Вредоносные программы. Программы для удаления вредоносных программ

Наверняка большинство компьютерных пользователей сталкивалось с вредоносным программным обеспечением или его попыткой проникновения в компьютер. Вовремя обнаруженное вредоносное ПО легко удалить и забыть о нем. Но если этого не сделать, то можно лишиться важных данных или столкнуться с вещами похуже. Виды компьютерных вирусов можно разделить на несколько основных групп.

Виды вредоносного программного обеспечении.

Вирусы — программы, проникающие в компьютер самыми разнообразными путями. Недаром этому виду было дано такое название — компьютерные вирусы действуют аналогично биологическим. Они проникают в файл и заражают его. После чего они переключаются на заражение других файлов. Такой файл, переданный с зараженного компьютера на «здоровый» компьютер может заразить и его. В зависимости от типа вируса, он может вызвать неприятные эффекты, такие как торможение работы компьютера или сбои в системе. Часто пользователи под словом «вирус» подразумевают троянов или червей, однако это неправильно. Вирусы — это один из видов вредоносного ПО, как и трояны, и черви и т. д.

Трояны — программы, которые, в отличие от вирусов, не умеют размножаться. Принцип их работы таков: маскировка в файле и выжидание момента обращения пользователя к нему. После того, как зараженный файл был открыт, троян начинает свою работу. Чаще всего трояны выступают в роли сборщика определенной информации, изменения или удаления данных с зараженного ПК.

Черви — программы, похожие на вирусы. Однако их разница в том, что вирус должен проникнуть в файл, чтобы начать разрушительную работу, а червю делать этого не надо. Он может размножаться самостоятельно, тем самым захламляя систему пользователя. Помимо этого работа червя может быть направлена на сеть. Часто такие черви делают массовые рассылки своих копий по электронной почте. Они используются в качестве подборщика пароля для взлома электронной почты зараженного ПК.

Шпионы — программы, которые, как понятно из названия, являются сборщиками информации о компьютере пользователя: конфигурации, деятельности и прочих конфиденциальных данных.

Кейлоггеры — программы, которые фиксируют каждое клавиатурное нажатие. Используются для сбора информации и кражи паролей жертвы.

Ransomware (блокеры) — программы, которые поражают пользовательский ПК баннером с информацией о том, что компьютер заблокирован. Такие блокеры требуют отправки дорогостоящего сообщения на определенный номер, чтобы получить код для разблокировки. Как правило, никакие коды в ответ не приходят.

Зомби — результат заражения компьютера вредоносной программой. Как правило, хакеры создают массовое зомбирование компьютеров для атаки (DDOS, спам).

Меры предосторожности и способы борьбы с вирусами.

На самом деле, список этих программ гораздо больше, поэтому были перечислены лишь те, которые имеют широкое распространение. Все они могут причинить вред компьютеру и пользовательским данным в различной степени. Чтобы не допустить этого, нужно соблюдать простые правила:

Установка качественной антивирусной защиты. Лучше, если это будет не сиротливый антивирус, а комплексная защита в виде антивируса, фаервола, антишпиона, брандмауэра, резервных копирований и т. д.

Постоянное сканирование ПК. Если лень запускать самостоятельно сканирование, то можно настроить антивирус на сканирование по расписанию. Оптимальным будет сканирование частотой 1 раз в две недели.

Внимательность. Не стоит скачивать подозрительные файлы, присланные на электронную почту, переходить по неизвестным ссылкам, устанавливать программы, скачанные с неизвестных источников. Стоит помнить, что вредоносное ПО можно «подцепить» не только из Интернета, но и, допустим, от флешки.

Обновления. Обновления системы и ПО могут выпускаться не только с целью оптимизации, но и для улучшения защиты. Поэтому рекомендуется устанавливать все обновления, предлагаемые операционной системой, браузером, почтовым клиентом и другими программами.

Вредоносное ПО – это программа, созданная с целью нанести вред компьютеру и/или его владельцу. Получение и установку таких программ называют заражением компьютера. Чтобы избежать заражения, нужно знать разновидности вредоносных программ и методы защиты от них. Об этом я вам и расскажу в статье.



Зачем же все-таки создают вредоносное ПО? Вариантов множество. Приведу самые распространенные:

Шутки ради
- самоутверждение в лице сверстников
- хищение личной информации (пароли, коды кредитных карт и т.п.)
- вымогательство денег
- распространение спама через компьютеры-зомби, которые объединяются в ботнет
- месть


Классификация вредоносного программного обеспечения




Самыми популярными видами вредоносного ПО являются:

- компьютерный вирус
- троянская программа
- сетевой червь
- руткит




Компьютерный вирус – разновидность вредоносных программ, целью которых является проведение действий, наносящих вред владельцу ПК, без его ведома. Отличительной особенностью вирусов является способность к размножению. Подхватить вирус можно через Интернет или со съемных носителей информации: флешек, дискет, дисков. Вирусы обычно внедряются в тело программ или заменяют собой программы.

