Ущерб от атак вредоносных программ

Ущерб от проникновения вируса в домашний компьютер или компьютерную сеть предприятия может быть совершенно разным: от незначительного увеличения размера исходящего трафика (если внедрён троянец, рассылающий спам) до полного отказа работы сети или потери жизненно важной информации. Однако наносимый вирусом ущерб напрямую зависит от целей вируса, и результаты вирусной жизнедеятельности могут оказаться совершенно незаметными для пользователя заражённого компьютера — как «повезёт».

Работоспособность компьютеров и компьютерных сетей

Отказ в работе компьютеров и сетей или резкое замедление их работы бывает преднамеренным или случайным. В случае преднамеренной атаки вирус или троянская программа либо уничтожает критически важные элементы системы, чем приводит её в неработоспособное состояние, либо перегружает сеть DDoS-атакой, либо каким-либо еще образом влияет на работоспособность системы.

Часто фатальные проблемы являются результатом ошибки либо в коде вируса, либо в логике работы вредоносного кода. Ошибки есть в любом программном продукте, в том числе и в вирусах. К тому же маловероятно, что вирусы перед их запуском проходят столь же тщательное тестирование как, например, коммерческие программные продукты. Иногда вредоносные программы оказываются несовместимыми с программами и «железом», установленными на атакуемой системе, — в результате происходит сбой в работе компьютера, сервера, либо заполнение паразитным трафиком и паралич сети предприятия. Подобное случается довольно часто.

Но изредка происходят и гораздо более масштабные события. Одно из них состоялось в 1988 году в США, когда вирус Morris Worm вызвал эпидемию в прародителе современного интернета — сети Arpanet. Всего оказалось заражено более 6000 компьютеров — около 10% всех компьютеров этой сети. По причине ошибки в коде вируса он неограниченно рассылал свои копии по другим компьютерам, запускал их на выполнение и, в результате, полностью забрал себе все ресурсы, парализовав работу сети.

Современный червь Slammer (январь 2003) вызвал «веерные» отключения интернета в США, Южной Корее, Австралии и Новой Зеландии. В результате неконтролируемого распространения червя нагрузка на интернет выросла на 25%. Из-за нарушений в работе сети была прекращена часть операций «Банка Америки» (Bank of America). Огромный ущерб также был нанесён сетевыми червями Lovesan (Blaster, MSBlast), Mydoom, Sasser и прочими червями, вызвавшими глобальные эпидемии — по причине их неконтролируемого распространения авиакомпаниями отменялись рейсы, прекращали работать банки и т.д.

Отказ работы «железа»

Вирус, как причина поломки компьютерного «железа» — явление крайне редкое, поскольку современные компьютеры достаточно хорошо защищены от программных сбоев. Однако в 1999 году срабатывание «бомбы» в вирусе CIH (также известного как «Чернобыль») привело к тому, что заражённые системы оказались неработоспособными. Вирус стирал данные на перезаписываемой памяти BIOS (Flash BIOS), и компьютер переставал даже включаться. В случае обычного настольного компьютера для восстановления работоспособности надо было обратиться к специалистам (в сервис-центр) и перезаписать Flash BIOS. На многих ноутбуках микросхема Flash BIOS оказалась впаянной в материнскую плату (вместе с диском, видеокартой и прочим «железом»), и в результате стоимость ремонта превышала стоимость покупки нового ноутбука — разрушенные компьютеры просто выкидывались. Всего в мире в результате срабатывания «бомбы» пострадало несколько сотен тысяч компьютеров — сколько из них не подлежало ремонту?

Изредка встречаются троянские программы, периодически открывающие и закрывающие лоток CD/DVD-привода — несмотря на достаточную надёжность современного «железа», теоретически они могут стать причиной поломки привода тех компьютеров, которые не выключаются продолжительное время.

Потеря или кража информации

Если целью атаки является уничтожение или кража информации, то ущерб от успешной атаки равен стоимости этой информации. Если атакован домашний компьютер, который используется только для развлечений, то цена вопроса минимальна. Если же под удар попадает важная информация, то может пропасть результат многолетнего труда, библиотека фотографий, важная переписка и т.п. Естественно, что спасением от уничтожения является элементарное резервное копирование, но многие им просто пренебрегают.

В случае кражи информации — тем более, в случаях целенаправленной атаки на заведомо определённую жертву — результат может оказаться плачевным для владельца этих данных, особенно если речь идёт об утечке информации, критически важной для компании, организации или даже государства. Клиентские базы данных, финансовая и техническая документация, номера банковских счетов, детали коммерческих предложений — список можно продолжать бесконечно. Мы живём в век информации, и её потеря или утечка иногда оказывается самой плохой и неожиданной новостью.

Даже если видимого ущерба нет

Многие троянские программы, вирусы никак не проявляют своего присутствия. Вирусы тихо заражают файлы на дисках, при этом файлы и система в целом остаются работоспособными. Троянцы скрываются в системе и незаметно делают свою троянскую работу — и, вроде, всё хорошо, однако это лишь видимость.

Наличие вируса, даже самого безобидного, в корпоративной сети — ситуация форс-мажорная, и ущерб здесь очевиден — он равен убыткам от простоя сети на время проведения антивирусной зачистки плюс затраты на проведение этой зачистки. Наличие троянской программы, даже никакой опасности для сети не представляющей — ситуация также нештатная. Даже если этот троянец всего лишь «зомби»-сервер, рассылающий спам, он, во-первых, потребляет сетевые и интернет-ресурсы, а во-вторых, никому не хочется получать тонны мусорных спам-писем — а ведь возможно, что часть таких писем, поступающих на корпоративный почтовый сервер, рассылается из заражённых компьютеров той же компании.

К сожалению, заметное число домашних пользователей не осознают проблемы и вообще никак не защищают свои компьютеры. По результатам опроса, проведённого нами в декабре 2005 года, 13% российских респондентов вообще не используют на своих компьютерах антивирусную защиту.

То, что их компьютеры могут стать базой для рассылки спама, атак на другие элементы сети — большинство этих пользователей просто не задумываются, и мы оставим это на их совести.

Методы и технологии защиты от вредоносных программ

Для защиты от вредных программ и компьютерного мошенничества существуют и применяются различные методы борьбы с ними. Это методы юридические (полицейские), образовательные и технические.

Во всех компьютеризированных странах приняты законы, запрещающие создание и распространение вирусов и прочих типов вредоносных программ. К тому же часто действия интернет-преступников попадают под совершенно некомпьютерные статьи уголовных кодексов — например, мошенничество, вымогательство, неправомерный доступ к конфиденциальной информации и т.д. Данные законы регулярно применяются на практике. Так, за 2004-2006 годы за совершение преступлений с применением компьютерных технологий во всем мире было арестовано несколько сот человек. Однако следует признать, что часто подобные преступления совершаются техническими грамотными специалистами, и это достаточно серьёзно затрудняет расследование преступления. Плюс к тому большинство криминальных атак остаются вне поля зрения полиции — по причине их относительной незначительности. По этим причинам исключительно юридическими методами можно снизить общий уровень компьютерной преступности — но полностью победить нельзя.

Вторым важным методом защиты от компьютерных злоумышленников является образование пользователей, уяснение и строгое следование основным правилам поведения в сети. Всего есть три основных правила, которые верны как для домашних, так и для корпоративных пользователей:

1. Обязательное использование антивирусной защиты. Если вы не являетесь экспертом по компьютерной безопасности, то лучше всего вас защитит надёжная антивирусная защита и защита от сетевых атак (сетевой экран) — доверьте свою безопасность профессионалам. Большинство современных антивирусных программ защищают от самых разнообразных компьютерных угроз — от вирусов, червей, троянских программ и рекламных систем. Интегрированные решения по безопасности также ставят фильтр против спама, сетевых атак, посещения нежелательных и опасных интернет-ресурсов и т.д.
2. Не следует доверять всей поступающей на компьютер информации — электронным письмам, ссылкам на веб-сайты, сообщениям на интернет-пейджеры. Категорически не следует открывать файлы и ссылки, приходящие из неизвестного источника. Даже если сообщение получено из источника известного (от знакомого или коллеги по работе), но присланный файл или ссылка приходит для вас неожиданно, — лучше переспросить о подлинности сообщения, поскольку обратный адрес в электронной почте легко подделывается. Интернет — достаточно опасное место, где следует вести себя осторожно.

