Понятие «вредоносные программы» достаточно обширно и включает в себя множество видов специализированного ПО, среди которого выделяют: вирусы, троянских коней, логические бомбы, червей, шпионов и многое другое. Несмотря на бурное развитие антивирусов, вредоносные программы до сих пор представляют большую угрозу любой ИТ-инфраструктуре и ежегодно приносят большие убытки организациям различного размера.
В настоящее время программы данного типа конструируются таким образом, чтобы оставаться незамеченными для пользователя и антивирусных программ. Часть из них использует вычислительные ресурсы компьютера жертвы в целях получения выгоды атакующим.
Зараженный компьютер может являться частью распределенной системы вычислений или стать частью ботнета и совершать распределенные атаки. Вредоносные программы также позволяют шпионить за пользователем. Некоторые виды такого ПО могут отслеживать все нажатия клавиш, делать снимки экрана, определять запущенные процессы и программы.
ПО такого типа разрабатывается и вполне официальными компаниями. Организации используют его для слежения за тем, как сотрудники используют свое рабочее время. Еще одна разновидность данных программ занимается вымогательством. Они могут шифровать данные не только на компьютере жертвы, но и на доступных ей сетевых ресурсах. Также атаке могут подвергнуться и загрузочные сектора.
Как сделать iPhone безопасным? Блокируем слежку компаний!
После шифрования жертве предлагается перечислить определенную сумму денег на счет атакующего, в противном случае его файлы могут быть безвозвратно потеряны. Далее мы рассмотрим подробнее различные виды вредоносных программ.
Вирусы
Наверное, самый старый и хорошо известный тип вредоносных программ. Так что же позволяет выделить его в самостоятельную категорию? Если не углубляться в детали, то вирус — это самореплицирующаяся программа, способная внедряться
Вирусы 143 в другую программу. Некоторые из них начинают работать сразу же после того, как были запущены, другие ждут определенного события — это может быть какая-либо дата или команда извне.
Основными видами деятельности вирусов являются: изменения данных, инфицирование программ, саморепликация, самошифрование, изменение параметров ПО, уничтожение данных, повреждение оборудования, полиморфизм. Хотим заметить, что это далеко не полный список. Ежедневно появляются вирусы, обладающие новым набором характеристик, мы привели лишь самые яркие примеры.
В классическом понимании у вируса есть свой жизненный цикл, в котором обычно выделяют шесть стадий. 1. Разработка . Подразумевает создание вируса, во время которого автор пишет его самостоятельно или использует один из широкодоступных генераторов вирусов. 2. Репликация . После распространения вируса автором он начинает самостоятельно делать свои копии.
Исходя из заложенных автором инструкций, вирус может создавать свои копии на машинах жертвы, а также пытаться заразить другие компьютеры. 3. Исполнение . Вирус начинает делать то, что хотел его создатель. Это может быть шифрование или уничтожение данных, осуществление атак на удаленный хост и многое другое.
Чистим Windows от шпионских и вредоносных программ и файлов
4. Обнаружение . Через какое-то время о существовании вируса становится известно разработчикам антивирусного ПО, которые начинают разработку инструментов, позволяющих бороться с ним. 5. Добавление . Создатели антивирусного ПО находят способ борьбы с вирусом и создают обновление для своих продуктов или специальные инструменты, которые становятся доступными широкому кругу пользователей.
6. Подавление . Антивирусы, получившие последние обновления, обретают способность обнаруживать и подавлять вирус. Следует заметить, что не все вирусы похожи друг на друга. Несмотря на общий жизненный цикл, искусно написанные вирусы существенно отличаются один от другого.
Они могут распространяться не только через компьютерные сети, но и посредством таких носителей, как внешние USB-накопители. Могут заражать как исполняемые файлы, так и файлы библиотек динамической компоновки. Копии одного и того же вируса могут содержать разный код и выполнять различные действия, что сильно затрудняет его обнаружение.
Итак, мы разобрались с понятием и жизненным циклом вируса, теперь рассмотрим его основные типы. 1. Вирусы загрузочного сектора . Заражают основной загрузочный сектор (MBR) компьютера жертвы. Могут изменять ход загрузки компьютера, что приводит к загрузке вируса до старта операционной системы и средств защиты.
