¿Cómo se generan los virus informáticos?

Con la popularidad de las computadoras, casi todos los usuarios de computadoras conocen el término "virus informático". Para la mayoría de los usuarios de computadoras, hablar de "virus informáticos" parece insondable e imposible de entender. Aquí hay una breve introducción: Historia del virus Desde la llegada de la primera computadora von Neumann, ENIAC, en 1946, las computadoras se han utilizado en diversos campos de la sociedad humana. Sin embargo, el incidente del "gusano" que ocurrió en los Estados Unidos en 1988 ensombreció el desarrollo de la tecnología informática. El gusano fue escrito por Morris, un estudiante de posgrado de la Universidad de Cornell en Estados Unidos. Aunque no era malicioso, en ese momento el "gusano" se infectó a gran escala en Internet, provocando que miles de computadoras conectadas a la red dejaran de funcionar y provocando enormes pérdidas. Se convirtió en el foco de la opinión pública por un tiempo. . En nuestro país, los primeros virus que atrajeron la atención de la gente fueron el "Viernes Negro", el "Microvirus", el "Microvirus", etc. que aparecieron a finales de los años 80. En ese momento no había muchos tipos de software, el software se intercambiaba con frecuencia entre los usuarios y el software antivirus no era popular, lo que provocó que los virus se generalizaran. Más tarde, el término virus de macro y el virus CIH en Win95 dieron a las personas una comprensión más profunda de los virus. El concepto original de la teoría de los virus se remonta a la ciencia ficción. En la década de 1970, el escritor estadounidense Lane publicó el libro "La juventud de P1", en el que imaginaba un programa informático capaz de replicarse y propagarse a través de las comunicaciones, y lo llamó virus informático. Definición de virus Por qué el "virus informático" se llama virus. En primer lugar, a diferencia de un "virus" médico, no existe de forma natural, sino que es un programa con funciones especiales compilado por algunas personas aprovechando las debilidades inherentes del software y el hardware de la computadora. Debido a que es tan contagioso y destructivo como el "virus" biomédico, la palabra se deriva del concepto de "virus" biomédico. En términos generales, cualquier programa que provoque un mal funcionamiento de una computadora y destruya datos informáticos se denomina virus informático. Según esta definición, los virus como las bombas lógicas y los gusanos pueden denominarse virus informáticos. En nuestro país, expertos e investigadores tienen diferentes definiciones de virus informático, pero nunca ha existido una definición clara y generalmente aceptada. Hasta el 18 de febrero de 1994, nuestro país promulgó e implementó oficialmente el "Reglamento de la República Popular China y la Protección de la Seguridad del Sistema Nacional de Información Informática", que estipulaba claramente en el artículo 28 del "Reglamento": "Los virus informáticos se refieren a compilados o insertar un conjunto de instrucciones de computadora o código de programa en un programa de computadora que destruye funciones de computadora o destruye datos, afecta el uso de la computadora y puede autorreplicarse". Esta definición es legalmente vinculante y autorizada. (Esta sección está extraída del libro "Gestión de seguridad informática y tecnología práctica") ¿Cómo se generan los virus? El proceso se puede dividir en: programación-propagación-latencia-activación, ejecución-implementación del ataque. Las causas de los virus no son más que las siguientes: chistes y bromas. Para mostrar sus excelentes habilidades e inteligencia, algunos entusiastas de las computadoras que dominan la tecnología informática compilarán estos programas especiales en función de su profundo conocimiento del hardware y el software. Una vez que estos programas se difundan a través del operador, se activarán bajo ciertas condiciones. Por ejemplo, mostrar algunas animaciones, reproducir una pieza musical, o mencionar algunas preguntas de conocimiento, etc., el propósito no es más que la autoexpresión. Estos virus son generalmente benignos y no destructivos. Surge de un deseo personal de venganza. Todo el mundo está en un entorno social, pero siempre hay personas que están insatisfechas con la sociedad o reciben un trato injusto. Si esto le sucede a un programador maestro, puede compilar algunos programas peligrosos. Hay un ejemplo en el extranjero: un empleado de una empresa escribió un fragmento de código y lo ocultó en el sistema de la empresa mientras trabajaba. Una vez que descubrió que su nombre había sido eliminado de la lista de salarios, el programa se inició inmediatamente, destruyendo todo el sistema. . Casos similares han ocurrido en China. Para proteger los derechos de autor. En los primeros días del desarrollo informático, la protección legal de los derechos de autor del software no era tan completa como lo es hoy. Muchos programas comerciales han sido copiados ilegalmente. Para proteger sus propios intereses, algunos desarrolladores han creado algunos programas especiales y los han adjuntado a sus productos. Por ejemplo, el virus paquistaní fue creado para rastrear a los usuarios que copiaban ilegalmente sus productos. Hoy en día, los virus utilizados para tales fines son raros. Para fines especiales. Las organizaciones o los individuos utilizan sistemas especiales para difundir o perturbar agencias o instituciones gubernamentales con fines especiales. o con fines militares. Características del virus Este programa en particular tiene varias características: La infecciosidad es una característica esencial de los virus.