Троянская программа (также можно услышать и такие названия, как троян, трой, трянский конь) – вредоносная программа, которая проникает на компьютер жертвы под видом безвредной (например, кодека, системного обновления, заставки, драйвера и т.п.). В отличие от вируса трояны не имеют собственного способа распространения. Получить их можно по электронной почте, со съемного носителя, с интернет сайта.


Сетевой червь – самостоятельная вредоносная программа, проникающая на компьютер жетвы, используя уязвимости в ПО операционных систем.




Руткит – программа, предназначенная для скрытия следов вредоносных действий злоумышленника в системе. Не всегда бывает вредоносной. Например, руткитами являются системы защиты лицензионных дисков, которые используют издатели. Также примером руткита, не наносящего вред пользователю могут послужить программы для эмуляции виртуальных приводов: Daemon Tools, Alcohol 120%.




Симптомы заражения компьютера:

Блокировка доступа к сайтам разработчиков антивирусов
- появление новых приложений в автозапуске
- запуск новых процессов, неизвестных ранее
- произвольное открытие окон, изображений, видео, звуков
- самопроизвольное отключение или перезагрузка компьютера
- снижение производительности компьютера
- неожиданное открытие лотка дисковода
- исчезновение или изменение файлов и папок
- снижение скорости загрузки из Интернета
- активная работа жестких дисков при отсутствии задач, установленных пользователем. Определяется по миганию лампочки на системном блоке.




Как же защитить себя от вредоносного ПО? Есть несколько способов:

Установить хороший антивирус (Kaspersky, NOD32, Dr. Web, Avast, AntiVir и другие)
- установить Firewall для защиты от сетевых атак
- устанавливать рекомендуемые обновления от Microsoft
- не открывать файлы, полученные из недостоверных источников

Таким образом, зная основные виды вредоносного программного обеспечения, способы защиты от них и симптомы заражения, вы максимально обезопасите свои данные.




P.S. статья актуальна только для пользователей Windows, поскольку юзеры Mac OS и Linux лишены такой роскоши, как вирусы. Причин тому несколько:
- писать вирусы на этих операционных системах крайне сложно
- очень мало уязвимостей в данных ОС, а если таковые и находятся, то их своевременно исправляют
- все воздействия по модификации системных файлов Unix-подобных ОС требуют подтверждения со стороны пользователя
Все же, владельцы данных ОС могут поймать вирус, но он не сможет запуститься и нанести вред компьютеру под управлением той же Ubuntu или Leopard.

Обсуждение статьи

В данной статье мы ответили на следующие вопросы:

- Что такое вредоносное программное обеспечение?
- Как можно избежать заражения компьютера?
- Для чего создают вредоносное ПО?
- Что такое компьютерный вирус?
- Что такое троянская программа?
- Что такое сетевой червь?
- Что такое руткит?
- Что такое ботнет?
- Как узнать, что компьютер заражен вирусом?
- Какие бывают симптомы заражения компьютера вредоносным ПО?
- Как защититься от вредоносного программного обеспечения?
- Почему на Mac (Leopard) нет вирусов?
- Почему на Linux нет вирусов?


Ваши вопросы:

Пока вопросов нет. Вы можете задать свой вопрос в комментариях.

Данная статья написана специально для

ПОНЯТИЕ И ВИДЫ ВРЕДОНОСНЫХ ПРОГРАММ

Первые сообщения о несущих вред программах, преднамеренно и скрытно внедряемых в программное обеспечение различных вычислительных систем, появились в начале 80-х гг. Название «компьютерные вирусы» произошло по причине сходства с биологическим прототипом, с точки зрения возможности самостоятельного размножения. В новую компьютерную область были перенесены и некоторые другие медико-биологические термины, например такие, как мутация, штамм, вакцина и пр. Сообщение о программах, которые при наступлении определенных условий начинают производить вредные действия, например, после определенного числа запусков разрушают хранящуюся в системе информацию, но при этом не обладают характерной для вирусов способностью к самовоспроизведению, появились значительно раньше

1.Люк. Условием, способствующим реализации многих видов угроз безопасности информации в информационных технологиях, является наличие «люков». Люк вставляется в программу обычно на этапе отладки для облегчения работы: данный модуль можно вызывать в разных местах, что позволяет отлаживать отдельные части программы независимо. Наличие люка позволяет вызывать программу нестандартным образом, что может отразиться на состоянии системы зашиты. Люки могут остаться в программе по разным причинам. Обнаружение люков - результат случайного и трудоемкого поиска. Защита от люков одна - не допускать их появления в программе, а при приемке программных продуктов, разработанных другими производителями, следует проводить анализ исходных текстов программ с целью обнаружения люков.

