Вредоносные программы список. Классификация вредоносных программ

Классификация

Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ.

В настоящее время трояны имеют много функций, некоторые из них содержат все функции вредоносного ПО, упомянутые выше, но обычно они используются для шпионажа, захвата типизированной информации, манипулирования файлами. Вы делаете что-нибудь с трояном, все, что хотите.

Существует два типа троянов: обратное соединение и прямое соединение. Обратное соединение: они наиболее распространены, это троян, в котором сервер подключается к клиенту. Все жертвы пытаются подключиться к взломщику, и когда они это делают, они ждут выполнения команд. Таким образом, взломщик может одновременно взаимодействовать со всеми серверами и выполнять задачи одновременно.

В настоящее время не существует единой системы классификации и именования вирусов.

Классификация по поражаемым объектам:

1. Загрузочные (boot) вирусы – запускаются при загрузке компьютера и заражают программу начальной загрузки, хранящуюся в загрузочном секторе дискеты или винчестера.

2. Файловые вирусы – прикрепляют себя к файлу или программе, и активизируются при каждом использовании файла. Могут распространяться через файлы документов (Microsoft Office Word, Excel и т.п.), не модифицировать их, а лишь иметь к ним какое-то отношение.
Классификация файловых вирусов по способу заражения:

Прямое подключение: они менее распространены, именно потому, что они потеряли место для обратного соединения. В них, в отличие от обратного соединения, клиент подключается к серверам. Затем сервер, установленный на компьютере жертвы, ждет соединение с клиентом, которое выполняется вручную взломщиком. Когда соединение выполняется, передача информации происходит, как в удаленном соединении, однако, только с одной жертвой за раз. Это недостаток троянца прямого соединения, он может подключаться только к одной жертве за раз, поэтому отправлять массовые команды всем зараженным жертвам невозможно.

o Перезаписывающие вирусы – вирусы данного типа записывают своё тело вместо кода программы, не изменяя названия исполняемого файла, вследствие чего исходная программа перестаёт запускаться. При запуске программы выполняется код вируса, а не сама программа.

o Вирусы-компаньоны – как и перезаписывающие вирусы, создают свою копию на месте заражаемой программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а переименовывают или перемещают его. При запуске программы вначале выполняется код вируса, а затем управление передаётся оригинальной программе.

Этот порт должен быть открыт на взломщике маршрутизатора и выпущен на брандмауэре, поэтому в сообщении нет помех. Обычно вам нужно позвонить в центральный офис и попросить о поддержке, чтобы сделать это за вас. Они спросят причину, а затем вы используете небольшую социальную инженерию и придумываете историю.

Если они скажут, что они не откроются, они скажут, что они отменит контракт и что они нанят другую компанию, и увидят, что скоро они дадут решение своей проблемы. Из-за этого многие люди не могут использовать трояны по радио. Он много используется для создания игровых серверов.

o Файловые черви – создают собственные копии с привлекательными для пользователя названиями (например, Game.exe, install.exe и др.) в надежде на то, что пользователь их запустит.

o Вирусы-звенья – не изменяют код программы, а заставляют операционную систему выполнить собственный код, изменяя адрес местоположения на диске заражённой программы на собственный адрес. После выполнения кода вируса управление обычно передаётся вызываемой пользователем программе.

После этого просто отправьте сервер и дождитесь его запуска. Также стоит помнить, что эти вредители не атакуют только компьютеры, а также мобильные устройства, такие как мобильные телефоны и планшеты. На самом деле это своего рода социальная инженерия, в которой злоумышленник оставляет страх в страхе, передавая ложную информацию о состоянии своего устройства, чтобы заставить его загрузить предполагаемое приложение, которое обещает ускорить работу телефона, но на самом деле будет замедлить работу.

С минутой подключения к устройству он уже может заразить систему яблока. Вредоносная программа способна полностью скомпрометировать систему, независимо от действий пользователя. В следующей главе мы увидим, как антивирусные инструменты остаются незамеченными.

o Вирусы, поражающие исходный код программ – вирусы данного типа поражают исходный код программы или её компоненты (.OBJ, .LIB, .DCU), а также VCL и ActiveX-компоненты. После компиляции программы оказываются встроенными в неё.

o Вирусы без точки входа – к ним относятся вирусы, не записывающие команд передачи управления в заголовок COM-файлов (JMP) и не изменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записывают команду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управления на тело вируса. Причем выполняться эта процедура может крайне редко (например, при выводе сообщения о какой-либо специфической ошибке).