En biología, los virus se transmiten de un organismo a otro mediante infección. En las condiciones adecuadas, los virus pueden multiplicarse en grandes cantidades, provocando que el organismo infectado presente enfermedades o incluso la muerte. Asimismo, los virus informáticos pueden propagarse desde ordenadores infectados a ordenadores no infectados a través de diversos canales, provocando que el ordenador infectado no funcione correctamente y, en ocasiones, incluso quede paralizado. A diferencia de los virus biológicos, un virus informático es un código de programa informático creado por el hombre. Una vez que estos códigos de programa ingresan a la computadora y se ejecutan, buscarán otros programas o medios de almacenamiento que cumplan con sus condiciones de infección. Después de identificar el objetivo, les implantarán su propio código, logrando así el propósito de autopropagación. Mientras una computadora esté infectada con un virus, si no se trata a tiempo, el virus se propagará rápidamente en la máquina y una gran cantidad de archivos (generalmente archivos ejecutables) quedarán infectados. El archivo infectado se convertirá en una nueva fuente de infección, y luego intercambiará datos o contactará con otras máquinas a través de la red, y el virus continuará infectando. Los programas informáticos normales generalmente no fuerzan su propio código a conectarse con otros programas. Sin embargo, un virus puede imponer su código a cualquier programa no infectado que cumpla con sus criterios de infección. Los virus informáticos pueden infectar otras computadoras a través de varios canales posibles, como disquetes y redes informáticas. Cuando encuentra un virus en una computadora, a menudo el disquete utilizado en esta computadora ha sido infectado con el virus y otras computadoras conectadas a la computadora también pueden estar infectadas con el virus. La infectividad es el criterio más importante para determinar si un programa es un virus informático. Ejecución no autorizada. El usuario llama a los programas normales y luego el sistema asigna recursos para completar las tareas asignadas por el usuario. Su finalidad es visible y transparente para los usuarios. Los virus tienen todas las características de los programas normales. Están ocultos en los programas normales. Cuando un usuario llama a un programa normal para robar el control del sistema, antes de que se ejecute el programa normal, el usuario desconoce las acciones y el propósito del virus. no están permitidos por el usuario. Ocultación. Los virus son generalmente programas breves y concisos con altas habilidades de programación. Por lo general, se adjunta a un lugar relativamente oculto en un programa o disco normal y, ocasionalmente, existe en forma de archivo oculto. Su finalidad es evitar que los usuarios descubran su existencia. Sin análisis de código, no es fácil distinguir los programas antivirus de los programas normales. En términos generales, sin medidas de protección, los programas de virus informáticos pueden infectar una gran cantidad de programas en un corto período de tiempo después de tomar el control del sistema. Además, después de haber sido infectado con un virus, el sistema informático generalmente aún puede funcionar normalmente y el usuario no sentirá nada anormal. Imagínese, si la computadora no puede funcionar normalmente inmediatamente después de ser infectada con un virus, ¿el virus en sí no podrá continuar infectando la computadora? Precisamente debido a la invisibilidad de los virus informáticos, pueden propagarse a millones de ordenadores sin que los usuarios se den cuenta. La razón por la que la mayoría de los códigos de virus están diseñados para ser muy cortos es también para ocultarlos. Los virus generalmente solo tienen unos pocos cientos o 1k bytes, y la computadora puede acceder a archivos DOS a una velocidad de cientos de kilobytes o más por segundo, por lo que el virus puede adjuntar estos pocos cientos de bytes a un programa normal en un instante, lo que dificulta para detectar. período de incubación. La mayoría de los virus no suelen aparecer inmediatamente después de infectar un sistema. Pueden ocultarse en el sistema durante mucho tiempo y sólo activar su módulo de manifestación (destrucción) después de que se cumplan sus condiciones específicas. Sólo así podrá difundirse ampliamente. Por ejemplo, "PETER-2" hace tres