Professional Documents
Culture Documents
дипломна 1
дипломна 1
ЕЛЕКТРОНИКА
ДИПЛОМЕН ПРОЕКТ
На:
Горна Оряховица
2023
Съдържание
Увод………………………………………………………………………3
Хронология на развитието на компютърните вируси…………….5
Видове вируси…………………………………………………………..6
o Полиморфни………………………………………………………6
o Stealth вируси……………………………………………………..8
o Boot Sector вируси...……………………………………………..10
o Файлови инфектори……………………………………………..12
o Рансъмуери………………………………………………………14
o Макро вируси……………………………………………………22
Вирусоподобни………………………………………………………...25
o Червеи……………………………………………………………25
o Троянски коне……………………………………………………30
Антивирусни програми………………………………………………38
o Windows Defender……………………………………………….38
o AdAware Antivirus……………………………………………….39
o Kaspersky Antivirus………………………………………………40
2
o McAfee Antivirus………………………………………………...40
o Avast Antivirus…………………………………………………...41
Заключение…………………………………………………………….43
Увод
Развитието на технологиите и дигитализацията на света ни отварят безброй
възможности, но също така водят до по-често срещане с различни видове злонамерен
атаки. Компютърните вируси са един от най-разпространените видове зловреден
софтуер, който може да причини сериозни проблеми за индивидите и организациите. В
тази дипломна работа ще разгледаме историята на компютърните вируси, тяхното
развитие и начините за защита от тях. Ще се фокусираме върху важните компоненти на
киберсигурността, като редовните актуализации на софтуера, силните пароли,
практиките за резервно копиране, антивирусния софтуер и други. Освен това, ще
разгледаме и най-важните тактики, за да разберем как да се предпазим от злонамерени
атаки.
Видове вируси:
3
2. Stealth вируси: това са най-опасните вируси защото са направени така, че
тяхното откриване да е наистина трудно.
3. Файлов инфектор: тези вируси заразяват изпълними файлове или файлове с
някаква информация като стремежът е да се заредят заедно с самият файл и по този
начин да получат достъп до ресурсите на заразената система
4. Рансъмуери: Вид малуер, който шифрова информацията на заразения
компютър и изнудва потребителя да му плати откуп, за да получи ключ
за дешифриране. разпространението на подобен вид вредителски програми силно
нараства след 2009 г., когато е създаден биткойн
5. Макро вируси: това са едни от най-често срещаните вируси. Най-често се
разпространяват с програми, инсталирани на всеки компютър, а именно Microsoft
Office.
Антивирусни програми:
1. Windows Defender
2. Adaware Antivirus
3. BitDefender Antivirus
4. Kaspersky Antivirus
5. McAfee Antivirus
6. Avast Antivirus
4
Хронология на развитието на компютърните вируси
1970 – Първи съобщения за вируси.
5
ВИДОВЕ ВИРУСИ
Полиморфни
Разпространение
6
Chameleon
7
Stealth вируси
Разпространение
CIH вирусът е бил особено опасен, защото цели системния BIOS, който е отговорен
за контролирането на базовите функции на компютъра. Той може да причини сериозни
щети, като изтриване на твърдия диск или нарушаване на функциите на компютъра.
8
За да се предотврати заразяването от CIH вируса, е важно да се избягва от свалянето
и инсталирането на програми и файлове от непознати източници. Трябва да се използва
актуална антивирусна програма и да се актуализира системата на компютъра редовно,
за да се предотвратят заразяванията от стелт вируси и други видове зловреден софтуер.
Фиг. 1
На фигура 1 е показана грешката, която предизвиква Чернобилският вирус. Той вече е
засегнал BIOS-ът на системата и тя не може да функционира.