Термин происходит от слов «злонамеренное» и «программное обеспечение» и может быть разделен на некоторые типы. В общем, вредоносное ПО обращается к устройству через Интернет. Средством, наиболее часто используемым киберпреступниками, является электронная почта, но атака может быть совершена с помощью взломанных сайтов, поддельных файлов, игровых демонстраций или чего-либо, загруженного в Интернете. Знайте различия между каждым типом кода.

Если машина через некоторое время замедляется, возможно, она была атакована троянским коньком. В общем, вирус отправляется жертве по электронной почте через полезные или забавные файлы. Однако код вызывает множество проблем. Помимо замедления работы компьютера, троянец может украсть персональные данные.

3. Скриптовые вирусы – написаны на различных скриптовых языках – BATCH, PHP, JS, VBS. Существует как безобидные виды, так и опасные. Опасные могут обладать задачей (при отсутствии антивирусной программы) уничтожить всю информацию на жёстком диске. Данные вирусы могут размещаться как на интернет-сайтах, так и в документах (есть даже сходность с сетевыми червями).

В некоторых случаях коды настолько продвинуты, что они могут найти пароли, номера кредитных карт и историю просмотров, например. Коды обычно связаны в приложениях, программах или музыкальных файлах, загружаемых в Интернет, и изменяют процедуру работы машины. Браузеры могут перенаправить пользователя на другие поисковые службы, и компьютер может отображать сообщения об ошибках для службы, которые ранее выполнялись нормально. В дополнение к использованию антивируса вы можете проверить область «Программы и возможности» на панели управления, чтобы убедиться, что из-за вредоносного ПО установлено другое программное обеспечение.

4. Макро-вирусы – являются программами на языках, встроенных во многие системы обработки данных (текстовые редакторы, электронные таблицы и т. Д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office97. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access.

Чтобы предотвратить атаки шпионских программ, сохраните свою операционную систему и браузер с последними обновлениями и сохраните свой браузер на самых высоких уровнях. Еще одно рекомендуемое действие - загрузка файлов только с доверенных сайтов. Вредоносный код также может удаленно обращаться к машине через Интернет. Чтобы предотвратить получение выкупа, убедитесь, что в вашей системе установлены последние обновления безопасности.

Несмотря на то, что вредоносное программное обеспечение не вредно, рекламное ПО может ослабить безопасность машины для отображения нежелательной рекламы пользователю. Коды могут заставить компьютер отображать панель инструментов в браузере или больше всплывающих окон. В общем, шпионское ПО связано с программным обеспечением, загружаемым в Интернете, но может быть установлено через отверстия безопасности в браузере или операционной системе.

5. Сетевые черви – распространяется в локальных и глобальных компьютерных сетях целиком, не подкачивая по сети свои части. Зачастую черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения.

Классификация по поражаемым операционным системам и платформам:

Если вы посещаете рекламу, где раньше не видели, есть вероятность, что машина будет заражена вредоносными программами. Еще один признак, который можно проверить, - это изменение домашней страницы браузера. Хотя это и не считается вредоносным ПО, фишинг также является вредоносной стратегией, созданной для.

В этом типе атаки цель заключается в том, чтобы максимально точно копировать страницы виртуальных магазинов и платежных систем. Например, жертву привлекают рекламные сообщения или, например, обновляют информацию об учетной записи в банке. Не сохраняя файлы на машине, фишинг не может быть удален. Однако пользователь может обнаружить попытку атаки.

1. DOS вирусы

2. Microsoft Windows

Классификация по технологиям, используемым вирусом:

1. Полиморфные вирусы – вирусы, использующие технику, позволяющую затруднить обнаружение компьютерного вируса с помощью скан-строк и, возможно, эвристики. Полиморфизм заключается в формировании кода вируса во время исполнения, при этом сама процедура, формирующая код также не должна быть постоянной и видоизменяется при каждом новом заражении.