Риск заражения снижается также при помощи «организационных мер». К таким мерам относятся различные ограничения в работе пользователей (как индивидуальных, так и корпоративных), например:

• запрет на использование интернет-пейджеров;
• доступ только к ограниченному числу веб-страниц;
• физическое отключение внутренней сети предприятия от интернета и использование для выхода в интернет выделенных компьютеров;
• и так далее.

К сожалению, жёсткие ограничительные меры могут конфликтовать с пожеланиями каждого конкретного пользователя или с бизнес-процессами предприятия, — в таких случаях надо искать баланс, причём в каждом отдельно взятом случае этот баланс может быть различным.

3. Следует обращать достаточно внимания на информацию от антивирусных компаний и от экспертов по компьютерной безопасности. Обычно они своевременно сообщают о новых видах интернет-мошенничества, новых вирусных угрозах, эпидемиях и т.п. — уделяйте больше внимания подобной информации.

Примером успешного отражения злоумышленных атак является история с почтовым червём LoveLetter и многочисленными его клонами. Сразу после эпидемии червя практически всеми антивирусными компаниями были опубликованы рекомендации по защите от почтовых червей подобного типа — просто не открывать вложения с расширением имени файла VBS (именно так распространялся этот червь). В результате, несмотря на многочисленные клоны этого червя и другие вариации на тему VBS-червей, ни один из них не вызвал эпидемии, сравнимой по масштабу с LoveLetter.

Однако бывают случаи, что сообщения о новых вирусных инцидентах не вполне соответствует реальному уровню угрозы. Часто тривиальные почтовые черви маскируются под горячие новости о каком-либо заметном событии, например, про чемпионаты по футболу, природные или технологические катастрофы, «террорист №1 арестован» и тому подобное. Некоторые антивирусные компании иногда преподносят это как главную тему дня и раздувают вокруг незначительного события рекламную шумиху. Увы, если в этот момент нет более «горячих» новостей, то подобные сообщения попадают в газеты и новостные программы и фактически дезинформируют пользователей. К подобным сообщениям следует относиться достаточно критически. Примером подобной рекламной шумихи является история, случившаяся в конце 1999г. Неизвестные хакеры сообщили о том, что в Новый Год планируют запустить в сеть сотни тысяч новых вирусов. Мнение антивирусных компаний и экспертов было неоднозначно. Часть из них помогали раздувать сенсацию, остальные — успокаивали пользователей, утверждая, что нет никаких предпосылок для интернет-катастрофы (которой так и не произошло).

Коротко приведённые выше три правила компьютерной гигиены можно перечислить так: обязательно защищаться, никому не верить, но антивирусным компаниям — можно (с оговорками). И про антивирусную защиту — подробнее.

Кто и почему создает вредоносные программы?

Для начала — ответим на самый главный вопрос. Кому это нужно? Почему компьютеры, сети, мобильные телефоны стали носителями не только полезной информации, но зоной обитания разнообразных вредных программ? Ответить на этот вопрос несложно. Все (или почти все) изобретения, технологии массового использования — рано или поздно становились инструментом в руках хулиганов, мошенников, вымогателей и прочих преступников. Как только появляется возможность использования чего-либо в хулиганских или преступных целях — обязательно появляются те, кто применяет новые технологии совсем не так, как было задумано изобретателями этих технологий, а совсем наоборот — в корыстных целях или в целях личного самоутверждения, во вред всем окружающим. Увы — не избежали этой участи и компьютеры, мобильные телефоны, компьютерные и мобильные сети. Как только эти технологии стали массово использоваться — они тут же попали в недоброжелательные руки. Но «криминализация» новинок происходила постепенно.

Компьютерное хулиганство

Основная масса вирусов и троянских программ в прошлом создавалась студентами и школьниками, которые только что изучили язык программирования, хотели попробовать свои силы, но не смогли найти для них более достойного применения. Такие вирусы писались и пишутся по сей день только для самоутверждения их авторов. Отраден тот факт, что значительная часть подобных вирусов их авторами не распространялась, и вирусы через некоторое время умирали сами вместе с дисками, на которых хранились — или авторы вирусов отсылали их исключительно в антивирусные компании, сообщая при этом, что никуда более вирус не попадёт.

Вторую группу создателей вирусов также составляют молодые люди (чаще — студенты), которые еще не полностью овладели искусством программирования. Единственная причина, толкающая их на написание вирусов, это комплекс неполноценности, который компенсируется компьютерным хулиганством. Из-под пера подобных «умельцев» часто выходят вирусы крайне примитивные и с большим числом ошибок («студенческие» вирусы). Жизнь подобных вирусописателей стала заметно проще с развитием интернета и появлением многочисленных веб-сайтов, ориентированных на обучение написанию компьютерных вирусов. На таких веб-ресурсах можно найти подробные рекомендации по методам проникновения в систему, приемам скрытия от антивирусных программ, способам дальнейшего распространения вируса. Часто здесь же можно найти готовые исходные тексты, в которые надо всего лишь внести минимальные «авторские» изменения и откомпилировать рекомендуемым способом.

Став старше и опытнее, многие из вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир «профессиональные» вирусы. Эти тщательно продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы проникновения в системные области данных, ошибки в системах безопасности операционных сред, социальный инжиниринг и прочие хитрости.

Отдельно стоит четвертая группа авторов вирусов — «исследователи», довольно сообразительные программисты, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т.д. Они же придумывают способы внедрения в новые операционные системы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради исследования потенциалов «компьютерной фауны» — из их рук выходят те вирусы, которые называют «концептуальными» («Proof of Concept» — PoC). Часто авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через многочисленные интернет-ресурсы, посвященные созданию вирусов. При этом опасность, исходящая от таких «исследовательских» вирусов, тоже весьма велика — попав в руки «профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новых вирусах.

Традиционные вирусы, создаваемые перечисленными выше группами вирусописателей, продолжают появляться и сейчас — на смену повзрослевшим тинейджерам-хулиганам каждый раз приходит новое поколение тинейджеров. Но интересен тот факт, что «хулиганские» вирусы в последние годы становятся все менее и менее актуальными — за исключением тех случаев, когда такие вредоносные программы вызывают глобальные сетевые и почтовые эпидемии. Количество новых «традиционных» вирусов заметно уменьшается — в 2005-2006 годах их появлялось в разы меньше, чем в середине и конце 1990-х. Причин, по которым школьники и студенты утратили интерес к вирусописательству, может быть несколько.

1. Создавать вирусные программы для операционной системы MS-DOS в 1990-х годах было в разы легче, чем для технически более сложной Windows.
2. В законодательствах многих стран появились специальные компьютерные статьи, а аресты вирусописателей широко освещались прессой — что, несомненно, снизило интерес к вирусам у многих студентов и школьников.
3. К тому же у них появился новый способ проявить себя — в сетевых играх. Именно современные игры, скорее всего, сместили фокус интересов и перетянули на себя компьютеризированную молодёжь.

Таким образом, на текущий момент доля «традиционных» хулиганских вирусов и троянских программ занимает не более 5% «материала», заносимого в антивирусные базы данных. Оставшиеся 95% гораздо более опасны, чем просто вирусы, и создаются они в целях, которые описаны ниже.

Мелкое воровство

С появлением и популяризацией платных интернет-сервисов (почта, веб, хостинг) компьютерный андеграунд начинает проявлять повышенный интерес к получению доступа в сеть за чужой счет, т.е. посредством кражи чьего-либо логина и пароля (или нескольких логинов и паролей с различных пораженных компьютеров) путем применения специально разработанных троянских программ.

В начале 1997 года зафиксированы первые случаи создания и распространения троянских программ, ворующих пароли доступа к системе AOL (интернет-провайдер America Online). В 1998 году, с дальнейшим распространением интернет-услуг, аналогичные троянские программы появляются и для других интернет-сервисов. Троянские программы данного типа, как и вирусы, обычно создаются молодыми людьми, у которых нет средств для оплаты интернет-услуг. Характерен тот факт, что по мере удешевления интернет-сервисов уменьшается и удельное количество таких троянских программ. Но до сих пор троянцы, ворующие пароли к dial-up, пароли к AOL, ICQ, коды доступа к другим сервисам, составляют заметную часть ежедневных «поступлений» в лаборатории антивирусных компаний всего мира.

Мелкими воришками также создаются троянские программы других типов: ворующие регистрационные данные и ключевые файлы различных программных продуктов, использующие ресурсы зараженных компьютеров в интересах своего «хозяина» и т.п.