9
Boot sector вируси
Вирусът на стартовия сектор е компютърен вирус, който заразява главния
запис на зареждащото устройство (MBR). Не е задължително вирусът на стартиращия
сектор да зарежда успешно компютъра на жертвата, за да го зарази. В резултат на това
дори и не-стартиращи носители могат да предизвикат разпространението на вируси на
зареждащия сектор. Тези вируси копират заразения си код или в сектора за зареждане
на дискета, или в таблицата на дяловете на твърдия диск. По време на стартирането
вирусът се зарежда в паметта на компютъра. Веднага след като вирусът се запише в
паметта, той заразява неинфектираните дискове, използвани от системата.
Пример
Brain
Принцип на работа:
Brain вирусът, наричан също и пакистански грип, е бил вирус от типа boot
sector. Когато вирусът инфектира флопи диск, той модифицира boot sector-a и
директорията на диска, което прави достъпа до файловете на диска труден без
10
специален софтуер. Когато инфектиран флопи диск се вмъкне в компютъра, вирусът се
зарежда в паметта и може да инфектира твърдия диск на компютъра.
Фиг. 2
11
Файлови инфектори
Файловите инфектори са един от най-често срещаните типове компютърни вируси.
Както подсказва името, тези вируси инфектират изпълними файлове, като .exe или .com
файлове, и се разпространяват, когато заразеният файл се изпълни или стартира.
Когато файлов инфекторен вирус инфектира файл, той добавя своя код към
началото или края на файла, като променя структурата му. Когато заразеният файл се
изпълни, вирусът се активира и може да изпълни зловреден код, да промени или изтрие
файлове на компютъра или да пренесе зловреден софтуер на други машини чрез
споделени мрежови ресурси.
Пример
Sality
12
Принцип на работа:
Както бе споменато по-горе, зловредният софтуер Sality заразява изпълними
файлове на заразения компютър. Повечето версии на злонамерения софтуер поставят
специален DLL файл на компютъра в папката % SYSTEM% и може да го нарекат
"wmdrtc32.dll" или, за компресираната версия, "wmdrtc32.dl_". Въпреки това, не всички
варианти на вируса Sality ще използват DLL файл по този начин. Някои прехвърлят кода
директно в паметта и DLL файлът няма да бъде намерен никъде в рамките на
действителните дискови файлове.
Актуализациите на зловреден софтуер Sality се подават през HTTP чрез
децентрализирани списъци с URL адреси . Веднъж заразени, злонамереният софтуер се
нуждае само от обновления зад кулисите, за да се трансформира и расте само по себе
си, за да изтегли нови файлове, за да зарази други компютри.
Премахване:
Ако антивирусната програма не успее да намери инфектираните файлове при
сканиране за вируси, някои такива имат специален инструмент за премахване на този
вирус. Пример за такава антивирусна програма е Kaspersky.
13
Рансъмуер
Вид вредна програма, която шифрова информацията на заразения компютър и
изнудва потребителя да му плати откуп, за да получи ключ за дешифриране. Макар че
съществува от по-рано, разпространението на подобен вид вредителски програми силно
нараства след 2009 г., когато е създаден биткойн, тъй като относителната анонимност на
страните в сделката прави криптовалутите изключително подходящи за сделки,
извършвани анонимно по интернет и излизащи извън рамките на закона. Първият
рансъмуер е AIDS Trojan (познат още като PC Cyborg), разпространен с безплатни
дискети сред участници в международна конференция за СПИН на Световната здравна
организация в Стокхолм през 1989 г. и представен уж като програма AIDS Version 2.0 за
откриване на СПИН.
Първите случаи на рансъмуери са били забелязани още през 1989 г., когато е
създаден AIDS Trojan, който изисква пари за доброволно дарение за борба със СПИН.
През последните години рансъмуерите станаха все по-често срещани и нападенията с
тях се увеличиха значително, като са засегнали както компютри на индивидуални
потребители, така и на компании и организации от различни сектори.
