नेटवर्क वायरस संदेश। विषाणु और उनका वर्गीकरण। स्रोत कोड में OBJ-, LIB- वायरस और वायरस
नेटवर्क वायरसबहुत बड़ा खतरा है स्थानीय नेटवर्कऔर इंटरनेट शामिल है। एक नेटवर्क के माध्यम से कंप्यूटर में प्रवेश करने वाले वायरस न केवल नुकसान पहुंचा सकते हैं महत्वपूर्ण सूचनाबल्कि पूरी प्रणाली भी। नेटवर्क वायरस फैलने के लिए वैश्विक और स्थानीय नेटवर्क की क्षमताओं और प्रोटोकॉल का उपयोग करते हैं। इस तरह के वायरस का सबसे महत्वपूर्ण सिद्धांत बाहरी मदद के बिना किसी वर्कस्टेशन या रिमोट सर्वर पर अपने कोड को स्थानांतरित करने की अनूठी क्षमता है। अधिकांश नेटवर्क वायरस, नेटवर्क को दूरस्थ कंप्यूटरों में स्वतंत्र रूप से प्रवेश करने की क्षमता के अलावा, वहां अपना प्रोग्राम कोड चला सकते हैं, या, कुछ मामलों में, संक्रमित फ़ाइल को लॉन्च करने के लिए उपयोगकर्ता को थोड़ा "पुश" कर सकते हैं।
चरण 1: खतरे और हमले के वैक्टर की पहचान करें
सक्रिय नेटवर्क सुरक्षा खतरों का जवाब देना सीखें, या वायरस हटाने और समस्या निवारण सर्वोत्तम प्रथाओं को देखें। खतरों की प्रतिक्रिया और विषाणुजनित संक्रमणनिम्नलिखित शामिल हैं। किसी खतरे को नियंत्रित करने और समाप्त करने के लिए, आपको उन सभी खतरों के बारे में पता होना चाहिए जो कंप्यूटर पर मौजूद हैं और कौन से खतरे विकसित किए गए हैं। आपको यह भी समझने की आवश्यकता है कि पूरे नेटवर्क में वितरित करने के लिए किन विधियों का उपयोग किया जाता है।
आपने संक्रमित या संदिग्ध फाइलों की पहचान कर ली है
खतरों की पहचान करने के लिए, लागू होने वाली शर्तों के तहत निर्देशों का पालन करें, यह इस बात पर निर्भर करता है कि आपने संक्रमित या संदिग्ध फ़ाइलों की पहचान की है या नहीं।
नेटवर्क स्कैनिंग की अनुमति देने के लिए ऑटो-प्रोटेक्ट सेट करें
एंडपॉइंट प्रोटेक्शन खतरों का पता नहीं लगाता है और आपको यह निर्धारित करने की आवश्यकता है कि कौन सी फाइलें संक्रमित हैं, यदि कोई हो।बहुत से लोग सोचते हैं कि बिल्कुल कोई भी वायरस जो कंप्यूटर नेटवर्क पर फैलता है वह नेटवर्क वायरस है। लेकिन अगर आप इस कथन का पालन करें, तो लगभग सभी आधुनिक वायरस नेटवर्क वाले होंगे। आखिरकार, सबसे आम अनिवासी वायरस फ़ाइलों के संक्रमण के दौरान बिल्कुल भी नहीं समझता है - यह एक स्थानीय डिस्क या एक नेटवर्क (रिमोट) है। नतीजतन, यह वायरस एक नेटवर्क के भीतर फाइलों को संक्रमित कर देगा, लेकिन यह एक नेटवर्क वायरस नहीं होगा।
अनुमानी
नेटवर्क स्कैनिंग - नेटवर्क स्कैनिंग के लिए ऑटो-प्रोटेक्ट को कॉन्फ़िगर करना
संक्रमित कंप्यूटर की पहचान। एक बार जब आप खतरे की पहचान कर लेते हैं, तो आपको यह निर्धारित करना होगा कि क्या अन्य कंप्यूटर संक्रमित हैं। एक हस्ताक्षर फ़ाइल के साथ वायरस की परिभाषा को अपडेट करें जो खतरे के प्रकार को परिभाषित करता है।क्वारंटाइन संक्रमित कंप्यूटर
