Bosh sahifa Wiki Virus

Virus

Virus — boshqa executable, hujjat, boot qismi yoki faylga birikib, host obyekt ishga tushirilganda o‘zini ko‘paytiradigan malware turi. Virus odatda tarqalish uchun foydalanuvchi amaliga yoki zararlangan faylning bajarilishiga tayanadi.

Virus atamasi kundalik nutqda barcha malware uchun ishlatiladi, ammo texnik jihatdan u o‘ziga xos ko‘payish mexanizmiga ega.

Host fayl

Virus mustaqil dastur bo‘lishdan ko‘ra host fayl yoki obyektga birikishi mumkin.

Host turlari:

Host ishga tushganda virus kodi ham bajariladi.

Infection

Virus yangi fayllarni topib ularga o‘z kodini qo‘shadi yoki mavjud qismini o‘zgartiradi.

Infection usullari:

  • fayl boshiga kod qo‘shish;
  • fayl oxiriga qo‘shish;
  • entry pointni o‘zgartirish;
  • bo‘sh segmentdan foydalanish;
  • macro qo‘shish;
  • boot recordni almashtirish.

Fayl hajmi va checksum o‘zgarishi mumkin.

File infector

Executable fayllarga birikadigan virus turi.

Zararlangan dastur ishga tushganda virus memory’ga yuklanadi va boshqa fayllarni qidiradi.

System va shared directorydagi fayllar zararlansa virus ko‘p application bilan birga tarqalishi mumkin.

Macro virus

Document ichidagi macro tilidan foydalanadi.

Hujjat ochilganda yoki ma’lum macro hodisasi ishga tushganda bajariladi.

U document template, boshqa hujjat yoki email attachment orqali tarqalishi mumkin.

Macro default o‘chiq bo‘lishi va faqat ishonchli signed macro’ga ruxsat berilishi himoyani oshiradi.

Boot sector virus

Diskning boot qismi yoki yuklanish jarayonini zararlaydi.

Qurilma ishga tushganda operatsion tizimdan oldin virus kodi bajarilishi mumkin.

Zamonaviy Secure Boot va signed boot chain bunday o‘zgarishlarga qarshi himoya beradi.

Resident virus

Virus memory’da qolib, operatsion tizim file operationlarini kuzatadi.

Yangi fayl ochilganda yoki ishga tushganda uni zararlashi mumkin.

Process yopilganidan keyin ham resident component ishlashda davom etishi ehtimoli bor.

Non-resident virus

Ishga tushganda ma’lum fayllarni zararlaydi va keyin tugaydi.

Memory’da doimiy qolmasligi mumkin.

Shunga qaramay zararlangan yangi hostlar keyinchalik virusni yana ishga tushiradi.

Polymorphic virus

Har nusxada kod yoki decryption qismi o‘zgaradi.

Maqsad signature’ni yashirish.

Asosiy behavior bir xil qoladi, ammo byte ko‘rinishi farq qiladi.

Emulation va behavior analysis aniqlashga yordam beradi.

Metamorphic virus

Kodini qayta tuzib, instruction va structure’ni o‘zgartiradi.

U faqat shifrlangan body’ni emas, kodning o‘zini transform qilishi mumkin.

Bu static signature detectionni yanada qiyinlashtiradi.

Payload

Virusning replication qismidan tashqari zararli payloadi bo‘lishi mumkin:

  • file o‘chirish;
  • data buzish;
  • ekran xabari;
  • credential theft;
  • backdoor;
  • ransomware yuklash.

Ba’zi viruslar faqat tarqaladi, lekin bu ham system yaxlitligiga zarar.

Trigger

Payload ma’lum shartda ishga tushishi mumkin:

  • sana;
  • fayl soni;
  • user action;
  • system holati;
  • command.

Bu logic bombga yaqin xatti-harakat bo‘lishi mumkin.

Triggergacha virus yashirin qolishi ehtimoli bor.

Virus va Worm

Virus boshqa host faylga birikadi va ko‘pincha uning bajarilishiga tayanadi.

Worm esa tarmoq bo‘ylab mustaqil tarqalishi mumkin.

Bir malware ikkala xususiyatni birlashtirishi ham mumkin, shu sababli tasnif asosiy behavior bo‘yicha qilinadi.

Virus va Trojan

Trojan foydali dasturga o‘xshab userni ishga tushirishga undaydi, ammo o‘zini boshqa fayllarga ko‘paytirishi shart emas.

Virusning asosiy belgisi — hostlarni zararlab ko‘payish.

Trojan virusni tizimga olib kiruvchi delivery vositasi bo‘lishi mumkin.

Aniqlash

Antivirus:

  • signature;
  • heuristic;
  • behavior;
  • emulation;
  • reputation;
  • machine learningga o‘xshash model

orqali virusni aniqlashi mumkin.

Fayl hash ma’lum variantni topadi, ammo polymorphic nusxalarda yetarli emas.

File integrity

Muhim system va application fayllari checksum yoki digital signature bilan tekshiriladi.

Noma’lum o‘zgarish infection indikatoridir.

Qonuniy update ham faylni o‘zgartiradi, shuning uchun publisher va version bilan solishtiriladi.

Quarantine

Antivirus shubhali faylni alohida himoyalangan joyga ko‘chiradi.

U yerda fayl ishga tushmaydi va tahlil qilinadi.

System file quarantine qilinsa application ishlamasligi mumkin.

Recovery uchun ishonchli nusxa kerak.

Tozalash

Ba’zi viruslar fayldan kodini olib tashlab hostni tiklashga imkon beradi.

Ammo host qanchalik o‘zgargani noma’lum bo‘lsa ishonchli clean nusxadan restore xavfsizroq.

Tizim bo‘ylab barcha zararlangan fayllar va persistence topilishi kerak.

Oldini olish

Himoya qatlamlari:

  • application allowlist;
  • macro policy;
  • patch;
  • minimal privilege;
  • email filtering;
  • signed software;
  • removable media nazorati;
  • backup;
  • endpoint monitoring.

User huquqi cheklangan bo‘lsa virusning system fayllariga ta’siri kamayadi.

Backup bilan munosabat

Virus zararlangan fayllar backupga ham nusxalanishi mumkin. Shuning uchun restore nuqtasi infection boshlanishidan oldingi vaqtga tegishli bo‘lishi kerak. Backup qaytarilgach fayllar security scan va integrity tekshiruvidan o‘tkaziladi. Faqat eng yangi backupni ko‘r-ko‘rona tiklash virusni yana tizimga qaytarishi ehtimolini oshiradi.

Digital signature

Signed executable o‘zgartirilsa signature validation xato berishi mumkin. Bu file infectionni aniqlashda kuchli signal. Biroq attacker o‘g‘irlangan certificate yoki signed zararli componentdan foydalanishi ehtimoli bor. Shuning uchun signature bilan birga publisher obro‘si, file origin va behavior ham tekshiriladi.

Shared folder

Zararlangan fayl umumiy network papkaga joylashtirilsa ko‘p user uni ochishi mumkin. Shared storage’da executable va macro hujjatlar uchun permission, scanning va version history ishlatiladi. Infection aniqlanganda faqat endpointlar emas, file server va backup nusxalari ham tekshiriladi.

Bog‘liq tushunchalar

Malware, Worm, Trojan, File infector, Macro virus, Boot sector, Polymorphic malware, Antivirus, File integrity, Quarantine