Во-первых, необходимо определить, что такое вредоносное ПО, вредоносное ПО - это тип Программного обеспечения, который предназначен для незаконного повреждения компьютера или информационной системы. Его также можно назвать вредоносным программным обеспечением, вредоносным кодом, вредоносным программным обеспечением или вредоносным программным обеспечением.

Это компьютерные программы, созданные с целью повредить компьютерное оборудование или компьютерные системы, которые обладают характеристикой воспроизведения в определенных файлах и заражают другие компьютеры в одной сети. Этот тип вредоносного ПО использует ресурсы сети для этого. Его скорость распространения очень быстрая.

2. Стелс-вирусы – вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.).

Классификация по языку, на котором написан вирус:

Это разные инструменты, используемые хакерами, чтобы избежать обнаружения при попытке получить неавторизованный доступ к компьютеру или системе. Это могут быть программы, файлы, процессы, порты или любой логический компонент, который позволяет злоумышленнику оставаться скрытым, имея доступ к системе и управление ею. Это можно сделать двумя способами: предоставление файлов или системных каталогов или установка модулей ядра.

Это приложение, которое принимает информацию от пользователя несанкционированным образом; который полностью невидим для пользователя, поэтому его очень трудно обнаружить. Они могут собирать данные о действиях пользователя, содержимом жесткого диска, установленном программном обеспечении, качестве и скорости соединения и т.д.

1. Ассемблер

2. Высокоуровневый язык

3. Скриптовый

Классификация по деструктивным возможностям:

1. Безвредные вирусы – вирусы никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения).

2. Неопасные вирусы – вирусы влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами.

Это вредоносные программы, которые устанавливаются на компьютер без обнаружения пользователем, которые установлены на бесплатное программное обеспечение. Те, кто не наносит ущерба на главном компьютере, просто показывая всплывающие окна неожиданно, также снижает производительность компьютера в Интернете, поскольку его использование потребляет производительность процессора, память и пропускную способность. Иногда они могут восстанавливать информацию и личные данные хоста.

Это программы, которые проникают в компьютер и открывают всплывающие окна, предупреждая пользователей о том, что их система скомпрометирована вирусом. Там, где они запрашивают загрузку различных приложений безопасности, чтобы защитить вас от предполагаемого вируса. Как правило, программы уже заражены каким-то вредоносным файлом или вирусом.

3. Опасные вирусы – вирусы, которые могут привести к серьезным сбоям в работе компьютера.

4. Очень опасные вирусы – вирусы в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

Это программное обеспечение, ориентированное на финансовые преступления в Интернете, практически использует методы социальной инженерии для онлайн-мошенничества, цель заключается в краже личных данных, чтобы вводить учетные записи пользователя для совершения покупок или несанкционированных финансовых транзакций.

Проще говоря, вредоносные программы любого куска программного обеспечения, которое было написано, чтобы привести к повреждению данных, устройства или людям. Когда вы слышите о вирусов, троянских программ, шпионского ПО и т.п. то это означает, на самом деле, различные типы вредоносных программ.

Прочие «вредные программы»:

1. Троянские кони – вредоносная программа, проникающая на компьютер под видом безвредной - кодека, скринсейвера, хакерского ПО и т. д. . «Троянские кони» не имеют собственного механизма распространения, и этим отличаются от вирусов, которые распространяются, прикрепляя себя к безобидному ПО или документам, и «червей», которые копируют себя по сети, но троянская программа может нести вирусное тело - тогда запустивший троянца превращается в очаг «заразы».

Мы все знаем, популярный образ мятежного хакера, проверяя свои навыки и таланты против любой системы, он решил бросить вызов. Сегодня, однако, разработчики программного обеспечения «черная шляпа» часто продают свои навыки по высокой цене. Они могут быть преступные организации, которые ищут инструменты для работы в цифровом мире, или правительственных разведывательных агентства, стремящихся получить доступ к данным, запертым в компьютерах, сетях и мобильных устройствах своих целей.