В последние годы фиксируется постоянно увеличивающееся число троянских программ, ворующих персональную информацию из сетевых игр (игровую виртуальную собственность) с целью её несанкционированного использования или перепродажи. Подобные троянцы особенно широко распространены в странах Азии, особенно в Китае, Корее и Японии.

Криминальный бизнес

Наиболее опасную категорию вирусописателей составляют хакеры-одиночки или группы хакеров, которые осознанно создают вредоносные программы в корыстных целях. Для этого они создают вирусные и троянские программы, которые воруют коды доступа к банковским счетам, навязчиво рекламируют какие-либо товары или услуги, несанкционированно используют ресурсы зараженного компьютера (опять-таки, ради денег — для обслуживания спам-бизнеса или организации распределённых сетевых атак с целью дальнейшего шантажа). Диапазон деятельности данной категории граждан весьма широк. Остановимся на основных видах криминального бизнеса в сети.

Обслуживание спам-бизнеса

Для рассылки спама создаются специализированные «зомби-сети» из троянских прокси-серверов (proxy server — утилита для анонимной работы в сети, обычно устанавливается на выделенный компьютер) или многоцелевых троянских программ с функционалом прокси-сервера. Затем троянские прокси-сервера получают от «хозяина» образец спама и адреса, на которые этот спам рассылать.

В результате ретрансляции спама через тысячи (или десятки тысяч) заражённых компьютеров спамеры достигают нескольких целей:

• во-первых, рассылка совершается анонимно — по заголовкам письма и прочей служебной информации в письме выяснить реальный адрес спамера невозможно;
• во-вторых, достигается большая скорость спам-рассылки, поскольку в ней задействовано огромное количество «зомби»-компьютеров;
• в-третьих, не работают технологии ведения «черных списков» адресов зараженных машин — «отсечь» все компьютеры, рассылающие спам, невозможно, потому что их слишком много.

Распределённые сетевые атаки

Также именуются DDoS-атаками (Distributed Denial of Service — распределённый отказ в обслуживании). Сетевые ресурсы (например, веб-сервера) имеют ограниченные возможности по количеству одновременно обслуживаемых запросов — это количество ограничено как мощностями самого сервера, так и шириной канала, которым он подключён к интернету. Если количество запросов превышает допустимое, то либо работа с сервером значительно замедлится, либо вообще запросы пользователей будут проигнорированы.

Пользуясь этим фактом, компьютерные злоумышленники инициируют «мусорные» запросы на атакуемый ресурс, причём количество таких запросов многократно превышает возможности ресурса-жертвы. Посредством «зомби-сети» достаточного размера организуется массированная DDoS-атака на один или несколько интернет-ресурсов, приводящая к отказу атакуемых узлов сети. В результате обычные пользователи не в состоянии получить доступ к атакованному ресурсу. Обычно под удар попадают интернет-магазины, интернет-казино, букмекерские конторы, прочие компании, бизнес которых напрямую зависит от работоспособности своих интернет-сервисов. Чаще всего распределённые атаки совершаются либо с целью «завалить» бизнес конкурента, либо с последующим требованием денежного вознаграждения за прекращение атаки — этакий интернет-рэкет.

В 2002-2004 годах этот вид криминальной деятельности был весьма распространённым. Затем он пошел на спад, видимо, по причине успешных полицейских расследований (за данные преступления было арестовано как минимум несколько десятков человек по всему миру), а также по причине достаточно успешных технических мер противодействия подобным атакам.

Создание сетей «зомби-машин»

Для развёртывания подобных сетей создаются специализированные троянские программы — «боты» (от «robot»), которые централизованно управляются удалённым «хозяином». Этот троянец внедряется в тысячи, десятки тысяч или даже миллионы компьютеров. В результате «хозяин зомби-сети» (или «бот-сети») получает доступ к ресурсам всех заражённых компьютеров и использует их в своих интересах. Иногда такие сети «зомби-машин» поступают на черный интернет-рынок, где приобретаются спамерами или сдаются им в аренду

Звонки на платные телефонные номера или посылка платных SMS-сообщений

Сначала злоумышленником (или группой лиц) создаётся и распространяется специальная программа, осуществляющая несанкционированные пользователем телефонные звонки или отсылку SMS-сообщений с мобильных телефонов. Заранее или параллельно с этим те же лица регистрирует компанию, от лица которой заключается договор с местным телефонным провайдером об оказании платного телефонного сервиса. Провайдер при этом, естественно, не ставится в известность о том, что звонки будут производиться без ведома пользователя. Далее троянец названивает на платный телефонный номер, телефонная компания выставляет счета на номера, с которых шли звонки, — и отчисляет злоумышленнику оговоренную в контракте сумму.

Воровство интернет-денег

А именно — создание, распространение и обслуживание троянских программ-шпионов, направленных на воровство денежных средств с персональных «электронных кошельков» (таких как e-gold, WebMoney). Троянские программы данного типа собирают информацию о кодах доступа к счетам и пересылают ее своему «хозяину». Обычно сбор информации осуществляется поиском и расшифровкой файлов, в которых хранятся персональные данные владельца счёта.

Воровство банковской информации

В текущее время — один из самых распространённых видов криминальной деятельности в интернете. Под ударом оказываются номера кредитных банковских карт и коды доступа к обслуживаемым через интернет персональным (а если «повезет» — то и корпоративным) банковским счетам («интернет-бэнкинг»). В случае подобных атак троянцы-шпионы используют более разнообразные методы. Например, выводят диалоговое окно или показывают окно с изображением, совпадающим с веб-страницей банка — и затем запрашивают от пользователя логин и пароль доступа к счету или номер кредитной карты (похожие методы также используются в фишинге — рассылках спама с поддельным текстом, напоминающим информационное сообщение от банка или другого интернет-сервиса).

Для того чтобы заставить пользователя ввести персональные данные применяются различные психологические махинации, обычно — выводится какой-либо текст, сообщающий, что если не ввести свой код, то произойдёт что-либо плохое (например, интернет-банк прекратит обслуживание счёта) или не произойдёт что-то очень хорошее («на Ваш счёт хотят перечислить много-много денег — пожалуйста, подтвердите свои реквизиты»).

Достаточно часто встречаются троянские программы («клавиатурные шпионы»), которые ждут подключения пользователя к подлинной банковской веб-странице и затем перехватывают введённые с клавиатуры символы (то есть, логин и пароль). Для этого они следят за запуском и активностью приложений и, если пользователь работает в интернет-браузере, сравнивают название веб-сайта с «зашитым» в код троянца списком банков. Если веб-сайт обнаружен в списке, то включается клавиатурный шпион, а затем перехваченная информация (последовательность нажатых клавиш) отсылается злоумышленнику. Данные троянские программы (в отличие от других банковских троянцев) никак не проявляют своего присутствия в системе.

Воровство прочей конфиденциальной информации

Внимание злоумышленников может привлечь не только финансовая или банковская, но и любая другая информация, представляющая какую-либо ценность — базы данных, техническая документация и т.п. Для доступа и воровства такой информации в компьютеры-жертвы внедряются специально разработанные троянцы-шпионы.

Также известно о случаях, когда для атаки использовались легальные сетевые приложения. Например, в систему скрытно внедрялся FTP-сервер или также скрытно устанавливалось файлообменное («Peer-to-Peer» — P2P) программное обеспечение. В результате файловые ресурсы компьютера становились открытыми для доступа извне. По причине многочисленных инцидентов, связанных со злоумышленным использованием P2P-сетей, в 2006 г. они были официально запрещены во Франции и в Японии.

Кибер-шантаж

Злоумышленником разрабатывается троянская программа, шифрующая персональные файлы пользователя. Троянец тем или иным способом внедряется в систему, ищет и шифрует пользовательские данные, а после окончания работы оставляет сообщение о том, что файлы восстановлению не подлежат, а купить программу-расшифровщик можно по указанному в сообщении адресу.

Другой известный метод кибер-шантажа — архивация пользовательских файлов в архив, зашифрованный достаточно длинным паролем. После архивации оригинальные файлы удаляются — и затем следует требование перевода некоторой денежной суммы в обмен на пароль к архиву.

Данный способ кибер-преступления (шифрование данных) является критически опасным с технической точки зрения, поскольку если в других случаях от последствий действия троянской программы можно защититься, то здесь приходится иметь дело со стойкими алгоритмами шифрования. При использовании подобных алгоритмов и ключей (паролей) достаточной длины, задача восстановления файлов без информации от злоумышленника станет технически неразрешимой.