Какво предизвиква
Способни са да криптират важните данни на потребителя, като например
бизнес документи, видеа, снимки и други файлове. Веднъж след като го направят, те
започват да искат откуп за декриптирането на съответните файлове.
14
Могат да се използват за крадене на потребителски имена, пароли, важни
лични документи, самоличност и друга важна информация. Тези данни се изпращат
през задна връзка с Интернет към отдалечен хост.
Разпространяване
1. Троянски коне и друг малуер. Повечето рансъмуери се разпространяват с
помощта на троянци. Trojan.Lockscreen е най-често ползваната заплаха за инсталиране
на рансъмуери на системата. Те проникват без знанието на потребителя от файлове,
прикачени към имейли, представяйки се за надеждни фирми като Amazon, ebay,
финансови институции и т.н. Веднъж щом потребителят бъде измамен да свали подобна
приставка на компютъра си, която е свързана с рансъмуер, той също се инсталира.
2. Фалшиви изскачащи известия. Друга част от рансъмуерната напаст се
разпространява чрез фалшиви изскачащи известия, които лесно могат да бъдат
срещнати на нелегални или дори легитимни сайтове. Главно съобщават за налични
15
ъпдейти, но също така могат да Ви информират, че системата Ви има нужда от
сканиране, което можете да направите безплатно и да премахнете всякакви вируси,
което разбира се е лъжа.
Премахване
В случай на рансъмуерна инфекция не е препоръчително да плащате откуп.
Има много хора, загубили парите си по този начин. Освен това не се доверявайте на
съобщения, твърдящи, че си имате работа с държавни власти, защото това не е вярно
Обикновено тези съобщения се показват, само за да накарат хората да платят откупа.
Премахването на рансъмуер може да бъде сложен процес, но ето някои общи стъпки,
които можете да следвате, за да опитате да го премахнете:
16
Възможно ли е да се декриптират файловете без плащане?
Няколко компании за компютърна сигурност обединиха усилията си, като
успяха да спрат мрежата за разпространение на вируса и да получат определен брой
ключове за дешифриране. По това време те пуснаха услуга, в която можеше да бъде
качен файл, чрез който може да се стигне до ключа за дешифриране. В момента тази
услуга е спряна. Единствения начин да върнете файловете си обратно е от архив, или от
Shadow Copy, ако е включен System Restore в Windows. По-новите версии на вируса се
опитват да изтрият Shadow Copy, но не винаги успяват. Ако System Restore е спрян, или
нямате архив на информацията си, тогава единствения начин да върнете файловете си
обратно е да заплатите сума.
Ще се върнат ли файловете, ако заплатите?
Ако заплатите исканата сума се появява екран, който показва че плащането се
проверява. Хора, които са платили сумата твърдят, че този процес може да отнеме 3-4
часа. След като плащането бъде проверено започва процеса на дешифриране на
файловете, който също отнема време. Това обаче не гарантира, че файловете ще бъдат
възстановени, понеже атакуващият решава дали ще предостави ключ или не, за това
хората съветват да не се заплаща исканият откуп.
Cryptolocker
Обща информация:
18
Фиг. 3
WannaCry
Принцип на действие:
Нанесени щети:
Фиг. 4
20
ми“, „Как да възвърна файловете си?“, „Как мога да платя?“ и съответните отговори на
тях.
Макро вирус
Първите макро вируси са се появили през 1990-те години, когато макро
програмите са станали популярни и използвани от много хора. Съществуват и до ден
днешен, но рядко се срещат, поради лесно засичане от антивирусен софтуер.
21
След като разбра за уязвимостта, Microsoft деактивира функционирането на
макроса по подразбиране. Тоест, никакъв макрос няма да се изпълнява в Microsoft Word,
докато не включите макросите или не го стартирате ръчно. Същият е случаят с
макросите в други приложения на Microsoft. Има някои други програми, които също
използват макроси, но те не са толкова популярни и следователно може да не са
насочени от киберпрестъпници.