144 Глава 10 • Вредоносные программы 2. Макросы . Являются частью таких широко используемых программ, как Microsoft Excel и Word. Это скрипты, которые пишутся на языке VBA с целью облегчить и автоматизировать определенные процессы. Однако этот язык позволяет делать все то же, что и любой другой, а это значит, что на нем можно так же эффективно писать вирусы.
3. Кластерные вирусы . Изменяют таблицы расположения файлов на жестком диске таким образом, что вместо открытия нужного файла пользователь будет запускать вирус, и только после этого вирус запустит нужный пользователю файл, да и то не всегда. 4. Скрытые . Используют различные механизмы, которые помогают избежать обнаружения антивирусами.
5. Зашифрованные . Шифруют сами себя во избежание обнаружения антивирусами. Интереснее всего то, что алгоритм шифрования может меняться. 6. Перезаписывающие . Умеют внедряться в другой файл, что затрудняет их обнаружение. Некоторые вирусы могут даже подменять данные о реальном размере файла, дабы пользователь или антивирус не заметил происшедших изменений.
7. Редко проявляющиеся . Такие вирусы активируются, скажем, только после каждого пятнадцатого запуска или заражают только файлы строго определенного размера. Все это затрудняет их обнаружение. 8. Подражающие . Пытаются выдать себя за обычное ПО.
Например, если на компьютере присутствует файл word.exe, такой вирус создаст файл с названием word.соm, который будет запускаться перед стартом word.exe. 9. Логические бомбы . Срабатывают только при определенных условиях. Это усложняет их обнаружение, поскольку до наступления определенного события они никак не проявляют себя. 10.
Множественные . Используют для заражения различные векторы атак. Могут заразить загрузочный сектор или исполняемые файлы и создать множество своих копий. Это затрудняет их обнаружение и удаление. Если такой вирус не уничтожен полностью, он может воссоздать свои недостающие части. 11. Криптовирусы . Шифруют определенные файлы на диске жертвы.
За расшифровку таких данных пользователю приходиться платить злоумышленнику.
Черви
Еще одна большая категория, характерная тем, что входящее в него ПО использует все возможности компьютерных сетей и сетевых сервисов для своей репликации и распространения. В отличие от вирусов, основной характеристикой червей является их нацеленность на саморепликацию и распространение. Их основной особенностью является от-
Троянские кони 145 сутствие нацеленности на заражение каких-либо файлов, а также зависимости функционирования от действий пользователя. Они молниеносно распространяются по сети, генерируют много сетевого трафика и потребляют значительное количество ресурсов. Черви могут содержать в себе вирус и заражать машины жертв, а также обладают способностью передавать данные с зараженных машин на сервер атакующего. Чаще всего для своего распространения они используют уязвимости в установленном ПО, однако не заражают его, чем существенно отличаются от вирусов.
Шпионы
Этот тип ПО создан для того, чтобы собирать всю возможную информацию о пользователе и передавать ее атакующему. Разумеется, шпионы устанавливаются на компьютер жертвы без ее ведома и работают скрытно. Заражение шпионами может происходить множеством путей — они могут входить в состав другого, обычно бесплатного ПО и устанавливаться вместе с ним, а также могут пересылаться по электронной почте, устанавливаться на компьютер жертвы непосредственно атакующим и многими другими путями.
Рекламное ПО
Основное его предназначение — показ рекламы на компьютере жертвы. Обычно реклама показывается в виде всплывающих окон, также она может изменять домашнюю страницу браузера. Обычно распространяется через уязвимые интернетобозреватели или в составе инсталляторов бесплатных программ.
Троянские кони
Основной задачей троянских коней является обеспечение доступа атакующего к компьютеру жертвы. Такие программы стараются тщательно скрываться от антивирусов и никоим образом не раскрывать свое присутствие. Используя троянского коня, атакующий может украсть информацию, установить стороннее ПО, загрузить или изменить файлы, а также следить за работой пользователя.
Безусловно, для исполнения удаленных команд атакующего необходима среда передачи данных. Троянские кони могут осуществлять коммуникацию, используя два типа каналов: легитимные — например, предавать данные по HTTP, и скрытые, когда ПО создает свой собственный канал. Троянских коней можно условно разделить на несколько типов: 1. Обеспечивающие атакующему удаленный доступ и управление компьютером жертвы.
