the attached LOVELETTER coming from me."  гэсэн  үгтэй  захиа  байна.  Ингээд  хавсаргасан LOVE-LETTER-FOR-YOU.TXT.vbs файлыг нь нээвэл та энэ вирусыг өөртөө татаад авчихлаа гэсэн үг.  Ингээд энэ вирус нь дараах зүйлүүдийг хийх болно.

  • IE download directory-оос WinFAT32.exe файлыг шалгаад  олдвол IE-гийн Startup page-ийнregistry-ийг  өөрчилна.  Ингэснээр  дараагийн  удаа  компьютерийн  асаах  үед  хэд  хэдэн website-уудаас WIN-BUGSFIX.exe файлыг татан авах болно.
  • IE-гийн start page-ийг үргэлж хоосон байхаар тохируулна.
  • Компьютер асах болгонд өөрийнхөө хуулбарыг 2 газарт хуулна.
  • Outlook-ийн address book-д байгаа бүх хаягаар өөрийнхөө хуулбарыг илгээх болно.
  • Локаль  болон  сүлжээний  бүх  драйверуудаас  VBS, VBE, JS, JSE, CSS,  WSH, SCT,  HTA файлуудыг хайн олоод бүгдэд нь өөрийнхөө кодыг бичиж VBS өргөтгөлтэй болгоно.
  • График файлууд болох JPG, JPEG файлуудыu мөн хайн олоод өөрийнхөө кодыг хуулан VBS өргөтгөлтэй болгоно.
  • Mультмедиа файлууд болох MP2, MP3 хайн олоод тэдгээрийг нуугаад оронд нь өөрийнхөө кодыг агуулсан шинэ файлыг үүсгэнэ.
  • Зарим  тохиолдолд mIRC client-ийг  хайн,  хэрэв  олдвол  түүнд HTM файлаа mIRC chat-аар илгээнэ.


Melissa

Melissa нь Word macro virus ба E-mail worm 2-ыг хослуулсан хувилбар. Анх 1999 оны 3-р сарын
26-нд илэрч маш түргэн хугацаанд тархсан. Word macro virus бүхий документийг хавсаргасан
захиагаар  тархана.  Хэрэв  энэ  хавсаргасан  файлыг  нээвэл  компьютерт  чинь  халдварлана.
Ингээд хамгийн түрүүнд Outlook address book-ийн эхний 50 хаягаар өөрийгөө хувилан илгээнэ.
Энэ  захиа  нь "Important Message From <your username>"  нэртэй, "Here is that document you
asked for ...don't show anyone else ;-)"  гэсэн  үгтэй  захиа байна. Захианд  хавсаргасан файлыг
нээх үед Word-ийн NORMAL.DOC-ийг гэмтээнэ. 


Nimda

Nimda  нь virus/worm-ийн  хослол.  Энэ  нь  файлыг  гэмтээхээс  гадна  E-mail, Web site,  локал
сүлжээгээр  өөрийгөө  тархаах  чадвартай.  Энэ  нь EXE  файлуудыг  гэмтээхээс  гадна Web
хуудсуудыг  гэмтээдэг. Мөн  сүлжээний  хэрэглэгчдийг  хайн  олоод  түүн  рүү  довтолдог   анхны worm. Nimda нь тархахдаа дараах аргуудыг ашиглана. Сүлжээгээр E-mail-ийг ашиглан EXE файлуудыг гэмтээдэг. Мөн сүлжээний share-уудыг ашиглан тархана Хэрэв web server-т халдварласан бол энэ web server-ийн Web site-уудыг үзэх үед халдварлана. Дараах хувилбаруудтай:

  • File Infection. Энэ нь ехе файлуудыг хайн олоод түүнд өөрийнхөө кодыг хуулна. Хэрэв энэфайлыг  сүлжээнээс  татан  авч  ажиллуулбал  тэр  нь  задарч  оргиналь  программыг ажиллуулдаг. Ингээд өөрийнхөө үндсэн файлыг устгадаг. Хэрэв устгаагүй бол WININIT.INI-ийн  командыг  ашиглан Windows-ийг  дараагийн  удаа  ажиллуулахад  энэ файлыг  устгадаг.
    Nimda нь EXE файлуудыг дараах түлхүүрийг ашиглан хайна:
    [SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths],
    [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
    Сонирхолтойн WINZIP32.EXE файл энэ вирусд гэмтдэггүй.
  • E-mail Worm.  Бусад worm-той  адилхан. E-mail  client-ийн address  book  болон HTML
    файлуудаас E-mail address-уудыг  хайн  олоод  өөрийгөө  энэ  хаягаар  бичсэн  захианд хавсарган  илгээнэ. E-mail-ээр  илгээсэн  захиа  нь 2  хэсгээс  тогтно.  Үүний  эхнийх  нь "text/html"  төрлийн MIME  байна.  Гэхдээ  энэ  нь  ямар  нэгэн  текстийг  агуулдаггүй  хоосон байна.  Дараагийн  хэсэг  нь "audio/x-wav"төрлийн MIME  байх  бөгөөд README.EXE программыг  хавсаргасан  байна.  Зарим  программууд  тухайлбал Microsoft Internet  Explorer 5.5 SP1-ийг  хэрэглэгч  нар  нь  хүрэлцэн  ирсэн HTML  захианд  хавсаргасан  файлыг автоматаар  нээдэг.  Ингэснээр  захианд  хавсаргасан  файл  ажиллаж  компьютерт халдварлана. Nimda нь өөрийн SMTP server-ийг ашиглан E-mail захиа илгээнэ.
  • Web Worm. Nimda  нь  интернэтээр Microsoft  IIS Web server-үүдийг  хайна.  Хэрэв  сервер олдвол Nimda нь дурын Web хуудсанд нэвтрэн түүнийг JavaScript-ийг ашиглан өөрчилдөг. Энэ код нь Web browser-ээс README.EML-ийг нээх үед ажиллана.
  • File Share Propagation.
    Локал  сүлжээний share-уудыг  хайна.  Хэрэв  олдвол Nimda  hidden/system  файл
    (RICHED20.DLL)-ийг  дамжуулна. Word, WordPad, Outlook  зэрэг  программыг  ажиллуулахад RICHED20.DLL автоматаар ажиллах болно.

Pretty Park
Энэ нь worm, Trojan-ний  хослол. Анх 1999 оны 6  сард илэрсэн. Олон  хувилбаруудтай. E-mail
захианд  хавсаргасан PRETTY PARK.EXE файлаар  дамжин  тархана.  Эхний удаа ажиллуулахад санах ойд өөрийгөө хуулна. Дараа нь Windows-ийн System дотор FILES32.VXD файлд өөрийгөө хуулна. Мөн ямар нэгэн exe файлыг ажиллуулсан бол түүний registry-ийг өөрчилнө. Ингээд  өөрийгөө  задлаж  компьютерт  суулгана.  Хэрэв  энд  ямар  нэгэн  алдаа  гарвал 3D  Pipes screen saver  (SSPIPES.SCR)-ийг  ажиллуулахыг  оролдоно.  Хэрэв  энэ  олдохгүй  бол CANALISATION3D.SCR screen saver-ийг ажиллуулна.
 
Интернэтэд холбогдсоны дараа 30 сек-д болгонд routing хийхийг оролдох болно. Ингэсний үр
дүнд дараах 13 IRC chat серверийн аль нэгэнтэйн холбоо тогтоохыг оролдоно.
irc.twiny.net
irc.stealth.net
irc.grolier.net
irc.club-internet.fr
ircnet.irc.aol.com
irc.emn.fr
irc.anet.com
irc.insat.com
irc.ncal.verio.net
irc.cifnet.com
irc.skybel.net
irc.eurecom.fr
irc.easynet.co.uk
Холбоо тогтоосны дараа системийн мэдээллийг илгээх болно.
Мөн 30  минут  болгонд roiting  хийхийг  оролдоно.  Ингэхдээ Outlook-ийн address book-ийг
ашиглан  өөрийг  хавсаргасан  захиаг  илгээнэ.  Захиа  нь "C:\CoolProgs\Pretty Park.exe"  нэртэй байхаас гадна worm бүхий ехе файлыг хавсаргасан байна.


W32.SirCam

2001-07-21-нд  анх  илэрсэн worm. Windows-ийн  бүх  хувилбарт  халдварладаг.  Захианд
хавсаргасан  файл  болон  дотоод  сүлжээгээр  тархана. Melissa  вирустай  адилхан mailbox-ийг ашиглан олсон eamil хаяг болгон уруу  захиа илгээх чадвартай. Англи испани 2 хувилбартай. Ихэнх захианы эцсийн ба эхинй өгүүлбэрт дараах үгнүүдийг ашиглана.


Испани хувилбарт: Hola como estas ? Nos vemos pronto, gracias.
Англи хувилбарт: Hi! How are you? See you later. Thanks
Энэ 2 өгүүлбэрийн хооронд дараах текстүүд байна. 
Испани хувилбарт: Te mando este archivo para que me des tu punto de vista Espero me puedas
ayudar con el archivo que te mando Espero te guste este archivo que te mando Este es el archivo
con la informaci=n que me pediste
Англи хувилбарт: I send you this file in order to have your advice I hope you can help me with this
file that I send I hope you like the file that I sendo you. This is the file with the information that you
ask for.