22
макроси присъстват в документа. Ако нещо изглежда подозрително, можете да го
премахнете, преди да използвате документа.
Melissa
Същност
Файлът „list.doc“ съдържа скрипт на Visual Basic, който копира заразения файл
в шаблонен файл, използван от Word за персонализирани настройки и макроси по
подразбиране. Ако получателят отвори прикачения файл, заразяващият файл е прочетен
в паметта на компютъра. След това вирусът създава обект на Outlook, прочита първите
23
50 имена във всяка глобална адресна книга на Outlook и изпраща копие от себе си на
прочетените адреси.
Melissa работи с имейл клиенти Microsoft Word 97, Microsoft Word 2000 и
Microsoft Outlook 97 или 98. Microsoft Outlook не е необходим за получаване на вируса
по имейл, но той не може да се разпространява чрез други имейли без него.
Щети
ВИРУСОПОДОБНИ
Червеи
Червеят е програма, която се размножава, но не инфектира други програми.
Той заразява компютри независимо дали са част от мрежа или не. Те се
разпространяват, като използват пролуки в операционните системи. Операционните
системи периодично предоставят актуализации, които ако бъдат инсталирани, спират
разпространението на повечето червеи.
24
За разлика от вирусите, компютърните червеи са злонамерени програми, които
сами се копират от една система в друга, вместо да заразяват файловете, разположени в
компютъра. Например червей, който се разпространява масово по електронната поща
(mass-mailing email worm) изпраща копия до всички адреси за електронна поща, които
може да открие записани в заразения компютър. Мрежовият червей се копира и
разпространява по мрежата.
Типове червеи
1. Имейлни червеи: Те работят, като създават и изпращат изходящи съобщения
до всички адреси в списъка с контакти на потребителя. Съобщенията включват
злонамерен изпълним файл, който заразява новата система, когато получателят го
отвори. Успешните такива червеи, обикновено използват техники за „ социално
инженерство “ и „ фишинг “, за да насърчат потребителя да отвори дадения файл.
2. Крипточервеи: Работят, като криптират данните в системата на жертвата.
Извършителите могат да използват този тип червей при атаки с ransomware, при които
се свързват с жертвата и изискват плащане в замяна на ключ за дешифриране на
файловете.
3. Интернет червеи: Някои компютърни червеи са насочени специално към
популярни уебсайтове с лоша защита. Ако могат да заразят сайта, те могат да заразят
всеки компютър, който има достъп до сайта. Оттам интернет червеите се
разпространяват към други устройства, към които заразеният компютър се свързва чрез
интернет и частни мрежови връзки.
4. Файло-споделящи червеи: копират се в споделени папки и се
разпространяват чрез peer-to-peer мрежи за споделяне на файлове. Авторите на такива
червеи, често маскират тези злонамерени програми като медийни файлове. Stuxnet,
един от най-известните компютърни червеи до момента, се състои от два компонента:
червей за разпространение на злонамерен софтуер чрез USB устройства, заразени с
хост файла, и злонамерен софтуер, който е насочен към системите за контрол и
събиране на данни. Този тип червеи често са насочени към индустриални среди,
включително електроснабдителни предприятия, услуги за водоснабдяване и
канализационни съоръжения.
Как се разпространяват:
Докато някои компютърни червеи изискват действие на потребителя, за да се
разпространят първоначално, като например щракване върху връзка, други могат лесно
25
да се разпространят без намеса на потребителя. Всичко, което е необходимо, е
компютърният червей да стане активен в заразена система.
Веднъж активиран, червеят може да се разпространи в мрежа чрез интернет или
локална мрежа. Преди широкото използване на мрежите, компютърните червеи се
разпространяваха чрез заразени носители за съхранение, като флопи дискове, които,
когато се монтират на система, биха заразили други устройства за съхранение, свързани
към системата-жертва. Днес USB устройствата са общ вектор за компютърни червеи,
както и интернет дейности като имейл, чат и уеб сърфиране.