Источник: studfile.net
Различия между вирусами, червями, троянами, шпионским и вредоносным ПО
Когда у нас возникают проблемы с нашим ПК… первое, о чем мы думаем, это вирус или мой компьютер сломан? Наличие хорошего антивируса всегда важно и намного больше в Windows.
Если мы проведем небольшое исследование, мы столкнемся со многими терминами: вирусы, черви, трояны, шпионское ПО, вредоносные программы и т. Д. На этот раз мы представим вам краткое руководство о том, что представляет собой каждый из них и как он работает на нашем компьютере.
Трояны сетевые черви и шпионские программы
Троянские программы, как видно из названия, чаще всего попадают на ваш компьютер с вашего же разрешения. Естественно, вы и не догадываетесь, что эта вредоносная программа появилась у вас. Она может установиться под видом полезного обновления браузера или его расширения, вместе с какой-либо утилитой, которую вы сами скачали из Интернета и установили у себя на компьютере.
Троянские программы могут образовывать бот-сети и в нужный момент по команде злоумышленника выполнять в сети действия от имени вашего компьютера. Так, например, организуются DDoS-атаки (Distributed Denial of Service — «распределенный отказ в обслуживании») на различные сайты в Интернете с целью сделать их недоступными для пользователей.
Кроме того, есть трояны, которые перенаправляют вас при запуске браузера на принадлежащий злоумышленникам сайт, требующий оплатить разблокировку доступа в Интернет.
При очередной попытке открыть страничку какого-нибудь популярного сайта, например Google.ru или Mail.ru, браузер автоматически перенаправляется на созданную злоумышленниками веб-страничку с сообщением о том, что доступ в Интернет заблокирован. Для «разблокировки» вам предлагают ввести реквизиты своей банковской карты. Естественно, делать это категорически нельзя!
Примером такой троянской программы является Trojan.Hosts.5858. Эту программу незаметно загружает на ваш компьютер троян семейства BackDoor.Andromeda. Кроме Trojan.Hosts.5858, с помощью этого трояна на ваш ноутбук могут попасть и другие троянцы, например Trojan.Spambot.11349 и BackDoor.IRC.Aryan.1.
Виды троянов:
- Backdoor — позволяют злоумышленнику удаленно управлять вашим ноутбуком.
- PWS — записывают и отсылают злоумышленнику ваши пароли.
- Clicker — теми или иными способами принуждает вас посетить нужную злоумышленнику страничку в Интернете (например, желает сделать ее стартовой при запуске браузера).
- Proxy — позволяет злоумышленнику использовать ваш компьютер как прокси-сервер для того, чтобы скрыть его реальный IP-адрес.
- Downloader — загружает на ваш компьютер другие вредоносные программы.
- DDoS — использует ваш компьютер для организации DDoS-атак.
Вы можете увидеть эти названия при просмотре отчетов антивирусных программ, если они обнаружили в вашей системе троянские программы.
Сетевые черви
В отличие от троянов сетевые черви самостоятельно распространяются через вычислительные сети. Чтобы «подцепить» червя, вы можете даже не выходить в Интернет. Достаточно того, что компьютер подключен к локальной сети вашего провайдера.
Как пример довольно опасного червя можно рассмотреть Conficker. Этот червь позволяет злоумышленнику получить контроль над вашим компьютер. К счастью, современные антивирусы со свежими базами с успехом справляются с этой вредоносной программой.
Программы-шпионы
Программы-шпионы (кейлоггеры), как видно из названия, предназначены для слежки за вашими действиями и кражи личной информации. Кейлоггеры могут записывать пароли, которые вы вводите с клавиатуры, сканировать содержимое файлов с вашими личными данными, просматривать картинку с вашего монитора, записывать видео с подключенной веб-камеры, вести аудиозапись. И все это незаметно для вас отсылают злоумышленнику, пока вы смотрите сайты в Интернете. О таких шпионских программах, мы писали в статье Что такое RAT-программа.
Один из ярких примеров таких программ — Flame. Она может делать по указанию злоумышленника все вышеперечисленное. Правда, основное назначение этой вредоносной программы — промышленный шпионаж. Она ищет на диске компьютер файлы с чертежами (преимущественно в форматах AutoCAD) и PDF-документы (часто именно в таких файлах хранят техническую документацию).
Источник: spy-soft.net