Хавсаргах файл нь .bat, .com, .lnk, .pif, .doc, .xls, .zip г.м өргөтгөлтэй дурын файл байна. Энэ
файлыг нээвэл дараах байдлаар идэвхжинэ.

  • C:\Windows\Temp\  болон C:\Recycled\-д  энэхүү  файлыг  хуулна.  Хэрэв  энэ  файл  нь dоcөргөтгөлтэй  бол word-ийг,  өөр  өргөтгөлтэй  бол  тухайн файлыг  ажиллуулдаг  программыг ажиллуулахад  идэвхжинэ.  Ингээд  өөрийгөө C:\Recycled\Sirc32.exe  ба
    C:\Windows\System\Scam32.exe уруу хуулна.
  • Дараах 2 registry key-г өөрчилнө.
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
    Driver32="<Windows System>\SCam32.exe"
    HKEY_CLASSES_ROOT\exefile\shell\open\
    command=""C:\recycled\SirC32.exe""%1" %*"
    Эхний registry-ийг өөрчилснөөр windows ажиллаж эхэлмэгц энэ worm ажиллах боломжийг бүрдүүлнэ.  Харин 2  дахь registry-ийг  өөрчилснөөр  энэ worm  ямар  нэгэн  ехе  файлыг ажиллуулах үед ажиллах боломжийг бүрдүүлнэ.
  • Дараа нь дараах registry-ийг шинээр үүсгэнэ:
    HKEY_LOCAL_MACHINE\Software\SirCam
    Энэ worm сүлжээний share-уудыг ашиглан дотоод сүлжээгээр хурдан тархана. Энэ тохиолдолд сүлжээнд холбогдсон бусад компьютеруудын хувьд дараах үйлдлийг хийхийг оролдоно.
    ƒ  <Computer>\Recycled\Sirc32.exe-д өөрийгөө хуулна.
    ƒ  <Computer>\Autoexec.bat-д "@win\recycled\sirc32.exe" гэсэн мөрийг нэмнэ.
    ƒ  <Computer>\Windows\Rundll32.exe-ийг C:\Windows\Run32.exe уруу хуулна.
    ƒ  <Computer>\Windows\rundll32.exe-ийг C:\Recycled\Sirc32.exe-ээр солино.
    Зарим тохиолдолд (33-аас 1 тохиолдолд нь) дараах үйлдлийг гүйцэтгэнэ:
    ƒ  C:\Recycled\Sirc32.exe-ийг C:\Windows\Scmx32.exe уруу хуулна.
    ƒ  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Startup-д "Microsoft Internet Office.exe"-г хуулна.
    Зарим тохиолдолд (20-оос 1 тохиолдолд буюу ихэвчлэн 10 сарын 26-нд) С дискний бүх файлыг устгана.
    Зарим тохиолдолд (33-аас 1  тохиолдолд  нь) C:\Recycled\Sircam.sys-д  дараах  текстийг нэмэх замаар дискийг дүүргэнэ.
    ƒ  [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
    ƒ  [SirCam Version 1.0 Copyright ¬ 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
    Энэ worm SMTP-ийг  ашиглан email  илгээх  чадвартай.  Ингэхдээ email-ийн  хаягийг  дараах 2 аргаар олно.
    Эхлээд дараах registry key-г ашиглан email хаяг олж авна.
    ƒ  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
    Folders\Cache болон
    ƒ  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
    Folders\Personal
    Эдгээрийг  ашиглан  олсон sho*., get*., hot*., *.htm  файлуудаас email  хаягуудыг  олж
    %system%\sc?1.dll файлд хуулна. scy1.dll-д %cache%\sho*., hot*., get*-ээс олсон хаягуудыг, sch1.dll-д %personal%\sho*., hot*.,
    get*-ээс  олдсон  хаягуудыг, sci1.dll-д %cache%\*.htm-ээс  олдсон  хаягуудыг, sct1.dll-д
    %personal%\*.htm-ээс  олдсон  хаягуудыг  тус  тус  хуулна.  Мөн %system%-ийн  бүх  дэд фолдеруудаас *.wab (Windows Address Books-ын  файл)  файлуудыг  олж email  хаягуудыг  нь %system%\scw1.dll  уруу  хуулна.  Ингээд  дараах registry-ийг  ашиглан .doc, .xls,  .zip  төрлийн файлуудыг олж нэрсийг нь %system%\scd.dll-д хуулна.
    ƒ  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
    Folders\Personal болон
    ƒ  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
    Folders\Desktop
    ƒ  эдгээр олдсон .doc, .xls, .zip файлуудад worm өөрийнхөө кодыг хуулна.
    Ингээд захиа  бичнэ. Ингэхдээ From:  талбарт registry-ээс  олдсон email  хаягийг  тавина. Хэрэв захиа илгээгч  Испани  хэлийг  ашигладаг  бол  испани  хувилбарыг,  бусад  тохиолдолд англи хувилбарыг ашиглана. Захианд хавсаргах файлаа scd.dll дэх жагсаалтаас сонгоно.
    Энэ вирусыг устгах заавар:
    Интернэтийн болон дотоод сүлжээнээс компьютерээ салгана.
    ƒ  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32-ийн
    утгыг устгана.
    ƒ  HKEY_LOCAL_MACHINE\Software\SirCam-ийг устгана.
    ƒ  HKEY_CLASSES_ROOT\exefile\shell\open\command-ийн  утгыг "%1"  %*  болгон  өөрчилнө.
    (хашилт-хувь-нэг-хашилт, хоосон зай, хувь, од) энэ бол Default утга.
      Recycled\Sircam.sys, Recycled\Sirc32.exe  (Windows Recycle  Bin  дотор  байгаа)  болон
    Windows\System\SCam32.exe файлуудыг устгана.
    ƒ  Autoexec.bat файлын "@win \recycled\sirc32.exe" мөрийг устгана.
    ƒ  W32.Sircam.Worm@mm халдварласан файлуудыг илрүүлж устгана.
    ƒ  run32.exe файлыг rundll32.exe файл болгон нэрийг нь солино.