2. Логические бомбы используются для искажения или уничтожения информации, реже с их помощью совершаются кража или мошенничество. Логическую бомбу иногда вставляют во время разработки программы, а срабатывает она при выполнении некоторого условия (время, дата, кодовое слово). Манипуляциями с логическими бомбами занимаются также чем-то недовольные служащие, собирающиеся покинуть организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями и т. п. Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу расчета заработной платы определенные изменения, которые начинают действовать, когда его фамилия исчезнет из набора данных о персонале фирмы.

3. Троянский конь - программа, выполняющая в дополнение к основным, т. е. запроектированным и документированным действиям, действия дополнительные, неописанные в документации. Аналогия с древнегреческим троянским конем оправданна - и в том, и в другом случае в не вызывающей подозрения оболочке таится угроза. Троянский конь представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем передается (дарится, продается) пользователям ИТ. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне и т. д.). Троянский конь действует обычно в рамках полномочий одного пользователя, но в интересах другого пользователя или вообще постороннего человека, личность которого установить порой невозможно. Наиболее опасные действия троянский конь может выполнять, если запустивший его пользователь обладает расширенным набором привилегий. В таком случае злоумышленник, составивший и внедривший троянского коня н сам этими привилегиями не обладающий, может выполнять несанкционированные привилегированные функции чужими руками. Радикальным способом защиты от этой угрозы является создание замкнутой среды использования программ.



4. Червь - программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе.

Червь использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Подходящей средой распространения червя является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют. Наилучший способ защиты от червя - принятие мер предосторожности против несанкционированного доступа к сети

5. Захватчик паролей - это программы, специально предназначенные для воровства паролей. При попытке обращения пользователя к рабочей станции на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля возможен и другими способами. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе ввода, а не какой-нибудь другой. Кроме того, необходимо неукоснительно придерживаться правил использования паролей и работы с системой. Большинство нарушений происходит не из-за хитроумных атак, а из-за элементарной небрежности. Соблюдение специально разработанных правил использования паролей - необходимое условие надежной зашиты.

7. Компьютерным вирусом принято называть специально написанную, обычно небольшую по размерам программу, способную самопроизвольно присоединяться к другим программам (т. е. заражать их), создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в файлы, системные области персонального компьютера и в другие объединенные с ним компьютеры с целью нарушения нормальной работы программ, порчи файлов и каталогов, создания различных помех при работе на компьютере.

ВИДЫ КОМПЬЮТЕРНЫХ ВИРУСОВ, ИХ КЛАССИФИКАЦИЯ

Способ функционирования большинства вирусов - это такое изменение системных файлов ПК, чтобы вирус начинал свою деятельность при каждой загрузке персонального компьютера. Некоторые вирусы инфицируют файлы загрузки системы, другие специализируются на различных программных файлах. Всякий раз, когда пользователь копирует файлы на машинный носитель информации или посылает инфицированные файлы по сети, переданная копия вируса пытается установить себя на новый диск. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователь часто не замечает, что его ПК заражен и не успевает принять соответствующих адекватных мер. Для анализа действия компьютерных вирусов введено понятие жизненного цикла вируса, который включает четыре основных этапа:

1. Внедрение

2. Инкубационный период (прежде всего для скрытия источника проникновения)

3. Репродуцирование (саморазмножение)

4. Деструкция (искажение и/или уничтожение информации)

Объекты воздействия компьютерных вирусов можно условно разделить на две группы:

1. С целью продления своего существования вирусы поражают другие программы, причем не все, а те, которые наиболее часто используются и/или имеют высокий приоритет в информационной

2. Деструктивными целями вирусы воздействуют чаще всего на данные, реже - на программы.

К способам проявления компьютерных вирусов можно отнести:

Замедление работы персонального компьютера, в том числе его зависание и прекращение работы;

Изменение данных в соответствующих файлах;

Невозможность загрузки операционной системы;

Прекращение работы или неправильная работа ранее успешно функционирующей программы пользователя;

Увеличение количества файлов на диске;

Изменение размеров файлов;

Нарушение работоспособности операционной системы, что требует ее периодической перезагрузки;

Периодическое появление на экране монитора неуместных сообщений;

Появление звуковых эффектов;

Уменьшение объема свободной оперативной памяти;

Заметное возрастание времени доступа к винчестеру;

Изменение даты и времени создания файлов;

Разрушение файловой структуры (исчезновение файлов, искажение каталогов);

Загорание сигнальной лампочки дисковода, когда к нему нет обращения пользователя;

Форматирование диска без команды пользователя и т. д.