एक बार जब आप खतरे की पहचान कर लेते हैं और समझ जाते हैं कि खतरा कैसे फैलता है, तो आपको पूरे नेटवर्क में खतरे को फैलने से रोकने की जरूरत है।नेटवर्क से संक्रमित कंप्यूटर को हटाना
हटाना बहुत जरूरी है रिमोट कंप्यूटरनेटवर्क से या इसे "संगरोध नेटवर्क" में जोड़ें। अन्यथा, खतरा फैल जाएगा क्योंकि यह नेटवर्क पर अन्य कंप्यूटरों को संक्रमित करता है। संक्रमित कंप्यूटर से नेटवर्क केबल को भौतिक रूप से डिस्कनेक्ट करें और सभी वायरलेस कनेक्शन बंद कर दें।
कई उपयोगकर्ता नेटवर्क वर्म नाम से परिचित हो गए हैं। ये सबसे लोकप्रिय नेटवर्क वायरस में से एक हैं, ये 1980 में वापस दिखाई दिए। उनके वितरण के लिए, इस तरह के वायरस ने वैश्विक नेटवर्क के विभिन्न गैर-दस्तावेज कार्यों और त्रुटियों का उपयोग किया - उन्होंने अपनी संक्रमित प्रतियों को सर्वर से सर्वर में स्थानांतरित कर दिया और आगमन पर, उन्हें निष्पादन के लिए लॉन्च किया।
संक्रमित कंप्यूटर को क्वारंटाइन नेटवर्क में ले जाना
कुछ मामलों में, प्रभावित कंप्यूटर महत्वपूर्ण है और इसे नेटवर्क से अलग नहीं किया जा सकता है। कुछ मामलों में, संक्रमण के आधार पर, उन्हें तथाकथित संगरोध नेटवर्क में अलग किया जा सकता है, जिसमें नेटवर्क तक कुछ सीमित पहुंच होती है। स्वाभाविक रूप से, यह केवल उन मामलों में काम करता है जहां खतरे की गतिविधि उन कार्यों से मेल नहीं खाती जो समझौता किए गए कंप्यूटर को चाहिए।
क्वारंटाइन नेटवर्क अपने आप में एक सावधानी से कॉन्फ़िगर किया गया सबनेट है जिसे यातायात को सीमित करने के लिए डिज़ाइन किया गया है जिसे अन्य कंप्यूटरों पर खतरे के प्रसार की आवश्यकता है। यह संक्रमित कंप्यूटर को उपयोग के प्रतिबंधित रूप का उपयोग करने की अनुमति देगा।
अतीत में, नेटवर्क वायरस नेटवर्क पर फैलते थे और, अपने साथी वायरस की तरह, आमतौर पर संक्रमण के दौरान डिस्क पर सेक्टर या फ़ाइलों को नहीं बदलते थे। नेटवर्क वायरस ने नेटवर्क से कंप्यूटर की मेमोरी में प्रवेश किया। आगमन पर, उन्होंने तुरंत अन्य कंप्यूटरों के नेटवर्क पते की गणना की और तुरंत अपनी प्रतियां पाए गए पते पर भेज दीं। कभी-कभी ये वायरस सिस्टम डिस्क पर एक साथ काम करने वाली फाइलें बनाते हैं, लेकिन कंप्यूटर के सिस्टम संसाधनों तक बिल्कुल भी नहीं पहुंच पाते हैं (रैम नियम का अपवाद है)।
यदि नेटवर्क या संगरोध से हटाना संभव नहीं है
व्यावसायिक आवश्यकताओं के कारण, आप कुछ संक्रमित सिस्टमों को क्वारंटाइन न करने या उन्हें नेटवर्क से निकालने का विकल्प चुन सकते हैं। आपको विशेष नियम स्थापित करने की आवश्यकता हो सकती है ताकि वे अपने वर्तमान सबनेट के भीतर कार्य कर सकें और फिर भी खतरे को फैलने से रोक सकें। इसमें खतरे के द्वारा उपयोग किए जाने वाले अटैक वेक्टर के आधार पर निम्नलिखित में से कोई भी संयोजन शामिल हो सकता है।
संक्रमित कंप्यूटरों की सफाई