Способ использования вредоносного ПО для причинения вреда может быть полезен при определении типа вредоносного ПО, с которым вы имеете дело. В списке ниже перечислены наиболее распространенные классы вредоносных программ, но не исчерпывающими. Как и их биологические аналоги, вирусы прикрепляются к чистым файлам и заражают другие чистые файлы. Они могут распространяться из-под контроля, повреждая основных функций системы и удаления или повреждения файлов. Троянский конь: этот тип вредоносного ПО маскируется как законное программное обеспечение или включен в законное программное обеспечение, которое было скомпрометировано. Он склонен действовать скрытно и создавать «задние двери» в вашей безопасности, чтобы обеспечить проникновение других вредоносных программ. Он прячется в фоновом режиме и записать то, что вы делаете в Интернете, включая пароли, номера кредитных карт, привычки просмотра и многое другое. Они используют каждую последующую зараженную машину, чтобы заразить больше. Вымогатели: также называется КИБЕРБЕЗОПАСНОСТЬ, этот тип вредоносных программ может заблокировать ваш компьютер и поставить под угрозу все удалить, если выкуп не будет выплачен. Кроме того, допустим: всплывающие окна действительно раздражают. Ботнеты: Ботнеты сеть зараженных компьютеров, которые вынуждены работать вместе под контролем злоумышленника. Как правило, они появляются в виде исполняемого файла. . Каждая форма вредоносных программ имеет свой собственный способ заражения и повреждения компьютеров и данных, и каждый требует иного метода удаления вредоносных программ.

2. Утилиты скрытого администрирования – троянские кони этого класса по своей сути является достаточно мощными утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые различными фирмами-производителями программных продуктов. Будучи установленными на компьютер, утилиты скрытого управления позволяют делать с компьютером все, что в них заложил их автор: принимать/отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т.п. – пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.

3. Intended-вирусы – к таким вирусам относятся программы, которые на первый взгляд являются стопроцентными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении «забывает» поместить в начало файлов команду передачи управления на код вируса, либо записывает в нее неверный адрес своего кода, либо неправильно устанавливает адрес перехватываемого прерывания и т.д.

Механизм распространения

Вирусы распространяются, копируя свое тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды - например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты и т. д.) вместе с эксплоитом, использующим уязвимость.

Эксплойт , эксплоит , сплоит (англ. exploit , эксплуатировать) - это компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).

Каналы

  • Дискеты. Самый распространённый канал заражения в 1980-1990-е годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.
  • Флеш-накопители (флешки). В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу - большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), а с 2000-х годов всё большую роль играют мобильные телефоны , особенно смартфоны . Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В Windows 7 возможность автозапуска файлов с переносных носителей была отключена.
  • Электронная почта. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.
  • Системы обмена мгновенными сообщениями. Здесь также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.
  • Веб-страницы. Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.
  • Интернет и локальные сети (черви). Черви - вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости - это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

Противодействие обнаружению

Во времена MS-DOS были распространены стелс-вирусы, перехватывающие прерывания для обращения к операционной системе. Вирус таким образом мог скрывать свои файлы из дерева каталогов или подставлять вместо зараженного файла исходную копию.

С широким распространением антивирусных сканеров, проверяющих перед запуском любой код на наличие сигнатур или выполнение подозрительных действий, этой технологии стало недостаточно. Сокрытие вируса из списка процессов или дерева каталогов для того, чтобы не привлекать лишнее внимание пользователя, является базовым приемом, однако для борьбы с вирусами требуются более изощренные методы. Для противодействия сканированию на наличие сигнатур применяется шифрование кода и полиморфизм. Эти техники часто применяются вместе, поскольку для расшифрования зашифрованной части вируса необходимо оставлять расшифровщик незашифрованным, что позволяет обнаруживать его по сигнатуре. Поэтому для изменения расшифровщика применяют полиморфизм - модификацию последовательности команд, не изменяющую выполняемых действий. Это возможно благодаря весьма разнообразной и гибкой системе команд процессоров Intel, в которой одно и то же элементарное действие, например сложение двух чисел, может быть выполнено несколькими последовательностями команд.