Вирусы можно классифицировать по признакам:

1. По виду среды обитания вирусы классифицируются на следующие виды:

· загрузочные внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;

· файловые внедряются в основном в исполняемые файлы с расширениями .СОМ и .ЕХЕ ;

· системные проникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов;

· сетевые вирусы обитают в компьютерных сетях;

· файлово-загрузочные поражают загрузочные секторы дисков и файлы прикладных программ.

2. По степени воздействия на ресурсы компьютерных систем и сетей выделяются:

безвредные вирусы, не оказывающие разрушительного влияния на работу персонального компьютера, но могут переполнять оперативную память в результате своего размножения;

неопасные вирусыне разрушают файлы, но уменьшают свободную дисковую память, выводят на экран графические эффекты, создают звуковые эффекты и т. д.;

опасные вирусынередко приводят к различным серьезным нарушениям в работе персонального компьютера и всей информационной технологии;

разрушительные приводят к стиранию информации, полному или частичному нарушению работы прикладных программ..и пр.

3. По способу заражения среды обитания вирусы подразделяются на следующие группы:

резидентные вирусы при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия вплоть до выключения или перезагрузки компьютера. Резидентная программа -это программа, постоянно находящаяся в оперативной памяти персонального ком­пьютера.

нерезидентные вирусы не заражают оперативную память персонального компьютера и являются активными ограниченное время.

4. Алгоритмическая особенность построения вирусов оказывает влияние на их проявление и функционирование. Выделяют следующие виды таких вирусов:

§ репликаторные, благодаря своему быстрому воспроизводству приводят к переполнению основной памяти, при этом уничтожение программ-репликаторов усложняется, если воспроизводимые программы не являются точными копиями оригинала;

§ мутирующие со временем видоизменяются и самопроизводятся. При этом, самовоспризводясь, воссоздают копии, которые явно отличаются от оригинала;

§ стэлс-вирусы (невидимые) перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо себя незараженные объекты. Такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы;

§ макровирусы используют возможности макроязыков, встроенных в офисные программы обработки данных (текстовые редакторы, элек­тронные таблицы и т.д.).

Вредоносное программное обеспечение и, прежде всего, компьютерные вирусы представляют очень серьезную опасность для информационных систем. Недооценка этой опасности может иметь серьезные последствия для информации пользователей. В то же время чрезмерное преувеличение угрозы вирусов негативно влияет на использование всех возможностей компьютерной сети. Знание механизмов действия вредоносного программного обеспечения (ПО), методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и нанесения вреда машинам и информации.

О наличии вредоносного ПО в системе пользователь может судить по следующим признакам:

  • появление сообщений антивирусных средств о заражении или о предполагаемом заражении, "самопроизвольное" отключение антивирусных программных средств;
  • явные проявления присутствия вируса, такие как: сообщения, выдаваемые на монитор или принтер, звуковые эффекты, неожиданный запуск программ, уничтожение файлов и другие аналогичные действия, однозначно указывающие на наличие вируса в системе;
  • неявные проявления заражения, которые могут быть вызваны и другими причинами, например, сбоями или отказами аппаратных и программных средств компьютерной системы – увеличение времени обработки той или иной информации (т.н. "задумчивость" ПК), необоснованное уменьшение свободного объёма на дисковых носителях, отказ выполнять программы-сканеры вирусной активности, "зависания" системы и т.п.;
  • рассылка писем, которые пользователем не отправлялись, по электронной почте.

Вредоносная программа (Malware, malicious software – злонамеренное программное обеспечение) – это любое программное обеспечение, предназначенное для осуществления несанкционированного доступа и/или воздействия на информацию или ресурсы информационной системы в обход существующих правил разграничения доступа.

Во многом "вредность" или "полезность" программного обеспечения определяется самим пользователем или способом его применения. Общепризнанной классификации вредоносного ПО пока не существует. Первые попытки упорядочить процесс классификации были предприняты еще в начале 90-х годов прошлого века в рамках альянса антивирусных специалистов CARO (Computer AntiVirus Researcher"s Organization). Альянсом был создан документ "CARO malware naming scheme", который на какой-то период стал стандартом для индустрии.

Но со временем стремительное развитие вредоносных программ, появление новых платформ и рост числа антивирусных компаний привели к тому, что эта схема фактически перестала использоваться. Ещё более важной причиной отказа от неё стало то, что технологии детектирования систем антивирусных компаний отличаются друг от друга и, как следствие, невозможно унифицировать результаты проверки разными антивирусными программами. Периодически предпринимаются попытки выработать новую общую классификацию детектируемых антивирусными программами объектов. Последним значительным проектом подобного рода было создание стандарта CME (Common Malware Enumeration), суть которого заключается в присвоении одинаковым детектируемым объектам единого уникального идентификатора.