सावधानी: इस क्रिया में उच्च स्तर का जोखिम होता है। इन चरणों का पालन करने से पहले जोखिम का गंभीरता से आकलन करें। फ़ाइल सर्वर से कनेक्ट करते समय उपयोगकर्ताओं को पुन: प्रमाणित करने की आवश्यकता होती है।
- सभी खुले शेयर बंद करें।
- नेटवर्क ड्राइव पर निष्पादन योग्य फ़ाइलें केवल-पढ़ने के लिए बनाएं।
कई नेटवर्क वायरस के कारण भारी खर्च के बाद, सभी प्रकार के सॉफ़्टवेयर और नेटवर्क प्रोटोकॉल बग को ठीक कर दिया गया है, और तथाकथित "बैक डोर" को सुरक्षित रूप से बंद कर दिया गया है। इस तरह की कार्रवाइयों के परिणामस्वरूप, पिछले कुछ वर्षों में उनकी गतिविधि कम हो गई है। साथ ही इस अवधि के दौरान, नेटवर्क वायरस द्वारा सफल हमले का एक भी मामला दर्ज नहीं किया गया था। यह भी ध्यान दिया जाना चाहिए कि इस अवधि के दौरान एक भी नया नेटवर्क वायरस सामने नहीं आया।
क्या किसी छेड़छाड़ किए गए कंप्यूटर को नए सिरे से रीसायकल या पुनर्स्थापित करना अधिक लागत प्रभावी है? क्या आप एंटीवायरस स्कैन या आवश्यक अतिरिक्त कार्य चलाकर अपने कंप्यूटर से खतरे को आसानी से दूर कर सकते हैं?
- क्या किसी सिस्टम परिवर्तन से संक्रमित कंप्यूटरों को खतरा था?
- यदि हां, तो क्या आपको इन परिवर्तनों को पूर्ववत करना चाहिए?
- कंप्यूटर को नेटवर्क में जोड़ना कब सुरक्षित है?
फिर से, नेटवर्क वायरस हमलों की वास्तविक समस्या 1997 की शुरुआत में बन गई। तभी "Win.Homer" और "Macro.Word.ShareFun" दिखाई दिए। आखिरी वाला सभी आधुनिक सुविधाओं का उपयोग करता है ईमेलमाइक्रोसॉफ्ट मेल कहा जाता है। यह वायरस एक नया अक्षर बनाता है, जिसमें स्वयं वायरस कोड शामिल होता है, और परिणाम एक दस्तावेज़ फ़ाइल होता है। उसके बाद, यह एमएस-मेल प्रोग्राम में उपलब्ध पतों की सूची में से तीन पूरी तरह से यादृच्छिक पते का चयन करता है और फिर उन्हें नव निर्मित संक्रमित संदेश भेजता है। आज, बहुत सारे उपयोगकर्ता MS-Mail विकल्प इस तरह से सेट करते हैं कि MS Word एक पत्र प्राप्त करते ही अपने आप शुरू हो जाता है। इस प्रकार, वायरस स्वचालित रूप से कंप्यूटर में पेश किया जाता है। उसके बाद, वह वही करता है जो उसके पास सोर्स कोड में है।
वायरस फैलने के तरीके
दुर्भावनापूर्ण कोड के ये उपवर्ग खतरे के डेवलपर्स को अपनी दुर्भावनापूर्ण फ़ाइलों और गतिविधियों को एक्सेस करने और छिपाने की अनुमति देते हैं। दोनों ही मामलों में, कंप्यूटर को हुए नुकसान की सीमा का निर्धारण करना मुश्किल है और कंप्यूटर से सभी दुर्भावनापूर्ण सुविधाओं को हटाने की कठिनाई को बढ़ा सकता है। ऐसी परिस्थितियों में, ऑपरेटिंग सिस्टम को पुन: संसाधित करने और क्लीन बैकअप से आवश्यक डेटा को पुनर्स्थापित करने में अक्सर कम समय लगता है।
अपने कंप्यूटर से दुर्भावनापूर्ण फ़ाइलों को हटाने के लिए, आपको खतरे द्वारा उपयोग की जाने वाली किसी भी प्रक्रिया को रोकना होगा। इसके लिए तीन मुख्य विकल्प हैं। आप मैन्युअल रूप से एक स्कैन चला सकते हैं, संभवतः सबसे आसान विकल्प, जो आपके कंप्यूटर को स्कैन करते समय दुर्भावनापूर्ण प्रक्रियाओं को रोकना और उनका पता लगाना चाहिए।