Предпазване
За да се предпазите от този вид вируси е необходимо никога да не отваряте
прикачени файлове, които получавате неочаквано. Също така, в случай че сте отворили
файла, използвайте антивирусен и антишпионски софтуер, като изброените по – горе с
включена опцията за защита в реално време. Те помагат за елиминирането на заплахата,
но трябва да бъдат актуализирани често, поне на няколко дни. Препоръчителна е също
употребата и на защитна стена.
Пример
ILoveYou
26
ги изтрива), след което се копира на всички адреси в адресната книга на Windows,
използвана от Microsoft Outlook, което му позволява да се разпространява много по-
бързо от всеки друг предишен имейл червей.
Фиг. 5
Създаване
27
което позволило на червея да се разпространи по целия свят. Де Гузман не е очаквал
това световно разпространение.
Принцип на работа:
Де Гузман написал скрипта ILOVEYOU (прикачения файл) в Microsoft Visual
Basic Scripting (VBS), който се изпълнявал в Microsoft Outlook и бил активиран по
подразбиране. Скриптът добавя данни от системния регистър на Windows за
автоматично стартиране при зареждане на системата.
Последици:
Изчислено е, че атаката е причинила щети за 5,5–8,7 милиарда щатски долара в
световен мащаб и се оценява на 10–15 милиарда щатски долара за премахване на
червея. В рамките на десет дни са докладвани над петдесет милиона инфекции и се
изчислява, че 10% от свързаните с интернет компютри в света са били засегнати. За да
се защитят, Пентагонът, ЦРУ, британският парламент и повечето големи корпорации
решили напълно да затворят своите пощенски системи. Това е една от най-
разрушителните компютърни катастрофи в света за онова време.
28
Троянски кон
Троянският кон, наричан още троянец, е вредна компютърна програма, която
се представя като полезна, а всъщност причинява нещо съвсем различно при
изпълнението си, например: превземането на канали в IRC, изтриване на съдържание от
твърдия диск, кражба на поверителни данни (пароли, информация за банкови сметки и
кредитни карти) и др. Тези програми са получили името си от мита за големия, кух
дървен кон, чрез който гърците печелят Троянската война, като се скриват в него и се
промъкват в укрепения град Троя.
29
скриват, не е в състояние да разбере истинския вид на файла, ако е маскиран с т.нар.
двойно разширение, например 'Readme.txt.exe', потребителят ще види единствено
'Readme.txt', като истинското разширение .exe ще остане скрито. За да е пълна
заблудата, троянецът, след стартирането си, наистина би могъл да отвори някакъв
текстов документ, Или да имитира инсталационен процес, но всъщност ще работи във
фонов режим и тайно ще краде, променя или изтрива информация или настройки на
компютъра, а дори би могъл да се използва от злонамерени трети лица за извършването
на атаки върху други мрежи, най-често разпределени атаки от тип „отказ от услуга“
(Distributed Denial of Service – DDoS).
30
2007 г., използвайки имейл съобщение със заглавие за скорошно метеорологично
бедствие, „230 мъртви като буря, връхлетяла Европа“. През уикенда имало шест
последователни вълни от атака. Към 22 януари 2007 г. Storm Worm представлява 8% от
всички инфекции със зловреден софтуер в световен мащаб.
Принцип на работа:
Как се разпространява?:
31
създават любопитство, вълнение и страх сред потребителите, поради което те кликват
върху тях и вредните файлове автоматично се изтеглят в потребителската система.
Щети:
Фиг. 6
32
Защита от различни групи вируси
1. Редовно правете архивни копия на данните си: Ако вашите данни бъдат
криптирани от рансъмуер, можете да ги възстановите от последната архивна копия,
която сте направили. Редовно правенето на резервни копия е основен начин за
предпазване на вашите данни.