Также применяется перемешивание кода, когда отдельные команды случайным образом разупорядочиваются и соединяются безусловными переходами. Передовым фронтом вирусных технологий считается метаморфизм, который часто путают с полиморфизмом. Расшифровщик полиморфного вируса относительно прост, его функция - расшифровать основное тело вируса после внедрения, то есть после того как его код будет проверен антивирусом и запущен. Он не содержит самого полиморфного движка, который находится в зашифрованной части вируса и генерирует расшифровщик. В отличие от этого, метаморфный вирус может вообще не применять шифрование, поскольку сам при каждой репликации переписывает весь свой код.

Профилактика и лечение

В настоящий момент существует множество антивирусных программ, используемые для предотвращения попадания вирусов в ПК. Однако нет гарантии, что они смогут справиться с новейшими разработками. Поэтому следует придерживаться некоторых мер предосторожности, в частности:

  1. Не заходить на незнакомые сайты
  2. Пользоваться только лицензионными дистрибутивами
  3. Постоянно обновлять вирусные базы
  4. Стараться ограничиться от приемов незнакомых файлов

Экономика

Некоторые производители антивирусов утверждают, что сейчас создание вирусов превратилось из одиночного хулиганского занятия в серьёзный бизнес, имеющий тесные связи с бизнесом спама и другими видами противозаконной деятельности.

Также называются миллионные и даже миллиардные суммы ущерба от действий вирусов и червей. К подобным утверждениям и оценкам следует относиться осторожно: суммы ущерба по оценкам различных аналитиков различаются (иногда на три-четыре порядка), а методики подсчёта не приводятся.

История

Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ.

Первыми известными собственно вирусами являются Virus 1,2,3 и Elk Cloner для ПК Apple II, появившиеся в 1981 году. Зимой 1984 года появились первые антивирусные утилиты - CHK4BOMB и BOMBSQAD авторства Анди Хопкинса (англ. Andy Hopkins ). В начале 1985 года Ги Вонг (англ. Gee Wong ) написал программу DPROTECT - первый резидентный антивирус.

Первые вирусные эпидемии относятся к 1987-1989 годам: Brain (более 18 тысяч зараженных компьютеров, по данным McAfee), Jerusalem (проявился в пятницу 13 мая 1988 г., уничтожая программы при их запуске), червь Морриса (свыше 6200 компьютеров, большинство сетей вышло из строя на срок до пяти суток), DATACRIME (около 100 тысяч зараженных ПЭВМ только в Нидерландах).

Тогда же оформились основные классы двоичных вирусов: сетевые черви (червь Морриса, 1987), «троянские кони» (AIDS, 1989), полиморфные вирусы (Chameleon, 1990), стелс-вирусы (Frodo, Whale, 2-я половина 1990).

Параллельно оформляются организованные движения как про-, так и антивирусной направленности: в 1990 году появляются специализированная BBS Virus Exchange, «Маленькая чёрная книжка о компьютерных вирусах» Марка Людвига, первый коммерческий антивирус Symantec Norton Antivirus.

В 1992 году появились первый конструктор вирусов для PC - VCL (для Amiga конструкторы существовали и ранее), а также готовые полиморфные модули (MtE, DAME и TPE) и модули шифрования для встраивания в новые вирусы.

В несколько последующих лет были окончательно отточены стелс- и полиморфные технологии (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995), а также испробованы самые необычные способы проникновения в систему и заражения файлов (Dir II - 1991, PMBS, Shadowgard, Cruncher - 1993). Кроме того, появились вирусы, заражающие объектные файлы (Shifter, 1994) и исходные тексты программ (SrcVir, 1994). С распространением пакета Microsoft Office получили распространение макровирусы (Concept, 1995).

В 1996 году появился первый вирус для Windows 95 - Win95.Boza, а в декабре того же года - первый резидентный вирус для неё - Win95.Punch.

С распространением сетей и Интернета файловые вирусы всё больше ориентируются на них как на основной канал работы (ShareFun, 1997 - макровирус MS Word, использующий MS-Mail для распространения; Win32.HLLP.DeTroie, 1998 - семейство вирусов-шпионов; Melissa, 1999 - макровирус и сетевой червь, побивший все рекорды по скорости распространения). Эру расцвета «троянских коней» открывает утилита скрытого удаленного администрирования BackOrifice (1998) и последовавшие за ней аналоги (NetBus

Phase).