preguntas cada 27 de febrero y responderlas incorrectamente cifrará el disco duro. El famoso “Viernes Negro” ocurre el viernes 13. En China, "Shanghai One" aparece el 13 de marzo, el 13 de junio y el 13 de septiembre de cada año. Por supuesto, lo más inolvidable es el ataque CIH del día 26. Estos virus están bien ocultos en tiempos normales y solo revelan sus verdaderos colores el día del ataque. Destructivo. Cualquier virus que invada el sistema tendrá diversos grados de impacto en el sistema y las aplicaciones. En casos leves, reducirá la eficiencia del trabajo de la computadora y ocupará recursos del sistema. En casos graves, provocará que el sistema falle. Esta propiedad se puede dividir en virus benignos y virus malignos. Un virus benigno puede simplemente mostrar algunas imágenes, reproducir música, hacer algunos comentarios aburridos o puede no tener ninguna acción destructiva, pero ocupará recursos del sistema. Existen muchos virus de este tipo, como GENP, Small Ball, W-BOOT, etc. Los virus malignos tienen propósitos específicos. Algunos destruyen datos y eliminan archivos, otros cifran o formatean discos y otros causan pérdidas irreparables de datos. Esto también refleja las siniestras intenciones de los compiladores de virus.

Los virus también son impredecibles cuando se trata de detección de virus. Los diferentes tipos de virus tienen códigos muy diferentes, pero algunas operaciones existen (como la memoria residente, la interrupción de cambios). Algunas personas se han aprovechado de esta vulnerabilidad creando programas que afirman detectar todos los virus. Es cierto que estos programas pueden detectar algunos virus nuevos, pero debido a la gran variedad de software actual, algunos programas normales también utilizan operaciones similares a los de los virus e incluso toman prestadas algunas tecnologías de los virus. El uso de este método para detectar virus inevitablemente provocará más falsos positivos. Además, la tecnología de producción de virus también mejora constantemente y los virus siempre van por delante del software antivirus. Clasificación de virus Desde la creación del primer virus, ha habido diferentes opiniones sobre cuántos tipos de virus hay en el mundo. Independientemente del número de especies, el número de virus sigue aumentando. Según estadísticas extranjeras, los virus informáticos aumentan a un ritmo de 10 por semana, mientras que según estadísticas del Ministerio de Seguridad Pública de China, los virus nacionales aumentan a un ritmo de 4 por mes. Hay tantos tipos que podrás entenderlos mejor clasificándolos. Según el método de infección, se dividen en: virus de arranque, virus de archivos y virus híbridos. Los virus basados ​​en archivos generalmente sólo infectan archivos ejecutables (COM, EXE) en el disco. Cuando un usuario llama a un archivo ejecutable infectado, el virus se ejecuta primero y luego reside en la memoria esperando infectar otros archivos o infectar directamente otros archivos. Su característica es que se adjunta al archivo de programa normal y se convierte en el shell o componente del archivo de programa. Este es el modo de infección más común. Los virus híbridos tienen las características de los dos virus mencionados anteriormente, infectando tanto los sectores de arranque como los archivos, expandiendo así la propagación de dichos virus (como "TPVO-3783 (SPY)", que se hizo popular en China en 1997). Según el método de conexión, se dividen en: virus de código fuente, virus de intrusión, virus del sistema operativo y virus de shell. Los virus de código fuente son relativamente raros y difíciles de escribir. Debido a que lo que quiere atacar es el programa fuente escrito en un lenguaje de alto nivel, el programa fuente se inserta antes de la compilación, se compila junto con el programa fuente y se conecta al archivo ejecutable. En este momento, el archivo ejecutable acaba de generarse y ya es venenoso. Un virus intruso puede reemplazar ciertos módulos o apilar áreas de un programa normal consigo mismo. Por lo tanto, este tipo de virus sólo ataca a determinados programas específicos y tiene un objetivo muy específico. También suelen ser difíciles de detectar y eliminar. Los virus del sistema operativo pueden agregar o reemplazar algunas funciones del sistema operativo con partes de ellos mismos. Estos virus también son más dañinos porque infectan directamente el sistema