Рассмотрим классификацию, предложенную компанией "Лаборатория Касперского" и размещенную в Вирусной энциклопедии Лаборатории Касперского. Специалисты этой компании предлагают разделять вредоносное ПО на вредоносные программы (Malware) и потенциально нежелательные программы (PUPs, Potentially Unwanted Programs). В свою очередь, вредоносные программы включают следующие категории: компьютерные вирусы и черви; троянские программы; подозрительные упаковщики и вредоносные утилиты.

Компьютерные вирусы и черви

Термином "компьютерный вирус" сегодня уже никого не удивишь. Данное определение появилось (в середине 80-х годов) благодаря тому, что вредительские программы обладают признаками, присущими биологическим вирусам – незаметное и быстрое распространение, размножение, внедрение в объекты и заражение их, и, кроме того, негативное воздействие на систему. Вместе с термином "вирус" при работе в информационных системах используются и другие термины: "заражение", "среда обитания", "профилактика" и др.

Компьютерные вирусы – это небольшие исполняемые или интерпретируемые программы, обладающие свойством несанкционированного пользователем распространения и самовоспроизведения в компьютерах или компьютерных сетях. Полученные копии также обладают этой возможностью. Вирус может быть запрограммирован на изменение или уничтожение программного обеспечения или данных, хранящихся на объектах и устройствах компьютерной сети. В процессе распространения вирусы могут себя модифицировать.

Черви считаются подклассом вирусов, но обладают характерными особенностями. Червь размножается (воспроизводит себя), не заражая другие файлы. Он внедряется один раз на конкретный компьютер и ищет способы распространиться далее на другие компьютеры. Червь – это отдельный файл, в то время как вирус – это код, который внедряется в существующие файлы.

  • Virus (вирус) – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.

    В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

    • при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
    • вирус скопировал себя на съёмный носитель или заразил файлы на нем;
    • пользователь отослал электронное письмо с зараженным вложением.
  • Worm (червь) – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. Для активации Worm пользователю необходимо запустить его (в отличие от Net-Worm).

    Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ. Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, "мобильные" черви).

  • Net-Worm (сетевой червь) – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях. Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е. непосредственно для активации вредоносной программы).

    Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение. Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

  • Email-Worm (почтовый червь) – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, указатель URL на зараженный файл, расположенный на взломанном или хакерском Web-сайте).

    В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором – при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков – активизируется код червя.

  • P2P-Worm – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам файлообменных пиринговых сетей (например, Kazaa, Grokster, eDonkey, FastTrack, Gnutella и др.).

    Механизм работы большинства подобных червей достаточно прост – для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя – при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.

  • IM-Worm – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам систем мгновенного обмена сообщениями (например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и др.).

    Для этих целей черви, как правило, рассылают на обнаруженные контакты (из контакт-листа) сообщения, содержащие URL на файл с телом червя, расположенный на каком-либо сетевом ресурсе. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

  • IRC-Worm – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению через Интернет-чат (Internet Relay Chats).

    У этого типа червей существует два способа распространения по IRC-каналам, напоминающие способы распространения почтовых червей. Первый способ заключается в отсылке URL на копию червя. Второй способ – отсылка зараженного файла какому-либо пользователю IRC-канала. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Серьезную опасность представляют поддельные антивирусы , размещенные на специально подготовленных сайтах и которые злоумышленники предлагают загрузить для "лечения" компьютера от вирусов. Как правило, сами эти сайты не опасны, но загружаемые оттуда программы, в том числе лже-антивирусы, содержат вредоносные коды сетевых червей или троянских программ.

Троянские программы

Эти вредоносные программы внешне выглядят как легальный программный продукт, но при запуске осуществляют несанкционированные пользователем действия, направленные на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители данной категории не имеют способности создавать свои копии, обладающие возможностью дальнейшего самовоспроизведения.

  • Backdoor (бэкдор) – вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженного компьютера. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов. Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

    Представители данного типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые ботнеты, централизованно управляемые злоумышленниками в злонамеренных целях. Botnet (ботнет) – это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами – автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера.

    Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде "хозяина", управляющего данной копией троянской программы.

  • Exploit (эксплойт) – программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью.

    Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение вредоносной программой всех посетителей взломанного Web-сайта). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя.