- एंटीवायरस स्कैनिंग।
- फिर आप दुर्भावनापूर्ण फ़ाइलों को मैन्युअल रूप से हटा सकते हैं या स्कैन चला सकते हैं।
यह वायरस हमारे समय के पहले प्रकार के नेटवर्क वायरस को स्पष्ट रूप से प्रदर्शित करता है, जो बिल्ट-इन एक्सेल और वर्ड एडिटर्स की सभी विशेषताओं को जोड़ता है। मूल भाषा, सभी विशेषताएं और प्रमुख ई-मेल प्रोटोकॉल और विशेष ऑटो-रन फ़ंक्शन जो वायरस के बाद के प्रसार के लिए आवश्यक हैं।
पहले के विपरीत, होमर वायरस अपने वितरण के लिए एफ़टीपी नामक एक प्रोटोकॉल का उपयोग करता है और इसकी संक्रमित प्रतिलिपि को दूरस्थ एफ़टीपी सर्वर पर आने वाली निर्देशिका में स्थानांतरित करता है। चूंकि एफ़टीपी नेटवर्क प्रोटोकॉल दूरस्थ सर्वर पर फ़ाइल को स्वचालित रूप से लॉन्च करने की संभावना को पूरी तरह से समाप्त कर देता है, होमर को "अर्ध-नेटवर्क" कहा जा सकता है।
नवीनतम परिभाषाओं को स्थापित करने के साथ, स्कैन को बिना किसी घटना के ज्यादातर मामलों में खतरे को दूर करना चाहिए। यदि खतरा एक कीड़ा या ट्रोजन है, तो आप फ़ाइलों को मैन्युअल रूप से हटा सकते हैं। सावधानी: संक्रमित फ़ाइलों को मैन्युअल रूप से हटाने का प्रयास न करें; यह निर्धारित करना असंभव है कि कौन सी फाइलें संक्रमित हैं और कौन सी नहीं। खतरों की अतिरिक्त जटिलता आपको इसे मैन्युअल रूप से हटाने का प्रयास करते समय किसी चीज़ को अनदेखा करने की अनुमति देती है।
खतरे द्वारा किए गए परिवर्तनों को पुनर्स्थापित करें
फ़ाइलों को स्थापित करने के अलावा थ्रेट कंप्यूटर में कई बदलाव कर सकते हैं। खतरे भी सुरक्षा सेटिंग्स को कम कर सकते हैं और कम कर सकते हैं कार्यक्षमताकंप्यूटर कॉन्फ़िगरेशन परिवर्तन के आधार पर सिस्टम। कुछ मामलों में, आपको सेटिंग्स की पुष्टि करने या खतरे को दूर करने के बाद उन्हें मैन्युअल रूप से पुनर्स्थापित करने की आवश्यकता होती है।
वायरस एल्गोरिथम की विशेषताओं में, निम्नलिखित बिंदु सामने आते हैं:
निवास स्थान;
चुपके एल्गोरिदम का उपयोग;
स्व-एन्क्रिप्शन और बहुरूपता;
गैर-मानक तरीकों का उपयोग।
एक रेज़िडेंट वायरस, जब यह किसी कंप्यूटर को संक्रमित करता है, तो निकल जाता है यादृच्छिक अभिगम स्मृतिइसका निवासी हिस्सा, जो तब संक्रमित वस्तुओं के लिए ऑपरेटिंग सिस्टम की कॉल को इंटरसेप्ट करता है और खुद को उनमें इंजेक्ट करता है। निवासी वायरस मेमोरी में रहते हैं और तब तक सक्रिय रहते हैं जब तक कि कंप्यूटर बंद नहीं हो जाता या ऑपरेटिंग सिस्टम फिर से चालू नहीं हो जाता। अनिवासी वायरस कंप्यूटर मेमोरी को संक्रमित नहीं करते हैं और सीमित समय के लिए सक्रिय रहते हैं। कुछ वायरस रैम में छोटे रेजिडेंट प्रोग्राम छोड़ देते हैं जो वायरस नहीं फैलाते हैं। ऐसे वायरस अनिवासी माने जाते हैं।
"वर्म वायरस" क्या है?