Разработка «средств доставки»

Для обслуживания описанных выше видов криминальной деятельности в интернете кибер-преступниками разрабатываются и распространяются сетевые черви, которые становятся причиной многочисленных интернет-эпидемий. Основной задачей таких червей является установка криминальных троянских программ на максимально большое количество компьютеров в глобальной сети. Примерами таких червей являются нашумевшие в 2004 году Mydoom и Bagle, а в 2006 году — почтовый червь Warezov.

Не исключено, что в некоторых случаях задача «максимального покрытия» не стоит — а наоборот, количество зараженных машин принудительно ограничено, видимо, для того, чтобы не привлекать излишне большого внимания правоохранительных органов. Внедрение в компьютеры-жертвы в этих случаях происходит не при помощи неконтролируемой эпидемии сетевого червя, а, например, через зараженную веб-страницу. Злоумышленники в состоянии фиксировать количество посетителей страницы, число удачных заражений — и удалять троянский код при достижении необходимого числа зараженных машин.

Точечные атаки

В отличие от массовых атак, рассчитанных на поражение как можно большего числа компьютеров, точечные атаки преследуют совершенно другие цели — заражение сети конкретной компании или организации или даже внедрение специального разработанного троянца-агента в единственный узел (сервер) сетевой инфраструктуры. Под ударом оказываются компании, обладающие достаточно ценной информацией — банки, биллинговые компании (например, телефонные компании) и т.п.

Причина атак на банковские серверы или сети очевидна: получение доступа к банковской информации, организация несанкционированного перевода денежных средств (иногда — весьма крупных сумм) на счёт или счета злоумышленника. При атаках на биллинговые компании целью выступает доступ к клиентским счетам. Целью точечных атак может являться любая ценная информация, хранящаяся на серверах сети — клиентские базы данных, финансовая и техническая документация, — всё, что может представлять интерес для потенциального злоумышленника.

Под атаками чаще всего оказываются крупные компании, обладающие критически важной и ценной информацией. Сетевая инфраструктура таких компаний достаточно хорошо защищена от внешних атак, и без помощи изнутри компании проникнуть в неё практически невозможно. По этой причине в большинстве случаев подобные атаки осуществляются либо сотрудниками атакуемых организаций (инсайдерами), либо при их непосредственном участии.

Прочие виды криминальной деятельности

Существуют и другие виды преступного компьютерного бизнеса, которые пока не получили достаточно широкого распространения. Например, это воровство (сбор) обнаруженных на заражённых машинах электронных почтовых адресов — и продажа их спамерам. Это поиск уязвимостей в операционных системах и приложениях — и продажа их другим компьютерным преступникам. Это также разработка и продажа троянских программ «на заказ», и так далее. Весьма вероятно, что с развитием существующих и появлением новых интернет-сервисов будут появляться и новые методы совершения интернет-преступлений.

Полулегальный бизнес

Помимо студентов-вирусописателей и откровенно криминального бизнеса в интернете существует также деятельность на грани закона — бизнес «полулегальный». Системы навязывания электронной рекламы, утилиты, периодически предлагающие пользователю посетить те или иные платные веб-ресурсы, прочие типы нежелательного программного обеспечения — все они также требуют технической поддержки со стороны программистов-хакеров. Данная поддержка требуется для реализации механизмов скрытного внедрения в систему, периодического обновления своих компонент, разнообразной маскировки (чтобы защитить себя от удаления из системы), противодействия антивирусным программам — перечисленные задачи практически совпадают с функционалом троянских программ различных типов.

Принудительная реклама (Adware)

Производится внедрение в систему специальных рекламных компонентов, которые периодически скачивают рекламную информацию с особых серверов и показывают её пользователю. В большинстве случаев (но не всегда) внедрение в систему происходит незаметно для пользователя, а рекламные окна всплывают только при работе интернет-браузера (так рекламные системы маскируются под рекламные баннеры веб-сайтов).

После принятия несколькими штатами США антирекламных законов, разработчики Adware были фактически выведены за рамки закона (а почти все они — американские компании). В результате, некоторые из них максимально легализовали свои разработки: теперь Adware поставляется с инсталлятором, видна иконка на системной панели и есть деинсталлятор. Но представить себе человека, который в здравом уме и трезвой памяти добровольно установит на компьютер рекламную систему трудно, и поэтому легальные Adware стали навязывать вместе с каким-либо бесплатным софтом. При этом инсталляция Adware происходит на фоне инсталляции этого софта: большинство пользователей нажимают «OK», не обращая внимания на тексты на экране, — и вместе с устанавливаемыми программами получают и рекламные. А поскольку зачастую половина рабочего стола и системной панели заняты самыми разнообразными иконками, то иконка рекламной программы теряется среди них. В результате де-юре легальный Adware устанавливается скрытно от пользователя и не виден в системе.

Стоит также отметить, что в некоторых случаях удалить легальные рекламные системы без нарушения работы основного софта невозможно. Подобным образом производители Adware защищаются от деинсталляции.

Порнографический бизнес, платные веб-ресурсы

Для привлечения пользователей на платные веб-сайты часто также используются различные программы, которые де-юре не попадают в разряд вредоносных, поскольку они никак не скрывают своего присутствия, а на платный ресурс пользователь попадает, только положительно ответив на соответствующий вопрос. Однако такие программы часто устанавливаются в систему без ведома пользователя, например, при посещении веб-сайтов сомнительного содержания. Затем они настойчиво предлагают пользователю посетить тот или иной платный ресурс.

Ложные анти-шпионские (Anti-Spyware) или антивирусные утилиты

Это достаточно новый вид бизнеса. Пользователю «подсовывается» небольшая программа, которая сообщает о том, что на компьютере обнаружено шпионское программное обеспечение или вирус. Сообщается в любом случае, вне зависимости от реальной ситуации — даже если на компьютере кроме ОС Windows больше ничего не установлено. Одновременно пользователю предлагается за небольшую сумму приобрести «лекарство», которое, на самом деле, почти ни от чего не лечит.

Вредоносная программа

Существует класс программ, которые были изначально написаны с целью уничтожения данных на чужом компьютере, похищения чужой информации, несанкционированного использования чужих ресурсов и т. п., или же приобрели такие свойства вследствие каких-либо причин. Такие программы несут вредоносную нагрузку и соответственно называются вредоносными.

Вредоносная программа — это программа, наносящая какой-либо вред компьютеру, на котором она запускаются, или другим компьютерам в сети.

Поскольку мало пользователей в здравом уме добровольно поставят себе на компьютер заведомо вредоносную программу, их авторы вынуждены использовать различные обманные методы или специальные технологии для несанкционированного проникновения в систему. Следовательно, классифицировать вредоносные программы удобно по способу проникновения, размножения и типу вредоносной нагрузки.

Все вредоносные программы в соответствии со способами распространения и вредоносной нагрузкой можно разделить на четыре основные типа –

• компьютерные вирусы,

• черви,

• трояны

• и другие программы.

Компьютерный вирус

Так исторически сложилось, что термином «компьютерный вирус» часто называют любую вредоносную программу. Это обусловлено в первую очередь тем, что первые широко известные вредоносные программы были именно вирусами и в течение следующих десятилетий число вирусов значительно превышало количество всех остальных вредоносных программ вместе взятых. Однако в последнее время наметились тенденции к появлению новых, невирусных технологий, которые используют вредоносные программы. При этом доля истинных вирусов в общем числе инцидентов с вредоносными программами за последние годы значительно сократилась. На сегодняшний день вредоносные программы — это уже большей частью именно не вирусы, хотя такие термины как «заражение вирусом», «вирусный инцидент» применяются по отношению ко всем вредоносным программам повсеместно. Поэтому далее в этом курсе, если не оговорено иначе, под термином «вирус» будет также пониматься и вредоносная программа.

Основная черта компьютерного вируса — это способность к саморазмножению.

Компьютерный вирус— это программа, способная создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Условно жизненный цикл любого компьютерного вируса можно разделить на пять стадий:

1. Проникновение на чужой компьютер Путями проникновения вируса могут служить как мобильные носители, так и сетевые соединения — фактически, все каналы, по которым можно скопировать файл. Вирусы не используют сетевые ресурсы — заражение вирусом возможно, только если пользователь сам каким-либо образом его активировал. Например, скопировал или получил по почте зараженный файл и сам его запустил или просто открыл.

2. Активация

3. Поиск объектов для заражения

4. Подготовка копий

5. Внедрение копий

После проникновения следует активация вируса. Это может происходить несколькими путями и в соответствии с выбранным методом вирусы делятся на такие виды:

• Загрузочные вирусызаражают загрузочные сектора жестких дисков и мобильных носителей.