  • Rootkit – программа, предназначенная для сокрытия в системе определенных объектов либо активности. Сокрытию, как правило, подвергаются ключи реестра (например, отвечающие за автозапуск вредоносных объектов), файлы, процессы в памяти зараженного компьютера, вредоносная сетевая активность. Сам по себе Rootkit ничего вредоносного не делает, но данный тип программ в подавляющем большинстве случаев используется вредоносными программами для увеличения собственного времени жизни в пораженных системах в силу затрудненного обнаружения.
  • Trojan – вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся "многоцелевые" троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Существует большое разнообразие троянских программ выполняющих те или иные действия и отличающихся друг от друга целями и способами воздействия на "жертву". Рассмотрим некоторые типы троянских программ:

  • Trojan-Banker – предназначена для кражи пользовательской информации, относящейся к банковским системам, системам электронных денег и пластиковых карт.
  • Trojan-Dropper – предназначена для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
  • Trojan-Proxy – предназначена для осуществления злоумышленником несанкционированного пользователем анонимного доступа к различным Интернет-ресурсам через компьютер-жертву.
  • Trojan-Mailfinder – предназначена для несанкционированного пользователем сбора адресов электронной почты на компьютере с последующей передачей их злоумышленнику.
  • Trojan-Clicker – предназначена для несанкционированного пользователем обращения к Интернет-ресурсам (обычно, к Web-страницам).
  • Trojan-GameThief – предназначена для кражи пользовательской информации, относящейся к сетевым играм. Найденная информация передается злоумышленнику.
  • Trojan-Ransom – предназначена для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того как данные взяты злоумышленником под контроль, пользователю выдвигается требование выкупа.
  • Trojan-PSW – предназначена для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. Название PSW произошло от Password-Stealing-Ware.
  • Trojan-DDoS – предназначена для проведения несанкционированной пользователем DoS-атаки с пораженного компьютера на компьютер-жертву по заранее определенному адресу.
  • Trojan-IM – предназначена для кражи пользовательских аккаунтов (логин и пароль) от Интернет-пейджеров (например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и др.).
  • Trojan-SMS – предназначена для несанкционированной пользователем отсылки SMS-сообщений с пораженных мобильных устройств на дорогостоящие платные номера, которые "жестко" записаны в теле вредоносной программы.
  • Trojan-ArcBomb – эти троянцы представляют собой архивы, специально сформированные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные – зависание или существенное замедление работы компьютера или заполнение диска большим количеством "пустых" данных. Особенно опасны "архивные бомбы" для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации – архивная бомба может просто остановить работу сервера.
  • Trojan-Downloader – предназначена для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из Интернета программы либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
  • Trojan-Notifier – предназначена для несанкционированного пользователем сообщения своему "хозяину" о том, что заражённый компьютер сейчас находится "на связи". При этом на адрес злоумышленника отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т.п.
  • Trojan-Spy – предназначена для ведения электронного шпионажа за пользователем (вводимая с клавиатуры информация, снимки экрана, список активных приложений и т.д.). Найденная информация передается злоумышленнику.

Подозрительные упаковщики

Вредоносные программы часто сжимаются специфичными способами упаковки, включая использование многократных упаковщиков и совмещая упаковку с шифрованием содержимого файла для того, чтобы при распаковке усложнить анализ файла эвристическими методами.

Вредоносные программы, разработанные для автоматизации создания других вирусов, червей или троянских программ, организации DoS-атак на удаленные сервера, взлома компьютеров и т.п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют угрозы непосредственно компьютеру, на котором исполняются. Основным признаком, по которому различают вредоносные утилиты, являются совершаемые ими действия.

  • Constructor – программы, предназначенные для изготовления новых компьютерных вирусов, червей и троянских программ.
  • HackTool – программы, используемые злоумышленниками при организации атак на локальный или удаленный компьютер (например, несанкционированное пользователем внесение нелегального пользователя в список разрешенных посетителей системы; очистка системных журналов с целью сокрытия следов присутствия в системе; снифферы с выраженным вредоносным функционалом и т.д.).
  • Flooder – программы, функцией которых является "забивание" бесполезными сообщениями сетевых каналов, отличных от почтовых, Интернет-пейджеров и SMS (например, IRC).
  • Email-Flooder, IM-Flooder, SMS-Flooder – программы, функцией которых является "забивание" бесполезными сообщениями каналов электронной почты, каналов Интернет-пейджеров (ICQ, MSN Messenger и др.) и каналов передачи SMS-сообщений.

Классификация детектируемых объектов "Лаборатории Касперского" выделяет в отдельную группу условно нежелательные программы , которые невозможно однозначно отнести ни к опасным, ни к безопасным. Речь идёт о программах, которые разрабатываются и распространяются легально и могут использоваться в повседневной работе, например, системными администраторами. Вместе с тем, некоторые из таких программ обладают функциями, которые могут причинить вред пользователю, но только при выполнении ряда условий. Например, если программа удаленного администрирования установлена на компьютер пользователя системным администратором, то ничего страшного в этом нет, т.к. администратор всего лишь получает возможность удаленно решать возникающие у пользователя проблемы. Но если та же программа установлена на компьютер пользователя злоумышленником, то последний получает полный контроль над компьютером-жертвой и дальнейшем может использовать его по своему усмотрению. Таким образом, подобные программы могут быть реализованы как во благо, так и во вред – в зависимости от того, в чьих руках они находятся.