आप अपनी नेटवर्क आवश्यकताओं के अनुसार इन सेटिंग्स को और अधिक अनुकूलित कर सकते हैं। यदि आप इन प्रविष्टियों को खतरे के ठीक होने के बाद अपरिवर्तित छोड़ देते हैं, तो जब आप अपना कंप्यूटर शुरू करते हैं या जब आप अपने कंप्यूटर का उपयोग करते हैं तो आपको त्रुटि संदेश प्राप्त हो सकते हैं। कुछ मामलों में, यह उपयोगकर्ता को कंप्यूटर के पुनरारंभ होने के बाद लॉग इन करने से रोक सकता है।
सिस्टम फ़ाइलों और सॉफ़्टवेयर की जाँच करना
कंप्यूटर की डिफ़ॉल्ट सेटिंग या यदि संभव हो तो, अधिक सुरक्षित सेटिंग के लिए खतरे द्वारा जोड़ी गई किसी भी रजिस्ट्री प्रविष्टि को निकालें या पुनर्स्थापित करें। ऑपरेटिंग सिस्टम द्वारा उपयोग की जाने वाली कई सिस्टम फ़ाइलों का उपयोग खतरे में हो सकता है। अपने कंप्यूटर की सफाई करते समय, संशोधन के संकेतों के लिए निम्नलिखित मदों की जाँच करें।
मैक्रो-वायरस को निवासी माना जा सकता है, क्योंकि वे संक्रमित संपादक के चलने के पूरे समय तक लगातार कंप्यूटर की मेमोरी में मौजूद रहते हैं। इस मामले में, ऑपरेटिंग सिस्टम की भूमिका संपादक द्वारा ग्रहण की जाती है, और "ऑपरेटिंग सिस्टम को रीबूट करने" की अवधारणा को संपादक से बाहर निकलने के रूप में व्याख्या किया जाता है।
मल्टीटास्किंग में ऑपरेटिंग सिस्टमएक निवासी डॉस वायरस का "जीवनकाल" भी संक्रमित डॉस विंडो के बंद होने तक सीमित हो सकता है, जबकि कुछ ऑपरेटिंग सिस्टम में बूट वायरस की गतिविधि ओसी डिस्क ड्राइवर स्थापित होने के क्षण तक सीमित होती है।
नेटवर्क पर कंप्यूटर पुनर्स्थापित करें
यदि यह नेटवर्क कार्यक्षमता को प्रभावित नहीं करता है, तो संभवतः इन प्रविष्टियों की आवश्यकता नहीं है और आप उन्हें सुरक्षित रूप से हटा सकते हैं। कुछ खतरे विशेष रूप से एंटीवायरस के लिए डिज़ाइन किए गए हैं सॉफ़्टवेयरकंप्यूटर पर स्थापित। सफल होने पर, इसके परिणामस्वरूप एंटीवायरस सॉफ़्टवेयर आपको किसी खतरे के प्रति सचेत नहीं कर सकता या इसकी परिभाषाओं को अपडेट करने में असमर्थ हो सकता है। यदि यह किसी संक्रमित कंप्यूटर के साथ हुआ है, तो एंटीवायरस सॉफ़्टवेयर की अखंडता की जाँच करें और यदि आवश्यक हो तो पुनः स्थापित करें। एंटीवायरस सॉफ्टवेयर। . यदि स्कैन वापस आता है, तो कंप्यूटर को उत्पादन नेटवर्क से पुन: कनेक्ट करें।
STEALTH एल्गोरिदम का उपयोग वायरस को पूरी तरह या आंशिक रूप से सिस्टम में खुद को छिपाने की अनुमति देता है। सबसे आम चुपके एल्गोरिथ्म संक्रमित वस्तुओं के लिए OC पढ़ने / लिखने के अनुरोधों को रोकना है। उसी समय, चुपके वायरस या तो अस्थायी रूप से उन्हें ठीक कर देते हैं, या उनके स्थान पर असंक्रमित जानकारी के "प्रतिस्थापन" करते हैं। मैक्रो वायरस के मामले में, मैक्रो व्यू मेनू में कॉल को अक्षम करना सबसे लोकप्रिय तरीका है। पहली फाइल स्टील्थ वायरस में से एक "फ्रोडो" था, पहला बूट स्टील्थ वायरस "ब्रेन" था।