Вирусээс хэрхэн хамгаалах талаар дараах зөвлөлгөөг өгье.

 

  • Юуны өмнө antivirus программаа байнга update хийх замаар шинэчилж байх хэрэгтэй.
  • Ихэнх antivirus  программ  нь  уян  дискэн  дээр  safe boot disk-ийг  бэлтгэдэг.  Энэ  нь  компьютерийн boot вирустсэн тохиолдолд гаднаас уншуулан boot-ийн вирусыг устгахад зориулагдсан байдаг тул ийм дискийг урьдчилан бэлтгэсэн байвал сайн. Учир нь нэгэнт вирустсэн тохиолдолд өөрийн тань ашиглаж  байгаа antivirus  тухайн  вирусыг  таньж  устгаж  чадаагүй  гэсэн  үг,  тэгэхээр  компьютер вирустсэний дараа энэ дискийг бэлтгэх нь ач холбогдол багатай. Учир нь ихэнх вирусууд antivirus-ний эсрэг тодорхой хэмжээний довтолгоог хийхээр зориулагдсан байж болно.
  • Зарим  вирусууд  компьютерийн boot  уруу  довтолж  системийн файлыг  гэмтээснээр  компьютерийг ажиллахгүй болгодог. Иймээс урьдчилан hard boot disk буюу системийн дискийг бэлтгэсэн байвал сайн.
  • Word-ийн doc, Excel-ийн xls файлуудыг гаднаас хуулахыг аль болох хийхгүй байвал сайн. Учир нь эдгээр  файлуудаар macro  вирус  дамжих  өргөн  боломжтой  байдаг.  Шаардлагатай  тохиолдолд тухайн файлаа RDF өргөтгөлтэй болговол энэ төрлийн файлаар macro вирус дамждаггүй.
  • Хэрэв  өөрөө  л  сайн  мэдэхгүй  байгаа  бол  элдэв  хүнээс  ирсэн  захианд  хавсаргасан файлыг  нээж үзэхгүй байхыг зөвлөж байна. Учир нь ихэнх worm захианд хавсаргасан файлаар дамждаг.
  • Уян диск нь өөрийн протекттэй байдаг. Хэрэв уян дискээс файл хуулан авахыг хүсэж байвал уян дискний протектийг байнга  ашиглаж байхыг  зөвлөж байна. Энэ нь найдвартай  хамгаалалт болж чаддаггүй ч зарим тохиолдолд тус болдог.
  • Үргэлж  ашигладаг  программуудынхаа  инсталлыг  хадгалж  байх  хэрэгтэй.  Мөн  түүнчлэн компьютерийнхээ driver дискүүдийг мөн адил.
  • Үүнээс  гадна  хамгийн  найдвартай  арга  бол  үргэлж backup  хийх.  Хийсэн  ажлын  файлуудынхаа хуулбарыг сайн бэлтгэж байх нь хэзээд илүүдэхгүй гэдгийг байнга санаж байх хэрэгтэй.

 

Ангилал: Комьпютер түүний тухай | Үзсэн: 1752 | Нийтэлсэн: Орлогч_захирал_Love | Үнэлгээ: 0.0/0
Нийт сэтгэгдэл: 1
0  
1 amaraa   (2011-04-26 3:45 PM) [Entry]
yaj tataj awahuu


Нийт: 3
Зочин: 3
Гишүүн: 0

WWW.TUSLAY.TK | MONGOLOO Free web hostinguCoz