Вредоносное ПО создаётся для компьютерных систем определенного типа, работающих с конкретными операционными системами. Привлекательность ОС для создателей вирусов определяется следующими факторами:

  • распространенность ОС;
  • отсутствие встроенных антивирусных механизмов;
  • относительная простота;
  • продолжительность эксплуатации.

Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.

Вредоносная программа

Вредоносная программа (на жаргоне антивирусных служб «зловред », англ. malware , malicious software - «злонамеренное программное обеспечение») - любое программное обеспечение , предназначенное для получения несанкционированного доступа к вычислительным ресурсам самой ЭВМ или к информации, хранимой на ЭВМ, с целью несанкционированного владельцем использования ресурсов ЭВМ или причинения вреда (нанесения ущерба) владельцу информации, и/или владельцу ЭВМ, и/или владельцу сети ЭВМ, путем копирования, искажения, удаления или подмены информации.

Синонимы

  • badware (bad - плохое и (soft)ware - программное обеспечение) - плохое программное обеспечение.
  • computer contaminant (computer - компьютер и contaminant - загрязнитель) - термин для обозначения вредоносного программного обеспечения, который используется в законодательстве некоторых штатов США, например Калифорнии и Западной Виргинии.
  • crimeware (crime - преступность и (software - программное обеспечение) - класс вредоносных программ, специально созданный для автоматизации финансовых преступлений. Это не синоним термина malware (значение термина malware шире), но все программы, относящиеся к crimeware, являются вредоносными.

Терминология

По основному определению, вредоносные программы предназначены для получения несанкционированного доступа к информации, в обход существующих правил разграничения доступа. Федеральная Служба по Техническому и Экспортному Контролю (ФСТЭК России) определяет данные понятия следующим образом:

  • Санкционированный доступ к информации (англ. authorized access to information) - доступ к информации, не нарушающий правила разграничения доступа.
  • Несанкционированный доступ к информации (англ. unauthorized access to information) - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.
  • Правила разграничения доступа (англ. access mediation rules) - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа

Другие определения термина «вредоносная программа»

Согласно статье 273 Уголовного Кодекса Российской Федерации («Создание, использование и распространение вредоносных программ для ЭВМ») определение вредоносных программ выглядит следующим образом: «… программы для ЭВМ или внесение изменений в существующие программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети…»

Надо отметить, что действующая формулировка статьи 273 трактует понятие вредоносности чрезвычайно широко. Когда обсуждалось внесение этой статьи в УК, подразумевалось, что «несанкционированными» будут считаться действия программы, не одобренные явным образом пользователем этой программы. Однако, нынешняя судебная практика относит к вредоносным также и программы, модифицирующие (с санкции пользователя) исполняемые файлы и/или базы данных других программ, если такая модификация не разрешена их правообладателями . При этом, в ряде случаев , при наличии принципиальной позиции защиты и грамотно проведенной экспертизе, широкая трактовка статьи 273 была признана судом незаконной.

Корпорация Microsoft трактует термин «вредоносная программа» следующим образом: «Вредоносная программа (malware) - это сокращение от „malicious software“, обычно используемое как общепринятый термин для обозначения любого программного обеспечения, специально созданного для того, чтобы причинять ущерб отдельному компьютеру, серверу, или компьютерной сети, независимо от того, является ли оно вирусом , шпионской программой и т. д.»

Классификация вредоносных программ

У каждой компании-разработчика антивирусного программного обеспечения существует собственная корпоративная классификация и номенклатура вредоносных программ. Приведённая в этой статье классификация основана на номенклатуре «Лаборатории Касперского ».

По вредоносной нагрузке

В этом разделе не хватает ссылок на источники информации.

Информация должна быть проверяема, иначе она может быть поставлена под сомнение и удалена.
Вы можете отредактировать эту статью, добавив ссылки на авторитетные источники.
Эта отметка установлена 13 декабря 2011 .

Вредоносное ПО может образовывать цепочки: например, с помощью эксплойта (1) на компьютере жертвы развёртывается загрузчик (2), устанавливающий из интернета червя (3).

Симптомы заражения

  • автоматическое открытие окон с незнакомым содержимым при запуске компьютера;
  • блокировка доступа к официальным сайтам антивирусных компаний, или же к сайтам, оказывающим услуги по «лечению» компьютеров от вредоносных программ;
  • появление новых неизвестных процессов в окне «Процессы» диспетчера задач Windows;
  • появление в ветках реестра, отвечающих за автозапуск, новых записей;
  • запрет на изменение настроек компьютера в учётной записи администратора;
  • невозможность запустить исполняемый файл (выдаётся сообщение об ошибке);
  • появление всплывающих окон или системных сообщений с непривычным текстом, в том числе содержащих неизвестные веб-адреса и названия;
  • перезапуск компьютера во время старта какой-либо программы;
  • случайное и/или беспорядочное отключение компьютера;
  • случайное аварийное завершение программ.