Вирус Win95.CIH достиг апогея в применении необычных методов, перезаписывая FlashBIOS зараженных машин (эпидемия в июне 1998 считается самой разрушительной за предшествующие годы).

В конце 1990-x - начале 2000-x годов с усложнением ПО и системного окружения, массовым переходом на сравнительно защищенные Windows семейства NT, закреплением сетей как основного канала обмена данными, а также успехами антивирусных технологий в обнаружении вирусов, построенных по сложным алгоритмам, последние стали всё больше заменять внедрение в файлы на внедрение в операционную систему (необычный автозапуск, руткиты) и подменять полиморфизм огромным количеством видов (число известных вирусов растет экспоненциально).

Руткит (англ. rootkit, т.е. «набор root"а») - программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Вместе с тем, обнаружение в Windows и другом распространенном ПО многочисленных уязвимостей открыло дорогу червям-эксплоитам. В 2004 г. беспрецедентные по масштабам эпидемии вызывают MsBlast (более 16 млн систем по данным Microsoft), Sasser и Mydoom (оценочные ущербы 500 млн $ и 4 млрд $, соответственно).

Кроме того, монолитные вирусы в значительной мере уступают место комплексам вредоносного ПО с разделением ролей и вспомогательными средствами (троянские программы, загрузчики/дропперы, фишинговые сайты, спам-боты и пауки). Также расцветают социальные технологии - спам и фишинг - как средство заражения в обход механизмов защиты ПО.

Найдите значения слов: «эксплоит», «дропперы», «спам-боты», «фишинг», «ботнеры»

Вначале на основе троянских программ, а с развитием технологий p2p-сетей - и самостоятельно - набирает обороты самый современный вид вирусов - черви-ботнеты

(Rustock, 2006, ок. 150 тыс. ботов; Conficker, 2008-2009, более 7 млн ботов; Kraken, 2009, ок. 500 тыс. ботов). Вирусы в числе прочего вредоносного ПО окончательно оформляются как средство киберпреступности.

Найдите значение технологии «р2р-сети»

Этимология названия

Компьютерный вирус был назван по аналогии с биологическими вирусами за сходный механизм распространения. По всей видимости, впервые слово «вирус» по отношению к программе было употреблено Грегори Бенфордом (Gregory Benford) в фантастическом рассказе «Человек в шрамах», опубликованном в журнале Venture в мае 1970 года. Термин «компьютерный вирус» впоследствии не раз открывался и переоткрывался - так, переменная в программе PERVADE (1975), от значения которой зависело, будет ли программа ANIMAL распространяться по диску, называлась VIRUS. Также, вирусом назвал свои программы Джо Деллинджер и, вероятно, - это и был первый вирус, названный собственно «вирусом».

Вредоносная программа (на жаргоне антивирусных служб «зловред », англ. malware , malicious software - «злонамеренное программное обеспечение) - любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам самой ЭВМ или к информации, хранимой на ЭВМ, с целью несанкционированного владельцем использования ресурсов ЭВМ или причинения вреда (нанесения ущерба) владельцу информации, и/или владельцу ЭВМ, и/или владельцу сети ЭВМ, путем копирования, искажения, удаления или подмены информации.

Терминология

По основному определению, вредоносные программы предназначены для получения несанкционированного доступа к информации, в обход существующих правил разграничения доступа. Федеральная Служба по Техническому и Экспортному Контролю (ФСТЭК России) определяет данные понятия следующим образом:

  • Санкционированный доступ к информации (англ. authorized access to information) - доступ к информации, не нарушающий правила разграничения доступа.
  • Несанкционированный доступ к информации (англ. unauthorized access to information) - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.
  • Правила разграничения доступа (англ. access mediation rules) - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа

Согласно статье 273 Уголовного Кодекса Российской Федерации («Создание, использование и распространение вредоносных программ для ЭВМ») определение вредоносных программ выглядит следующим образом: «… программы для ЭВМ или внесение изменений в существующие программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети…»