• Файловые вирусы — заражают файлы.Файловые вирусывнедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.

Отдельно по типу среды обитания в этой группе также выделяют:

• Классические файловые вирусы— они различными способами внедряются в исполняемые файлы (внедряют свой вредоносный код или полностью их перезаписывают), создают файлы-двойники, свои копии в различных каталогах жесткого диска или используют особенности организации файловой системы

• Макровирусы, которые написаны на внутреннем языке, так называемых макросах какого-либо приложения. Подавляющее большинство макровирусов используют макросы текстового редактора Microsoft Word

• Скрипт-вирусы, написанные в виде скриптов для определенной командной оболочки — например, bat-файлы для DOS или VBS и JS — скрипты для Windows Scripting Host (WSH)

Дополнительным отличием вирусов от других вредоносных программ служит их жесткая привязанность к операционной системе или программной оболочке, для которой каждый конкретный вирус был написан. Это означает, что вирус для Microsoft Windows не будет работать и заражать файлы на компьютере с другой установленной операционной системой, например Unix. Точно также макровирус для Microsoft Word 2003 скорее всего не будет работать в приложении Microsoft Excel 97.

При подготовке своих вирусных копий для маскировки от антивирусов могут применять такие технологии как:

• Шифрование— в этом случае вирус состоит из двух частей: сам вирус и шифратор.

• Метаморфизм— при применении этого метода вирусные копии создаются путем замены некоторых команд на аналогичные, перестановки местами частей кода, вставки между ними дополнительного, обычно ничего не делающих команд.

Соответственно в зависимости от используемых методов вирусы можно делить на шифрованные, метаморфные и полиморфные, использующие комбинацию двух типов маскировки.

Основные цели любого компьютерного вируса — это распространение на другие ресурсы компьютера и выполнение специальных действий при определенных событиях или действиях пользователя (например, 26 числа каждого четного месяца или при перезагрузке компьютера). Специальные действия нередко оказываются вредоносными.

Черви

Червь (сетевой червь) — это вредоносная программа, распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом.

Жизненный цикл червей состоит из таких стадий:

1. Проникновение в систему (через сеть)

2. Активация (самостоятельно или пользователем)

3. Поиск объектов для заражения

4. Подготовка копий

5. Распространение копий

В зависимости от способа проникновения в систему черви делятся на типы:

• Сетевые червииспользуют для распространения локальные сети и Интернет

• Почтовые черви — распространяются с помощью почтовых программ

• IM-червииспользуют системы мгновенного обмена сообщениями¹⁾

• IRC-червираспространяются по каналам IRC²⁾

• P2P-черви— при помощи пиринговых файлообменных сетей³⁾

После проникновения на компьютер, червь должен активироваться — иными словами запуститься. По методу активации все черви можно разделить на две большие группы — на тех, которые требуют активного участия пользователя и тех, кто его не требует. На практике это означает, что бывают черви, которым необходимо, чтобы владелец компьютера обратил на них внимание и запустил зараженный файл, но встречаются и такие, которые делают это сами, например, используя ошибки в настройке или бреши в системе безопасности операционной системы. Отличительная особенность червей из первой группы — это использование обманных методов. Это проявляется, например, когда получатель инфицированного файла вводится в заблуждение текстом письма и добровольно открывает вложение с почтовым червем, тем самым его активируя. В последнее время наметилась тенденция к совмещению этих двух технологий — такие черви наиболее опасны и часто вызывают глобальные эпидемии.

Сетевые черви могут кооперироваться с вирусами — такая пара способна самостоятельно распространяться по сети (благодаря червю) и в то же время заражать ресурсы компьютера (функции вируса).

Трояны

Трояны или программы класса троянский конь, в отличие от вирусов и червей, не обязаны уметь размножаться.

Троян (троянский конь) — программа, основной целью которой является вредоносное воздействие по отношению к компьютерной системе.

.

Следовательно, жизненный цикл троянов состоит всего из трех стадий:

1. Проникновение в систему. Некоторые трояны способны к самостоятельному преодолению систем защиты компьютерной системы, с целью проникновения в нее. Однако в большинстве случаев они проникают на компьютеры вместе с вирусом либо червем — то есть такие трояны можно рассматривать как дополнительную вредоносную нагрузку, но не как самостоятельную программу. Нередко пользователи сами загружают троянские программы из Интернет

2. Активация После проникновения на компьютер, трояну необходима активация и здесь он похож на червя — либо требует активных действий от пользователя или же через уязвимости в программном обеспечении самостоятельно заражает систему.

3. Выполнение вредоносных действий

Как уже говорилось выше, проникать в систему трояны могут двумя путями — самостоятельно и в кооперации с вирусом или сетевым червем. В первом случае обычно используется маскировка, когда троян выдает себя за полезное приложение, которое пользователь самостоятельно копирует себе на диск (например, загружает из Интернет) и запускает. При этом программа действительно может быть полезна, однако наряду с основными функциями она может выполнять действия, свойственные трояну.

Поскольку главная цель написания троянов — это производство несанкционированных действий, они классифицируются по типу вредоносной нагрузки:

• Клавиатурные шпионы, постоянно находясь в оперативной памяти, записывают все данные, поступающие от клавиатуры с целью последующей их передачи своему автору.

• Похитители паролейпредназначены для кражи паролей путем поиска на зараженном компьютере специальных файлов, которые их содержат.

• Утилиты скрытого удаленного управления— это трояны, которые обеспечивают несанкционированный удаленный контроль над инфицированным компьютером. Перечень действий, которые позволяет выполнять тот или иной троян, определяется его функциональностью, заложенной автором. Обычно это возможность скрыто загружать, отсылать, запускать или уничтожать файлы. Такие трояны могут быть использованы как для получения конфиденциальной информации, так и для запуска вирусов, уничтожения данных.

• Анонимные SMTP-сервера⁴⁾и прокси-сервера⁵⁾— такие трояны на зараженном компьютере организовывают несанкционированную отправку электронной почты, что часто используется для рассылки спама.

• Утилиты дозвонав скрытом от пользователя режиме инициируют подключение к платным сервисам Интернет.

• Модификаторы настроек браузераменяют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна, имитируют нажатия на рекламные баннеры и т. п.

• Логические бомбыхарактеризуются способностью при срабатывании заложенных в них условий (в конкретный день, время суток, определенное действие пользователя или команды извне) выполнять какое-либо действие, например, удаление файлов.

Отдельно отметим, что существуют программы из класса троянов, которые наносят вред другим, удаленным компьютерам и сетям, при этом не нарушая работоспособности инфицированного компьютера. Яркие представители этой группы — организаторы DDoS-атак.

Вредоносные программы и антивирусные программы — урок. Информатика, 7 класс.

Типы вредоносных программ

Вредоносными программами являются программы, наносящие вред данным и программам, хранящимся на компьютере.

Основными типами вредоносных программ являются:

  

1.  компьютерные вирусы;

2.  сетевые черви;

3.  троянские программы;

4.  программы показа рекламы и программы-шпионы, занимающиеся сбором персональной информации о компьютере и пользователе;

5.  хакерские утилиты.

 

Прообразом вредоносных программ была компьютерная игра «Дарвин», созданная в \(1961\) году в научно-исследовательских целях.

Обрати внимание!

За создание, использование и распространение вредоносных программ в России и большинстве стран предусмотрена уголовная ответственность.

Антивирусные программы

Принцип антивирусных программ основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых вирусов.

 

Для поиска известных вирусов используются сигнатуры, т.е. некоторые постоянные последовательности двоичного кода, специфичные для этого конкретного вируса. Если антивирусная программа обнаружит такую последовательность в каком-либо файле, то файл считается заражённым вирусом и подлежит лечению.

 

Для поиска новых вирусов используются алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте. Если «подозрительная» последовательность команд обнаруживается, то антивирусная программа выдаёт сообщение о возможном заражении объекта.

 

Большинство антивирусных программ сочетает в себе функции постоянной защиты и функции защиты по требованию пользователя.

 

Антивирусный монитор запускается автоматически при старте операционной системы и работает в качестве фонового системного процесса, проверяя на вредоносность совершаемые другими программами действия. Основная задача антивирусного монитора состоит в обеспечении максимальной защиты от вредоносных программ при минимальном замедлении работы компьютера.

 

Антивирусный сканер запускается по заранее выбранному расписанию или в произвольный момент пользователем. Антивирусный сканер производит поиск вредоносных программ в оперативной памяти, а также на жёстких и сетевых дисках компьютера.