चरण 5: पश्चात की अवधि और पुनरावृत्ति की रोकथाम
टिप्पणी। यह सुनिश्चित करने के लिए कि आपने खतरे को ठीक से समाप्त कर दिया है और कोई द्वितीयक लक्षण मौजूद नहीं हैं, यह सुनिश्चित करने के लिए एक समय में केवल कुछ कंप्यूटरों को कनेक्ट करें।
घटना की समीक्षा और नेटवर्क ऑडिट
एक बार खतरा समाप्त हो जाने के बाद, आपको निम्नलिखित कार्य करने होंगे।घटना की समीक्षा करें और भविष्य में इस प्रकार के हमले से बचने के लिए आंतरिक प्रक्रियाओं और प्रक्रियाओं में आवश्यक परिवर्तन करें। यह निर्धारित करने के लिए कि नेटवर्क में खतरा कैसे प्रवेश कर गया, अपनी सुरक्षा टीम के साथ नेटवर्क ऑडिट करें।
- स्टेज 1 से खतरे के हमले के वैक्टर को समझना।
- उपयोगी होना।
- एक और घटना को रोकने के लिए सुरक्षा उपायों को लागू करें।
स्व-एनक्रिप्टिंग और बहुरूपता का उपयोग लगभग सभी प्रकार के वायरस द्वारा किया जाता है ताकि वायरस का पता लगाने की प्रक्रिया को यथासंभव जटिल बनाया जा सके। पॉलीमॉर्फिक वायरस (पॉलीमॉर्फिक) बल्कि मुश्किल से पहचाने जाने वाले वायरस होते हैं जिनमें हस्ताक्षर नहीं होते हैं, अर्थात। कोड का एक भी स्थिर टुकड़ा नहीं है। ज्यादातर मामलों में, एक ही पॉलीमॉर्फिक वायरस के दो नमूनों का एक भी मेल नहीं होगा। यह वायरस के मुख्य शरीर को एन्क्रिप्ट करके और डिक्रिप्टर प्रोग्राम को संशोधित करके प्राप्त किया जाता है।
उपयोग में आसानी, लेकिन अधिक प्रभावी, सुरक्षा छेद खोल सकती है जिससे खतरों को फैलाना आसान हो जाता है। नेटवर्क में कमजोर बिंदु आमतौर पर वे प्रौद्योगिकियां होती हैं जो कंप्यूटर को अधिक सुलभ और उपयोगकर्ता के अनुकूल बनाती हैं। सामान्य परिस्थितियों और सर्वोत्तम प्रथाओं के तहत, खतरे किसी संरक्षित . की फिर से रक्षा नहीं कर सकते हैं एचडीडीसुरक्षा खतरे का पता लगाए बिना। यदि ऐसा होता है, तो सिस्टम कॉन्फ़िगरेशन और सुरक्षा दोबारा जांचें। साथ ही, निम्नलिखित सुरक्षा कमजोरियों की समीक्षा करें और सुनिश्चित करें कि आपने सामान्य हमलों को बंद कर दिया है।
विभिन्न गैर-मानक तकनीकों का उपयोग अक्सर वायरस में खुद को OC कर्नेल (जैसा कि "3APA3A" वायरस करता है) में छिपाने के लिए किया जाता है, ताकि इसकी निवासी प्रति को पता लगाने ("TPVO", "ट्राउट 2" वायरस) से बचाया जा सके। वायरस का इलाज करना मुश्किल बना देता है (उदाहरण के लिए, अपनी कॉपी Flash-BIOS में रखकर), आदि।