Надо отметить, что действующая формулировка статьи 273 трактует понятие вредоносности чрезвычайно широко. Когда обсуждалось внесение этой статьи в УК, подразумевалось, что «несанкционированными» будут считаться действия программы, не одобренные явным образом пользователем этой программы. Однако, нынешняя судебная практика относит к вредоносным также и программы, модифицирующие (с санкции пользователя) исполняемые файлы и/или базы данных других программ, если такая модификация не разрешена их правообладателями. При этом, в ряде случаев , при наличии принципиальной позиции защиты и грамотно проведенной экспертизе, широкая трактовка статьи 273 была признана судом незаконной.

Классификация вредоносных программ

У каждой компании-разработчика антивирусного программного обеспечения существует собственная корпоративная классификация и номенклатура вредоносных программ. Приведённая в этой статье классификация основана на номенклатуре «Лаборатории Касперского».

По вредоносной нагрузке

  • Помехи в работе заражённого компьютера: начиная от открытия-закрытия поддона CD-ROM и заканчивая уничтожением данных и поломкой аппаратного обеспечения.
    • Блокировка антивирусных сайтов, антивирусного ПО и административных функций ОС с целью усложнить лечение.
    • Саботирование промышленных процессов, управляемых компьютером.
  • Инсталляция другого вредоносного ПО.
    • ).
  • Распаковка другой вредоносной программы, уже содержащейся внутри файла (dropper ).
  • Кража, мошенничество, вымогательство и шпионаж за пользователем. Для кражи может применяться сканирование жёсткого диска, регистрация нажатий клавиш (Keylogger
    • ) и перенаправление пользователя на поддельные сайты, в точности повторяющие исходные ресурсы.
    • Похищение данных, представляющих ценность или тайну.
    • Кража аккаунтов различных служб (электронной почты, мессенджеров, игровых серверов…). Аккаунты применяются для рассылки спама. Также через электронную почту зачастую можно заполучить пароли от других аккаунтов.
    • Кража аккаунтов платёжных систем.
    • Блокировка компьютера, шифрование файлов пользователя с целью шантажа и вымогательства денежных средств. В большинстве случаев после оплаты компьютер или не разблокируется, или вскоре блокируется второй раз.
    • Использование телефонного модема для совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах.
    • Платное ПО, имитирующее, например, антивирус, но ничего полезного не делающее.
  • Прочая незаконная деятельность:
    • Получение несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него, в том числе прямое управление компьютером (так называемый backdoor ).
    • Организация на компьютере открытых релеев (найти значение слова ) и общедоступных прокси-серверов .
    • Заражённый компьютер (в составе ботнета ) может быть использован для проведения DDoS-атак .
    • Сбор адресов электронной почты и распространение спама , в том числе в составе ботнета .
    • Накрутка электронных голосований , щелчков по рекламным баннерам .
    • Генерация монет платёжной системы Bitcoin .
    • Причинение вреда здоровью человека. Например:
      • Показ на экране компьютера изображений, опасных для слабонервных людей. Например, если человек страдает от светочувствительной эпилепсии, мерцание света и большой контраст могут вызывать припадки.
  • Файлы, не являющиеся истинно вредоносными, но в большинстве случаев нежелательные:
    • Шуточное ПО, делающее какие-либо беспокоящие пользователя вещи.
    • Adware - программное обеспечение, показывающее рекламу .
    • Spyware - программное обеспечение, посылающее через интернет не санкционированную пользователем информацию.
    • «Отравленные» документы, дестабилизирующие ПО, открывающее их (например, архив размером меньше мегабайта может содержать гигабайты данных и надолго «завесить» архиватор).
    • Программы удалённого администрирования могут применяться как для того, чтобы дистанционно решать проблемы с компьютером, так и для неблаговидных целей.
    • Руткит (найти значение слова ) нужен, чтобы скрывать другое вредоносное ПО от посторонних глаз.
    • Иногда вредоносное ПО для собственного «жизнеобеспечения» устанавливает дополнительные утилиты : IRC-клиенты , программные маршрутизаторы , открытые библиотеки перехвата клавиатуры… Такое ПО вредоносным не является, но из-за того, что за ним часто стоит истинно вредоносная программа, детектируется антивирусами. Бывает даже, что вредоносным является только скрипт из одной строчки, а остальные программы вполне легитимны.