  

К недостаткам антивирусных программ можно отнести большие размеры используемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов, что, в свою очередь, приводит к относительно небольшой скорости поиска вирусов.

Признаки заражения компьютера

 

Есть ряд признаков, свидетельствующих о проникновении на компьютер вредоносных программ:

  

1.  вывод на экран непредусмотренных сообщений или изображений;

2.  подача непредусмотренных звуковых сигналов;

3.  неожиданное открытие и закрытие лотка CD/DVD дисковода;

4.  произвольный запуск на компьютере каких-либо программ;

5.  частые «зависания» и сбои в работе компьютера;

6.  медленная работа компьютера при запуске программ;

7.  исчезновение или изменение файлов и папок;

8.  частое обращение к жёсткому диску;

9.  «зависание» или неожиданное поведение браузера.

  

Кроме того, есть некоторые характерные признаки поражения сетевым вирусом через электронную почту:

  

1)  друзья или знакомые говорят о полученных от тебя сообщениях, которые ты не отправлял;

  

2)  в твоём почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.

Действия при наличии признаков заражения компьютера

 

Прежде чем предпринимать какие-либо действия, необходимо сохранить результаты работы на внешнем носителе информации. Далее необходимо:

  

1)  отключить компьютер от локальной сети и Интернета, если он был к ним подключён;

  

2)  если симптом заражения состоит в том, что невозможно загрузиться с жёсткого диска компьютера, попробовать загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows;

  

3)  запустить антивирусную программу. 

Типы вредоносных программ

Сеть Интернет

Существуют тысячи технических терминов, используемых для компьютерной безопасности, многие из которых трудно объяснить простыми словами, поэтому их часто используют неправильно. Когда дело доходит до вируса, вредоносного ПО, червя, трояна. шпионской программы или даже при виде назойливых всплывающих окон на некоторых вебсайтах и рекламных баннеров и т. д., технически неопытный человек причисляет всё это к вирусам.

Чем отличаются вирус, вредоносное программное обеспечение, троян, червь, шпионское ПО и тому подобное.

Итак, много ли вы знаете об опасных вирусах, вредоносных программах, троянах, червяках, руткитах, рекламных программах, Ransomware, Exploit и т.д.? В этой статье мы подробно разберём, в чём заключается разница между вирусом, вредоносным ПО, трояном и т.д., и это должно помочь вам найти правильные ответы при решении ваших компьютерных проблем.

Давайте начнём.

Что такое вредоносное ПО?

Слово Malware (вредоносная программа, вредоносный код) используется для описания вредоносного программного обеспечения и является общим термином для вирусов, червей, троянских программ, руткитов, шпионских программ и почти всего, что специально предназначено для нанесения вреда вашему компьютеру и кражи информации.

Вредоносные программы не включают в себя багги-программное обеспечение, программы, которые вам не нравятся, программное обеспечение, которое сильно тормозит ваш компьютер, пожирая большое количество ресурсов.

Malware ПО специально создано для нанесения вреда нашему ПК и вам в виде кражи информации.

Вирусы

Вирус – это самое распространённое определение, используемое для описания любого «нехорошего» программного обеспечения. Однако, как мы договорились чуть выше, мы в этом случае теперь используем термин вредоносное ПО.

Вирус — это программа, которая самореплицирует себя (самокопируется) после заражения компьютера, прикрепляется к другим программам и устанавливается при установке подлинного программного обеспечения. После выполнения вирусного кода он может уничтожить файлы хоста и начать заражать файлы на ПК, оттуда он сам создаёт реплику (копию) и перемещается с компьютера на компьютер через внешний диск, Интернет и вредоносные веб-сайты.

Как биологический вирус переходит от одного человека к другому через окружающую среду, прикосновение, кашель. Так и компьютерный вирус распространяется от файлов к файлам, а затем с одного устройства на другое. Компьютерный вирус прикрепляется к исполняемым файлам и может атаковать сразу несколько разделов Windows, таких как реестр, службы или определённое программное обеспечение. Некоторые из них могут атаковать MBR (главная загрузочная запись), сценарии автозапуска, BIOS и макросы MS Office.

В целом, вирус предназначен для взлома вашего компьютера, повреждения и уничтожения файлов и ПО, полного отказа ПК, что может привести к полному переформатированию жёстких дисков.

Вы всегда можете сделать свой компьютер безопасным, используя хорошую антивирусную программу с регулярными обновлениями, позволяющими своевременно выявлять новые вирусы. А также избегать подозрительные файлы и ссылки с неизвестных веб-сайтов и электронных писем.

Черви

Червь (worm) похож на вирус, но червь не нуждается в хост-программе для выполнения своего чёрного дела. Червь — это автономная программа, использующая для своего распространения компьютерную сеть.

Он полагается на сетевую лазейку и дыру в безопасности, чтобы автоматически перемещаться с одного хоста на другой, и обычно не требует вмешательства пользователя. Поскольку черви не требуют какого-либо инициирования (запуска), они могут быстро распространяться по сети, заражая на своем пути каждый компьютер.

Worms — наиболее известный тип вредоносного ПО, который заражает куда большее количество компьютеров, чем вирус.

Вот несколько хорошо известных червей, таких как ILOVEYOU, которые передавали по электронной почте и стоили предприятиям США 5,5 млрд. долларов:

• Code Red червь повредил 359 000 веб — сайтов по всему миру.
• SQL Slammer сумел замедлить весь Интернет на длительный период времени.
• Blaster червь, попав к вам, заставит ваш компьютер постоянно перезагружаться.

Сегодняшние стандарты безопасности мешают червям заражать ПК пользователя по сети, но ни одна из мер безопасности не может гарантировать, что они смогут остановить любого будущего червя. Однако убедитесь, что ваш брандмауэр всегда включен и вы используете надёжное ПО для обеспечения безопасности, чтобы избежать вероятную атаку червя.

Трояны

Троян — это еще один вид вредоносного ПО, которое внешне выглядит безвредным, но содержит вредоносный код, создающий бэкдор, который позволяет удалённо управлять вашим компьютером.

Термин «троянский конь» появился из истории Трои, где греки хитроумно использовали деревянного коня для проникновения в Трою.

В отличие от вирусов, троян не реплицирует себя , троян устанавливается пользователями бессознательно. Как только троянец поселился в вашем компьютере, его можно использовать для разных злонамеренных целей, таких как отправка спама , атака на сеть или на определённый компьютер, атака DDoS на любой сайт, распространение вирусов, удаление файлов, кража данных, активация и распространение других вредоносных программ.

Проще говоря, троян создаёт бэкдор (дословно с англ. backdoor — это задняя дверь или чёрный ход), который даёт доступ к вашему компьютеру посторонних лиц, способных полностью контролировать ваш ПК. И таким образом получается, что они могут делать всё, что захотят.

Каким образом эти трояны могут получить доступ к вашей системе? 

Если вы когда-либо пытались загрузить кряк, кейген или патч, чтобы получить бесплатно полную версию какой-либо программы, тогда вы вполне могли (можете) столкнуться с таким трояном.

Подумайте, зачем кому-то создавать и распространять кряки для ПО? Что они могут получить взамен? 

К примеру, они могут получать доход от рекламы на хостинговых сайтах. Но у таких мошенников есть куда большие цели, создавая троянские программы и прикрепляя их к крякам и кейгенам. После установки кряка вы устанавливаете эти самые трояны, которые подвергают ваш компьютер высоким рискам со всеми вытекающими последствиями.

Поэтому старайтесь избегать использование кряков, кейгенов или патчей.

Шпионские программы (Spyware)

Spyware (шпионское ПО) — это еще один вид вредоносного ПО, которое собирает данные с вашего ПК без вашего ведома и разрешения, шпионское ПО работает в фоновом режиме и собирает ваши личные данные, такие как ваш шаблон просмотра сайтов, которые вы часто посещаете, электронную почту, куки, другие данные, сохранённые в браузерах, пароли веб-сайтов и даже данные ваших кредитных карт.

Spyware похож на трояна, в котором пользователи неосознанно устанавливают «левое» ПО при  установке бесплатного ПО или какой-либо другой программы.

Spyware существует как независимая программа, которая способна отслеживать нажатие вами клавиш при наборе паролей, логинов и т.д., отслеживать разные файлы, изменять домашнюю страницу по умолчанию, контролировать вашу активность, красть личную информацию и отправлять её обратно создателям вредного ПО.

Ваши данные могут использоваться в целях их продажи заинтересованным лицам, целевой рекламы, мошенничества, спама или для кражи конфиденциальной информации.