operativo. El virus shell se adjunta al principio o al final del programa normal, lo que equivale a agregar un shell al programa normal. La mayoría de los virus basados ​​en archivos entran en esta categoría. Según su poder destructivo, se pueden dividir en: virus benignos y virus malignos. Ya presentado antes. La última categoría: virus de macro. Los virus de macro han aparecido sólo en los últimos dos años y pueden clasificarse como virus de archivos. Se presenta específicamente a continuación. Denominación de virus La denominación de los virus es diferente para cada software antivirus. A veces, un software diferente le dará nombres diferentes a un virus. Por ejemplo, el virus "SPY" se llama SPY por KILL y "TPVO-3783" por KV300. Hay varias formas de nombrar virus: según el lugar donde aparece el virus, como la muestra "ZHENJIANG_JES", provino por primera vez de un usuario en Zhenjiang. Nómbrelos según los nombres o palabras características que aparecen en el virus, como "ZHANGFANG-1535", "DISK KILLER", "Shanghai No. 1". ". Nombrado según los síntomas del brote del virus, como "Antorcha" y "Gusano". Nombrado según el momento del brote del virus, como "9 DE NOVIEMBRE" el 9 de noviembre. Algunos nombres incluyen la duración del virus. código, como la serie "PIXEL.xxx", "KO.xxx", etc. Análisis preliminar de virus Aunque existen muchos tipos de virus informáticos, un análisis y comparación de códigos de virus muestra que sus estructuras principales son similares y tienen Las mismas características son breves, pero también contienen tres partes: parte de inicio, parte de infección y parte de rendimiento. La función de la parte de inicio es cargar el cuerpo del virus en la memoria para prepararse para la parte de infección. memoria, modificación de interrupciones, modificación de memoria de alta gama y almacenamiento). La función de la parte de infección es copiar el código del virus al objetivo de la infección. Los diferentes tipos de virus tienen diferentes métodos de infección. condiciones La parte de rendimiento es la parte más diferente entre los virus. Esta parte del servicio. La mayoría de los virus tienen condiciones específicas que activan la parte de manifestación. Por ejemplo, se activan mediante un reloj o un contador, o al escribir un carácter específico. el teclado.

Esta parte también es la más flexible y puede variar mucho, o no variar, dependiendo del propósito del compilador. Identificación y prevención preliminar de virus La forma más sencilla de saber si su computadora está infectada con un virus es realizar una verificación exhaustiva con un software antivirus actualizado. Sin embargo, el software antivirus siempre detecta virus con lentitud. ¿Cómo se pueden detectar nuevos virus a tiempo? Los usuarios pueden hacer el siguiente juicio simple: no importa cuán sofisticado sea el virus, siempre dejará algunas "pistas" cuando invada el sistema. Primero, preste atención a la situación de la memoria. La mayoría de los virus residen en la memoria. Para los usuarios de DOS, pueden iniciar la máquina con la unidad C y luego usar el comando "MEM" para verificar que toda la memoria sea básicamente 640 K (porque la mayoría de los virus de arranque cambiarán este número cuando residan en la memoria). Si hay un virus presente, puede convertirse en 638K, 637K o, en algunos casos, 639K (como algunas máquinas COMPAQ). Además, también debes prestar atención a si el uso de memoria disminuye sin ningún motivo. En segundo lugar, preste atención al recuento de bytes de los archivos ejecutables de uso común, como COMMAND.COM. La mayoría de los virus aumentan la longitud del archivo después de infectarlo. Al verificar el recuento de bytes del archivo, primero debe iniciar desde un disco de sistema limpio. En el caso de los disquetes, busque bloques defectuosos inexplicables (algunos virus marcan grupos defectuosos en el disco para ocultar partes de sí mismos). Otros fenómenos, como el software que se ejecuta lentamente (excepto la velocidad de lectura del disco) y anomalías en el puerto de salida, también pueden ser causados ​​por virus. El método más preciso es comprobar si el vector de interrupción y el sector de arranque se han modificado sin motivo alguno. Por supuesto, esto requiere una cierta comprensión del sistema y del formato del disco.

Referencia: /cih/bdzs/98_9904/99010104.htm

Por favor complete la información con sinceridad.