    По методу размножения

    Симптомы заражения

    • автоматическое открытие окон с незнакомым содержимым при запуске компьютера;
    • блокировка доступа к официальным сайтам антивирусных компаний, или же к сайтам, оказывающим услуги по «лечению» компьютеров от вредоносных программ;
    • появление новых неизвестных процессов в окне «Процессы» диспетчера задач Windows;
    • появление в ветках реестра, отвечающих за автозапуск, новых записей;
    • запрет на изменение настроек компьютера в учётной записи администратора;
    • невозможность запустить исполняемый файл (выдаётся сообщение об ошибке);
    • появление всплывающих окон или системных сообщений с непривычным текстом, в том числе содержащих неизвестные веб-адреса и названия;
    • перезапуск компьютера во время старта какой-либо программы;
    • случайное и/или беспорядочное отключение компьютера;
    • случайное аварийное завершение программ.

    Однако, следует учитывать, что несмотря на отсутствие симптомов, компьютер может быть заражен вредоносными программами.

    Виды вредоносных программ

    Вредоносная программа (malware) – это термин для обозначения любого программного обеспечения, специально созданного для того, чтобы причинять ущерб отдельному компьютеру или компьютерной сети. Рассмотрим основные разновидности вредоносных программ.

    Компьютерный вирус – программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения.

    Логическая бомба – это программа или фрагмент кода в программе, реализующий некоторую функцию при выполнении определенного условия, например, условием может быть наступление заданной даты. «Взрываясь», логическая бомба реализует нежелательную для пользователя функцию, например, удаляет некоторые данные.

    Троянский конь – программа, выполняющая в дополнение к основным еще и дополнительные действия, не описанные в документации. Троянский конь представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу. Троянский конь обычно действует в рамках полномочий одного пользователя, но в интересах другого пользователя (злоумышленника).

    Червь (сетевой червь) – тип вредоносных программ, распространяющихся в компьютерной сети, способных к преодолению систем защиты, а также к созданию и дальнейшему распространению своих копий и осуществлению иных вредоносных действий. Наилучший способ защиты – принятие мер предосторожности при работе в сети.

    Захватчик паролей – это программа, специально разработанная для воровства паролей. Сценарий может быть следующим. Программа выводит на экран сообщение об окончания сеанса работы, а затем – запрос на ввод логина и пароля для входа в систему. Введенные пользователем данные пересылаются владельцу программы-захватчика. Для предотвращения этой угрозы перед вводом запрашиваемых данных необходимо убедиться, что Вы вводите имя и пароль именно системной программе, а не какой-нибудь другой.

    Клавиатурный шпион (кейлоггер) – программное или аппаратное средство, основным назначением которого является скрытый мониторинг нажатий клавиш и ведение журнала этих нажатий. Кейлоггер безопасен для системы, однако он может быть очень опасным для пользователя: с помощью кейлоггера можно перехватить пароли и другую конфиденциальную информацию, вводимую пользователем с помощью клавиатуры. В результате злоумышленник узнает коды и номера счетов в электронных платежных системах, логины, пароли к системам электронной почты и т. д. Большинство антивирусных программ распознают известные кейлоггеры, и метод защиты от них не отличается от метода защиты от любого другого вредоносного программного обеспечения.

    Условием, способствующим реализации многих видов угроз безопасности информации является наличие в программном коде «люков». Люк – это не описанная в документации на программный продукт возможность работы с этим программным продуктом. В результате пользователь получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности, выход в привилегированный режим). Люки чаще всего являются результатом забывчивости разработчиков. Например, в качестве люка может быть использован временный механизм прямого доступа к частям программы, созданный для облегчения процесса отладки и не удаленный по ее окончании. Защита от люков только одна – не допускать их появления в программе.



    СХОЖИЕ СТАТЬИ