Рекламное программное обеспечение (Adware)

Adware (рекламное ПО) немного отличается от программ-шпионов. Основной целью рекламного ПО является отображение различных рекламных объявлений, всплывающих окон, флеш-объявлений, ссылок на г-сайты, перенаправления на разные ссылки (редиректы), смены главной страницы и поисковой системы по умолчанию, замедления скорости просмотра, замедление и падение работы браузера.

Adware отслеживает ваш шаблон просмотра, интересы, куки и отправляет их создателям ПО, которые редиректят (перенаправляют) пользователей на нужные им сайты. С технической точки зрения такое рекламное ПО не является вирусом.

Очень часто установление бесплатной программы (freeware) сопровождается рекламным ПО (adware). Это спонсируемые программы, где основную программу делают бесплатной с целью установки рекламного ПО при удалении (как правило) бесплатной программы.

Adware считается законной альтернативой тем потребителям, которые не хотят платить за программное обеспечение, игры, программы и другие бесплатные утилиты. Бывает, что накапливается много таких Adware, срабатывающих одновременно, что начинает сильно раздражать, а от некоторых из них при этом довольно сложно избавиться.

Scareware (пугалки)

Scareware (запугивающее ПО) — это ещё один тип вредоносного программного обеспечения, в котором используется социальная инженерия, чтобы вызвать шок, беспокойство или буквальное восприятие угрозы, а также трюков для покупки нежелательных и потенциально опасных программ.

Scareware генерирует всплывающие окна, которые напоминают системные сообщения Windows, например, конкретное сообщение об ошибке: на вашем компьютере обнаружены проблемы, обнаружена ошибка реестра, компьютер заражён, обнаружен вирус и т.п. Эти всплывающие сообщения сконструированы таким образом, словно поступают от вашей операционной системы, хотя они фактически являются простой веб-страницей.

Scareware запугивает пользователей с целью заставить их загрузить вредное ПО, такое, как заражённые браузер, приложения брандмауэра, разные чистильщики системы и реестра или купить поддельную антивирусную программу или  оптимизатор ПК.

Scareware может генерировать непрерывные всплывающие окна, в которых говорится типа этого: «Ваш компьютер заражён шпионским ПО или вредоносным ПО, нажмите здесь, чтобы исправить его», если пользователь нажимает на любую из таких кнопок, он может установить программное обеспечение, которое может оказаться вредоносным.

Самое лучшее, что вы можете сделать, чтобы не попасть в «лапы» scareware, это держаться от него подальше, то есть игнорировать всплывающие сообщения с такими пугалками, гуляя по Интернету.

Вымогатели

Ransomware (вымогатели) — это тип вредоносного ПО, которое закрывает пользователям доступ к своей операционной системе. Ransomware блокирует систему и запрашивает выкуп через определённые онлайн-способы оплаты (чаще СМС), чтобы разблокировать компьютер пользователя.

Некоторые из этих вымогателей зашифровывают файлы на системном жёстком диске, что делает очень трудным для дешифрования данных без особого ключа. Причём, выплата выкупа автора установки этого ПО не всегда гарантирует предоставление вам этого ключа. Пример — CryptoLocker, который шифрует отдельные файлы и папки.

Некоторые вымогатели лишь блокируют систему, не шифруя данные. Такое ПО может быть легко удалено технически подкованным пользователем, загрузив компьютер в безопасном режиме или используя загрузочный диск с антивирусом.

Ransomware может повлиять на MBR (с английского master boot record или основная загрузочная запись, то есть данные в начальных секторах жёсткого диска), что блокирует загрузку системы и вынуждает выплатить выкуп. Однако, нет никакой гарантии, что после выплаты выкупа система будет разблокирована.

Ransomware распространяется через трояны, scareware, различные ссылки и вложения электронной почты, заражённые и пиратские программы, через взломанные веб-сайты.

Руткиты

Руткит (Rootkit — набор утилит или файлов, воздействующих на ядро системы) — это программное обеспечение или набор вредоносных приложений, способных обеспечивать доступ к компьютерам или компьютерной сети на уровне администратора.

Rootkit активируется каждый раз, когда вы загружаете операционную систему, работая в теневом режиме, как TSR-программа. А поскольку руткит активируется ещё до полной загрузки операционной системы, то это сильно осложняет обнаружение вредного ПО с помощью обычного антивируса.

Rootkit может попасть на компьютер при помощи трояна, подозрительных вложений в электронные письма или при посещении фейковых веб-сайтов после получения данных пользователя для доступа к системе, либо путём взлома пароля, либо путём использования любой уязвимости в системе.

Как только руткит установлен, он позволяет устанавливать на компьютере скрытые файлы и  процессы, определять данные учётных записей пользователей, при этом руткит может маскировать вторжение и получать root-доступ (доступ к ядру) к системе.

Руткит может контролировать трафик, нажатие клавиш, может создавать бэкдор для хакеров. Он может удалить установленные программы и защиту, чтобы предотвратить собственное обнаружение.

Боты

Бот (сокращённое имя робота) является автоматизированным процессом или скриптом, который взаимодействует с другими компьютерами или сетевыми службами; Web-bot — это программа, которая автоматизирует выполнение различных задач или процессов, которые выполняются в Интернете с использованием специально написанных скриптов.

Веб-бот можно использовать как для добросовестных, так и для злонамеренных целей. Безвредный бот производит сканирование различных сайтов в Интернете для возможности организовать для пользователя более простой и быстрый поиск нужной информации, например, боты Google или Яндекс.

Однако вредоносный бот может распространять нежелательное ПО, которое заражает главный компьютер и подключает его к центральному серверу.

Центральный сервер называется «ботнет», который соединяется с несколькими хост-компьютерами с помощью ботов. Ботнет может командовать каждым хост-компьютером для собственных зловредных целей, таких как серверный отказ в обслуживании, распространение вредоносного ПО, мониторинг нажатий клавиш с целью выявить пароли и прочие данные для ввода, распространение спама, сбор паролей, собирать финансовую информацию или генерировать массовый трафик с использованием хост-компьютеров.

Боты не работают в одиночку. Армия ботов может влиять на огромное количество компьютеров, которые можно контролировать с помощью главного компьютера, называемого сервером управления.

Уязвимости

Vulnerability (с английского уязвимость). Люди склонны совершать ошибки, которые могут привести к серьезным проблемам. Компьютерная уязвимость — это недостатки программного обеспечения, операционной системы или служб, возникающие при ошибках или недосмотрах программирования, которые позволяют киберпреступникам атаковать систему или вебсайты в Интернете.

Уязвимость оставляет открытыми лазейки для потенциального использования их в виде несанкционированного доступа или вредоносного поведения, такого как заражение вирусами, червями, троянами, проникновение вредных ботов, вымогательство и другие виды зловредных программ.

Уязвимость состоит из 3-х основных частей: системного дефекта, выявления недостатков в безопасности и получения доступа к системе или сайтам. Во-первых, злоумышленник находит дыры в программном обеспечении операционной системы, затем получает доступ к этой бреши в безопасности, добавляя свои вредоносные коды.

Эксплойты

Exploit в переводе с английского обозначает использовать, эксплуатировать, злоупотреблять. Бреши в безопасности дают  хакерам преимущество в использовании в своих целях конкретные уязвимости в системе.

Эксплойты в компьютерной безопасности — это программное обеспечение или последовательность команд, которые используют уязвимости для выполнения таких задач, как загрузка вирусов, троянов и прочего зловредного ПО.

Когда поставщик программного обеспечения или операционной системы обнаруживает эксплойт, ослабляющий защиту его программного обеспечения/ОС, он производит исправление, выпуская обновление. В связи с этим, пользователям необходимо каждый раз обновлять своё программное обеспечение или операционную систему, чтобы обеспечить защиту от выявленных уязвимостей. Использование устаревшего ПО угрожает безопасности компьютера, защите сайтов от проникновения, защите конфиденциальных данных.

Борьба с вирусами, червями, троянами, шпионами, эксплойтами и проч.

Теперь у вас есть чёткое представление о различных типах вредоносных программ и о том, что они могут сделать с вашим компьютером.

Рекомендуется всегда устанавливать такой антивирус, который имеет высокий уровень обнаружения и сможет не только обеспечить защиту от всех известных угроз, но и возможность блокировать неизвестные угрозы.