Однако, следует учитывать, что несмотря на отсутствие симптомов, компьютер может быть заражен вредоносными программами.

Методы защиты от вредоносных программ

Абсолютной защиты от вредоносных программ не существует: от «эксплойтов нулевого дня» наподобие Sasser или Conficker не застрахован никто. Но с помощью некоторых мер можно существенно снизить риск заражения вредоносными программами. Ниже перечислены основные и наиболее эффективные меры для повышения безопасности:

  • использовать современные операционные системы, не дающие изменять важные файлы без ведома пользователя;
  • своевременно устанавливать обновления;
  • если существует режим автоматического обновления, включить его;
  • помимо антивирусных продуктов, использующих сигнатурные методы поиска вредоносных программ, использовать программное обеспечение, обеспечивающее проактивную защиту от угроз (необходимость использования проактивной защиты обуславливается тем, что сигнатурный антивирус не замечает новые угрозы, ещё не внесенные в антивирусные базы);
  • постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере;
  • ограничить физический доступ к компьютеру посторонних лиц;
  • использовать внешние носители информации только от проверенных источников;
  • не открывать компьютерные файлы, полученные от ненадёжных источников;
  • использовать персональный Firewall (аппаратный или программный), контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;

Юридические аспекты

За создание, использование и распространение вредоносных программ предусмотрена различная ответственность, в том числе и уголовная, в законодательстве многих стран мира. В частности, уголовная ответственность за создание, использование и распространение вредоносных программ для ЭВМ предусмотрена в Статье 273 УК РФ . Для того, чтобы программа считалась вредоносной, нужны три критерия:

  • Уничтожение информации или нарушение работы. Таким образом, взломщик защиты от копирования - не вредоносная программа.
  • Несанкционированная работа. Программа форматирования диска , входящая в комплект любой ОС, не является вредоносной, так как её запуск санкционируется пользователем.
  • Заведомость - явная цель несанкционированно уничтожить информацию. Программы с ошибкой могут пройти как нарушение прав потребителей или как преступная халатность - но не как вредоносные.

Более чёткие критерии, по которым программные продукты (модули) могут быть отнесены к категории вредоносных программ, до настоящего времени нигде четко не оговорены. Соответственно, для того, чтобы утверждение о вредоносности программы имело юридическую силу, необходимо проведение программно-технической экспертизы с соблюдением всех установленных действующим законодательством формальностей.

Ссылки

  • Microsoft TechNet Толкование термина Malware (на английском языке)
  • Malware reviews Форум посвященный исследованию Malware (на английском языке)
  • en:Crimeware Толкование термина Crimeware (на английском языке)
  • Большой юридический словарь Толкование термина Вред
  • Словарь синонимов Абрамова Синонимы слова Вред
  • Словарь Ушакова Толкование термина Вредоносный
  • Уголовный Кодекс РФ Статья 273 УК РФ. Создание, использование и распространение вредоносных программ для ЭВМ
  • Viruslist.com Описания различных видов вредоносных программ
  • Advanced Malware Cleaning - PowerPoint презентация о видах вредоносных программ и способах борьбы с ними с использованием бесплатного системного ПО Sysinternals.
  • Расширительное толкование терминов «вредоносная программа» и «неправомерный доступ» С. А. Середа, Н. Н. Федотов. журнал «Закон». июль 2007
  • Права вирмейкера как человека и гражданина В статье рассмотрены спорные вопросы трактования понятия «вредоносная программа»
  • «Вредоносные» уголовные дела: сбой «конвейера» С. А. Середа. «Балтийский юридический журнал», № 3. 2008
  • «Шпион КГБ» ушел от преследования С. А. Середа, Н. Н. Федотов. журнал «Компьютерра», № 24(788). июнь 2009
  • Malware Information System Первый русскоязычный агрегатор ресурсов-распространителей вредоносного программного обеспечения
  • VirusInfo.info Бесплатное лечение компьютера от вредоносных программ

См. также

  • Мониторинговый программный продукт

Программные продукты для защиты от вредоносных программ

  • Категория:Программы для защиты информации

Примечания

Вредоносное программное обеспечение
Инфекционное вредоносное ПО Компьютерный вирус (список) · Сетевой червь (список) · Троянская программа · Загрузочный вирус · Хронология
Методы сокрытия Бэкдор · Компьютер-зомби · Руткит
Вредоносные программы
для прибыли 		Adware · Privacy-invasive software ·

Похожие статьи