33
поща е идва от надежден източник и изглежда ли легитимно, преди да отворите
прикачените файлове или линкове.
34
3. Редовно правете резервни копия на вашите данни: Редовното правене на
резервни копия на вашите данни може да помогне да се намали въздействието от
инфекция с вирус. Ако вашият компютър е заразен със скрит вирус, можете да
възстановите данните си от резервно копие и да избегнете загубата на важни файлове.
35
да се предпазите от хакерски атаки и да запазите поверителността на вашите онлайн
данни. Използвайте двуфакторна аутентикация: Използвайте двуфакторна аутентикация
за всички важни акаунти. Това може да предпази вашата информация, дори ако
злонамереният потребител успее да получи вашата парола.
36
Антивирусни програми
Всички от изброените антивирусни софтуери имат възможност за използване
на тяхната безплатна версия, въпреки че е доста-по ограничена от техните платени
такива. Също така всички разполагат с тези основни характеристики:
Windows Defender
37
плащане за използване. Все пак е надеждна програма и добра алтернатива, за
потребителите, които не могат да си позволят следващите споменати програми:
38
Kaspersky Antivirus
McAfee AntiVirus
39
Софтуерът използва технологии за превенция и откриване на зловреден
софтуер, включително сигнатурно сканиране, евристичен анализ и поведенчески
анализ. McAfee AntiVirus Plus има и функции за предотвратяване на изтичане на данни,
блокиране на нежелани съобщения и управление на устройствата за защита на децата.
Софтуерът е съвместим с Windows, Mac, Android и iOS устройства и предлага различни
планове за защита, включително базов, стандартен и разширен план. Потребителите
могат да закупят единични лицензи или да се абонират за годишен план, който включва
автоматични ъпдейти и поддръжка.
Avast antivirus
40
Цените на платените версии започват от около 80 лева на година за Avast
Premium Security и могат да достигнат до около 140 лева за Avast Ultimate, която
включва и други функции като VPN и система за оптимизиране на компютъра.
Фиг. 7
41
Повечето антивирусни програми имат подобен интерфейс със същите
функции. Разбира се някои предлагат повече такива, като VPN, Ad-blocker и т.н.
Заключение
42
Използвана литература
43
10. Storm Worm – Malware Information, Detection and Removal. The Plug -
HelloTech - Turn to the Plug for Informative Tech News That You Can Use.
https://www.hellotech.com/blog/storm-worm-malware
11. Гламослия, К. (2020). Какво е троянски кон и как да се предпазите от
него. SafetyDetectives. https://bg.safetydetectives.com/blog/%D0%BA%D0%B0%D0%BA
%D0%B2%D0%BE-%D0%B5-%D1%82%D1%80%D0%BE%D1%8F%D0%BD
%D1%81%D0%BA%D0%B8-%D0%BA%D0%BE%D0%BD-%D0%B8-%D0%BA
%D0%B0%D0%BA-%D0%B4%D0%B0-%D1%81%D0%B5-%D0%BF
%D1%80%D0%B5%D0%B4%D0%BF%D0%B0%D0%B7/
Технически термини
1. Boot sector (Начален сектор): Първият сектор на всеки логически диск или дял. Той
съдържа информация за обема на диска и капацитета му, както и за приложението,
което зарежда и изпълнява операционната система.
2. Fishing (Фишинг): Злонамерен опит за придобиване на лична информация като
потребителско име, парола и детайли на кредитна карта, като извършителят приема
чужда самоличност при електронни комуникации.
3. Exploit (Експлойт): Код или поредица от команди, които се възползват от
грешка, бъг или уязвимост в компютърен софтуер или хардуер, като предизвикват в
тях нежелано или неочаквано поведение.
4. Rootkit (Рууткит): Набор от средства за получаване на пълни права на
администратор.
5. Keylogger (Кийлогър): Особен вид мауер, който следи какви бутони на
клавиатурата натискате.
44