Старайтесь не устанавливать пиратское программное обеспечение с кряками и кейгенами. Действуйте аккуратно при посещении торрентов, сайтов с азартными играми и т.п. Всегда следите за обновлениями операционной системы и установленного ПО, убедитесь, что брандмауэр включен. При установке бесплатного программного обеспечения следите за тем, что предлагается установить помимо основной программы, не спешите нажимать кнопку «Далее» во время установки. Снимайте все галочки напротив предлагаемых дополнительных установок, не относящихся к данной программе.

Читайте также:

Как полностью удалить любую программу

Медленный компьютер

Дефрагментация диска в Windows

Повреждённые файлы

Почему компьютер зависает? Пошаговая рекомендация

Компьютер пищит при загрузке. Пошаговое устранение неполадок

Резидентные программы — что это?

Кластер Windows. Ошибки файловых систем

Диспетчер задач Windows

Одинаковые процессы в Диспетчере задач Windows

Поделись с друзьями!

Виды вредоносных программ

Вирус и его виды

Под вирусом принято понимать разновидность зловреда, копирующего себя. С его помощью происходит заражение других файлов (подобно вирусам в реальной жизни, которые заражают биологические клетки с целью размножения).

С помощью вируса можно проделывать большое количество различных действий: получить доступ к компьютеру в фоновом режиме, украсть пароль и сделать так, что зависнет компьютер (заполняется ОЗУ и загружается ЦП различными процессами).

Однако основной функцией malware-вируса является возможность к размножению. Когда он активизируется, заражаются программы на компьютере.

Запуская софт на другом компьютере, вирус и здесь заражает файлы, к примеру, флешка с зараженного ПК вставленная в здоровый, тут же передаст ему вирус.

Червь

Поведение червя напоминает поведение вируса. Отличие только в распространении. Когда вирус заражает программы, запускаемые человеком (если программы не использовать на зараженном компьютере, вирус туда не проникнет), распространение червя происходит с помощью компьютерных сетей, по личной инициативе.

Например, Blaster за быстрый период времени распространился в Windows XP, так как данная операционная система не отличалась надежной защитой веб-служб.

Таким образом, червь использовал доступ к ОС с помощью Интернета.

После этого зловред переходил на новую зараженную машину, чтобы продолжить дальнейшее размножение.

Данных червей увидишь редко, так как сегодня Windows отличается качественной защитой: брандмауэр используется по умолчанию.

Однако черви имеют возможность распространяться другими методами — например, через электронный почтовый ящик инфицируют компьютер и рассылают собственные копии всем, кто сохранен в списке контактов.

Червь и вирус способны совершать множество других опасных действий при заражении компьютера. Основное, что дает зловреду признаки червя — способ распространения собственных копий.

Троян

Под троянскими программами принято понимать вид зловредов, которые имеют вид нормальных файлов.

Если вы запустите «троянского коня», он начнет функционировать в фоне совместно с обычной утилитой. Таким образом, разработчики трояна могут получить доступ к компьютеру своей жертвы.

Еще трояны позволяют мониторить активность на компьютере, соединять компьютер с бот-сетью. Трояны используются для открытия шлюзов и скачивания различных видов вредоносных приложений на компьютер.

Рассмотрим основные отличительные моменты.

¹ Зловред скрывается в виде полезных приложений и во время запуска функционирует в фоне, открывает доступ к собственному компьютеру. Можно провести сравнение с троянским конем, который стал главным персонажем произведения Гомера.

² Этот зловред не копирует себя в различные файлы и не способен к самостоятельному распространению по Интернету, подобно червям и вирусам.

³ Пиратский программный софт может быть инфицирован трояном.

Spyware

Spyware — еще одна разновидность вредоносного ПО. Простыми словами, это приложение является шпионом.

С его помощью происходит сбор информации. Различные виды зловредов часто содержат внутри себя Spyware.

Таким образом, происходит кража финансовой информации, к напримеру.

Spyware часто используется с полностью бесплатным софтом и собирает информацию о посещаемых интернет-страницах, загрузках файлов и так далее.

Разработчики программного обеспечения зарабатывают, продавая собственные знания.

Adware

Adware можно считать союзником Spyware.

Речь идет о любом виде программного обеспечения для показа рекламных сообщений на компьютере.

Софт показа рекламы внутри самого приложения, как правило, не называют зловредом. Adware получает доступ к системе пользователя, чтобы показывать различные объявления.

Например, может показывать всплывающие рекламные сообщения на компьютере, если вы не устанавливали ничего.

Также часто происходит такое, что Adware использует дополнительную рекламу на сайтах во время их просмотра. В данной ситуации сложно что-либо заподозрить.

Keylogger

Кейлоггер является вредоносной утилитой.

Запускается в фоновом режиме и фиксирует нажатия всех кнопок. Эта информация может содержать пароли, имена пользователей, реквизиты кредитных карт и другие конфиденциальные данные.

Кейлоггер, вероятнее всего, сохраняет нажатия кнопок на собственном сервере, где их анализирует человек или специальное программное обеспечение.

 

Ботнет

Ботнет представляет собой огромную компьютерную сеть, которой управляет разработчик.

В этом случае компьютер работает в качестве «бота», так как устройство инфицировано определенным зловредом.

Если компьютер заражен «ботом», то связывается с каким-нибудь сервером управления и ожидает инструкций от ботнета разработчика.

Например, бот-сети способны создавать атаки DDoS. Все компьютеры в бот-сети могут использоваться для атаки определенного сервера и веб-сайта различными запросами.

Эти частые запросы могут стать причиной выхода из строя сервера.

Разработчики ботнетов продают доступ к собственной бот-сети. Мошенники могут использовать большие бот-сети для реализации своих коварных идей.

Руткит

Под руткитом принято понимать вредоносное программное обеспечение, которое находится где-нибудь в глубинке персонального компьютера.

Скрывается различными способами от пользователей и программ безопасности.

К примеру, руткит загружается перед стартом Windows и редактирует системный функционал операционной системы.

Руткит можно замаскировать. Но основное, что превращает вредоносную утилиту в руткит, он скрывается в «недрах» операционной системы.

Баннеры вымогатели

Речь идет о достаточно коварном виде вредоносных программных продуктов.

Кажется, с этим видом злоредов встречалось не малое количество людей.

Таким образом, компьютер или отдельные файлы окажутся в заложниках. За них нужно будет заплатить выкуп.

Наиболее популярной разновидностью считаются порно – баннеры, которые требуют отправить денежные средства и указать код. Стать жертвой данного программного обеспечения можно, не только заходя на порно-сайты.

Есть вредоносное программное обеспечение наподобие CryptoLocker.

Оно в прямом смысле этого слова шифрует какие-нибудь объекты и требует оплату за открытие доступа к ним. Данная разновидность злворедов является самой опасной.

Поэтому, важно создавать резервные копии.

Фишинг

Фи́шинг (англ. phishing, от fishing – рыбная ловля, выуживание – вид интернет – мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям.

Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри соц. сетей.

В письме обычно содержится прямая ссылка на сайт, внешне неотличимый от настоящего.

После того, как пользователь попадет на поддельный сайт, мошенники пытаются разными психологическими приемами вынудить пользователя ввести на поддельной странице свои данные, логин  пароль, которые он использует для доступа к сайту, это дает возможность мошенникам получить доступ к аккаунтам и банковским счетам.

 

Спам

Спам (англ. spam) – почтовая рассылка коммерческой или иной рекламы  лицам, не выражавшим желания на получение.

В общепринятом значении термин «спам» в русском языке впервые стал употребляться применительно к рассылке электронных писем.

Не запрошенные сообщения в системах мгновенного обмена сообщениями (например, ICQ) носят название SPIM (англ.) русск. (англ. Spam over IM).

Доля спама в мировом почтовом трафике составляет от 60% до 80% (выдержка взята из Википедии).

Заключение

Вот практически все наиболее «популярные» виды вредоносных программ вирусов.

Надеюсь вы сможете минимизировать ваши встречи с ними, а с некоторыми никогда не повстречаетесь о том как оградить свой компьютер и свои пользовательские данные можете прочитать в этой статье.

Итоги

Почему антивирусное программное обеспечение так называется? Пожалуй, из-за того, что большое количество людей убеждено, что «вирус» — это синоним вредоносного программного обеспечения.

Антивирусы, как известно, защищают не только от вирусов, а и от других нежелательных программ, а еще для профилактики – предупреждения от заражения. На этом пока все, будьте внимательны это одна из главных составляющих  зашиты вашего компьютера.

Интересное видео 10 разрушительных компьютерных вирусов.

Валерий Семенов, moikomputer.ru