Virus — boshqa executable, hujjat, boot qismi yoki faylga birikib, host obyekt ishga tushirilganda o‘zini ko‘paytiradigan malware turi. Virus odatda tarqalish uchun foydalanuvchi amaliga yoki zararlangan faylning bajarilishiga tayanadi.
Virus atamasi kundalik nutqda barcha malware uchun ishlatiladi, ammo texnik jihatdan u o‘ziga xos ko‘payish mexanizmiga ega.
Host fayl
Virus mustaqil dastur bo‘lishdan ko‘ra host fayl yoki obyektga birikishi mumkin.
Host turlari:
- executable;
- document macro;
- script;
- boot sector;
- library;
- archive ichidagi fayl.
Host ishga tushganda virus kodi ham bajariladi.
Infection
Virus yangi fayllarni topib ularga o‘z kodini qo‘shadi yoki mavjud qismini o‘zgartiradi.
Infection usullari:
- fayl boshiga kod qo‘shish;
- fayl oxiriga qo‘shish;
- entry pointni o‘zgartirish;
- bo‘sh segmentdan foydalanish;
- macro qo‘shish;
- boot recordni almashtirish.
Fayl hajmi va checksum o‘zgarishi mumkin.
File infector
Executable fayllarga birikadigan virus turi.
Zararlangan dastur ishga tushganda virus memory’ga yuklanadi va boshqa fayllarni qidiradi.
System va shared directorydagi fayllar zararlansa virus ko‘p application bilan birga tarqalishi mumkin.
Macro virus
Document ichidagi macro tilidan foydalanadi.
Hujjat ochilganda yoki ma’lum macro hodisasi ishga tushganda bajariladi.
U document template, boshqa hujjat yoki email attachment orqali tarqalishi mumkin.
Macro default o‘chiq bo‘lishi va faqat ishonchli signed macro’ga ruxsat berilishi himoyani oshiradi.
Boot sector virus
Diskning boot qismi yoki yuklanish jarayonini zararlaydi.
Qurilma ishga tushganda operatsion tizimdan oldin virus kodi bajarilishi mumkin.
Zamonaviy Secure Boot va signed boot chain bunday o‘zgarishlarga qarshi himoya beradi.
Resident virus
Virus memory’da qolib, operatsion tizim file operationlarini kuzatadi.
Yangi fayl ochilganda yoki ishga tushganda uni zararlashi mumkin.
Process yopilganidan keyin ham resident component ishlashda davom etishi ehtimoli bor.
Non-resident virus
Ishga tushganda ma’lum fayllarni zararlaydi va keyin tugaydi.
Memory’da doimiy qolmasligi mumkin.
Shunga qaramay zararlangan yangi hostlar keyinchalik virusni yana ishga tushiradi.
Polymorphic virus
Har nusxada kod yoki decryption qismi o‘zgaradi.
Maqsad signature’ni yashirish.
Asosiy behavior bir xil qoladi, ammo byte ko‘rinishi farq qiladi.
Emulation va behavior analysis aniqlashga yordam beradi.
Metamorphic virus
Kodini qayta tuzib, instruction va structure’ni o‘zgartiradi.
U faqat shifrlangan body’ni emas, kodning o‘zini transform qilishi mumkin.
Bu static signature detectionni yanada qiyinlashtiradi.
Payload
Virusning replication qismidan tashqari zararli payloadi bo‘lishi mumkin:
- file o‘chirish;
- data buzish;
- ekran xabari;
- credential theft;
- backdoor;
- ransomware yuklash.
Ba’zi viruslar faqat tarqaladi, lekin bu ham system yaxlitligiga zarar.
Trigger
Payload ma’lum shartda ishga tushishi mumkin:
Bu logic bombga yaqin xatti-harakat bo‘lishi mumkin.
Triggergacha virus yashirin qolishi ehtimoli bor.
Virus va Worm
Virus boshqa host faylga birikadi va ko‘pincha uning bajarilishiga tayanadi.
Worm esa tarmoq bo‘ylab mustaqil tarqalishi mumkin.
Bir malware ikkala xususiyatni birlashtirishi ham mumkin, shu sababli tasnif asosiy behavior bo‘yicha qilinadi.
Virus va Trojan
Trojan foydali dasturga o‘xshab userni ishga tushirishga undaydi, ammo o‘zini boshqa fayllarga ko‘paytirishi shart emas.
Virusning asosiy belgisi — hostlarni zararlab ko‘payish.
Trojan virusni tizimga olib kiruvchi delivery vositasi bo‘lishi mumkin.
Aniqlash
Antivirus:
orqali virusni aniqlashi mumkin.
Fayl hash ma’lum variantni topadi, ammo polymorphic nusxalarda yetarli emas.
File integrity
Muhim system va application fayllari checksum yoki digital signature bilan tekshiriladi.
Noma’lum o‘zgarish infection indikatoridir.
Qonuniy update ham faylni o‘zgartiradi, shuning uchun publisher va version bilan solishtiriladi.
Quarantine
Antivirus shubhali faylni alohida himoyalangan joyga ko‘chiradi.
U yerda fayl ishga tushmaydi va tahlil qilinadi.
System file quarantine qilinsa application ishlamasligi mumkin.
Recovery uchun ishonchli nusxa kerak.
Tozalash
Ba’zi viruslar fayldan kodini olib tashlab hostni tiklashga imkon beradi.
Ammo host qanchalik o‘zgargani noma’lum bo‘lsa ishonchli clean nusxadan restore xavfsizroq.
Tizim bo‘ylab barcha zararlangan fayllar va persistence topilishi kerak.
Oldini olish
Himoya qatlamlari:
- application allowlist;
- macro policy;
- patch;
- minimal privilege;
- email filtering;
- signed software;
- removable media nazorati;
- backup;
- endpoint monitoring.
User huquqi cheklangan bo‘lsa virusning system fayllariga ta’siri kamayadi.
Backup bilan munosabat
Virus zararlangan fayllar backupga ham nusxalanishi mumkin. Shuning uchun restore nuqtasi infection boshlanishidan oldingi vaqtga tegishli bo‘lishi kerak. Backup qaytarilgach fayllar security scan va integrity tekshiruvidan o‘tkaziladi. Faqat eng yangi backupni ko‘r-ko‘rona tiklash virusni yana tizimga qaytarishi ehtimolini oshiradi.
Digital signature
Signed executable o‘zgartirilsa signature validation xato berishi mumkin. Bu file infectionni aniqlashda kuchli signal. Biroq attacker o‘g‘irlangan certificate yoki signed zararli componentdan foydalanishi ehtimoli bor. Shuning uchun signature bilan birga publisher obro‘si, file origin va behavior ham tekshiriladi.
Shared folder
Zararlangan fayl umumiy network papkaga joylashtirilsa ko‘p user uni ochishi mumkin. Shared storage’da executable va macro hujjatlar uchun permission, scanning va version history ishlatiladi. Infection aniqlanganda faqat endpointlar emas, file server va backup nusxalari ham tekshiriladi.
Bog‘liq tushunchalar
Malware, Worm, Trojan, File infector, Macro virus, Boot sector, Polymorphic malware, Antivirus, File integrity, Quarantine