Tipuri și tipuri de programe malware. Istorie și dezvoltare

Program rău intenționat- orice software conceput pentru a obține acces neautorizat la resursele de calcul ale computerului în sine sau la informațiile stocate pe computer în scopul utilizării neautorizate a resurselor computerului sau cauzând prejudicii proprietarului informațiilor (sau proprietarului computerului) de către copierea, denaturarea, ștergerea sau substituirea informațiilor.

Software-ul rău intenționat este împărțit în trei clase principale: viruși de computer, viermi de rețea și troieni. Să luăm în considerare fiecare dintre ele mai detaliat.

Virușii informatici

Această clasă de malware este cea mai răspândită în rândul celorlalți.

Un virus de calculator este un tip de program de calculator, a cărui caracteristică distinctivă este capacitatea de reproducere (auto-replicare). În plus, virușii pot deteriora sau distruge complet toate fișierele și datele aflate sub controlul utilizatorului în numele căruia a fost lansat programul infectat, precum și pot deteriora sau chiar distruge sistemul de operare cu toate fișierele în ansamblu.

De obicei, utilizatorul însuși este de vină pentru pătrunderea unui virus pe computerul personal al unui utilizator, care nu verifică informațiile care ajung pe computer cu un program antivirus, ca urmare a faptului că apare, de fapt, infecția. Există destul de multe modalități de a „infecta” un computer cu un virus clasic (suport de stocare extern, resurse de internet, fișiere răspândite prin rețea)

Virușii sunt împărțiți în grupuri în funcție de două caracteristici principale: în funcție de habitatul lor, în funcție de metoda de infecție.

În funcție de habitatul lor, virușii sunt împărțiți în:

  • · Fişier(încorporat în fișiere executabile)
  • · Cizmă(injectat în sectorul de boot al discului sau în sectorul care conține încărcătorul de boot al hard diskului)
  • · Reţea(distribuit printr-o rețea de calculatoare)
  • · Combinat(de exemplu, viruși de boot-fișier care infectează atât fișierele, cât și sectorul de boot al discului. Acești viruși au un mod original de penetrare și un algoritm de lucru complicat)

Conform metodei de infecție, acestea sunt împărțite în:

Viermi de rețea

Următoarea clasă mare de programe malware se numește „Viermi de rețea”

Un vierme de rețea este un cod de program rău intenționat care răspândește copii ale sale prin rețele locale și / sau globale cu scopul de a se infiltra într-un computer, de a lansa o copie pe acel computer și de a-l răspândi în continuare. Pentru a răspândi, viermii folosesc e-mail, rețele IRC, lan, rețele pentru schimbul de date între dispozitive mobile etc. Majoritatea viermilor se răspândesc în fișiere (atașament la un e-mail, link către un fișier). Dar există și viermi care se răspândesc sub formă de pachete de rețea. Astfel de soiuri pătrund direct în memoria computerului și încep imediat să acționeze rezident. Mai multe moduri sunt folosite pentru a pătrunde în computerul victimei: independent (viermi de pachete), utilizator (inginerie socială), precum și diferite defecte ale sistemelor de securitate ale sistemului de operare și ale aplicațiilor. Unii viermi posedă proprietățile altor tipuri de software rău intenționat (cel mai adesea troieni).

Clase de viermi de rețea:

Email-Worms... Este un sistem rău intenționat care se află într-un fișier atașat unui e-mail. Autorii viermelui poștal încurajează în orice mod executarea fișierului atașat cu virusul. Este deghizat ca un nou joc, actualizare sau program popular. Activând activitatea pe computerul dvs., viermele de e-mail trimite mai întâi propria copie prin e-mail, utilizând agenda dvs., apoi vă deteriorează computerul.

  • · Viermi folosind mesageri instant (IM-Worm)... Acțiunea acestui „vierme” repetă aproape complet metoda de distribuție folosită de viermii de poștă, doar operatorul nu este un e-mail, ci un mesaj implementat în programele de mesagerie instantanee
  • · Viermi de partajare a fișierelor (P2P-Worm)... Pentru a se injecta într-o rețea P2P, un vierme trebuie pur și simplu să se copieze într-un director de partajare a fișierelor, care se află de obicei pe mașina locală. Rețeaua P2P preia restul muncii pentru ao distribui - atunci când caută fișiere în rețea, va informa utilizatorii la distanță despre acest fișier și va oferi un serviciu pentru descărcarea acestuia de pe un computer infectat.

Există viermi mai sofisticați de acest tip care imită protocolul de rețea al unui anumit sistem de partajare a fișierelor și răspund pozitiv la interogările de căutare. În același timp, viermele oferă copie pentru descărcare.

Folosind prima metodă, viermele caută în rețea mașini cu resurse scrise și copii. În același timp, poate găsi la întâmplare computere și poate încerca să deschidă accesul la resurse. Pentru a pătrunde prin a doua metodă, viermele caută computere cu software instalat care au vulnerabilități critice. Astfel, viermele trimite un pachet special creat (cerere), iar o parte din „vierme” pătrunde în computer, apoi descarcă fișierul complet al corpului și îl lansează pentru executare.

Troieni

Troienii sau programele de cal troian sunt scrise cu intenția de a afecta computerul țintă prin efectuarea de acțiuni neautorizate de către utilizator: furarea datelor, deteriorarea sau ștergerea datelor confidențiale, perturbarea performanțelor computerului sau utilizarea resurselor acestuia în scopuri nepotrivite.

Unii troieni sunt capabili să pătrundă în mod independent în sistemele de securitate ale unui sistem informatic pentru a-l pătrunde. Cu toate acestea, în majoritatea cazurilor, acestea pătrund în computer împreună cu un alt virus. Troienii pot fi priviți ca malware suplimentar. Adesea, utilizatorii descarcă ei înșiși troieni de pe Internet.

Ciclul de activitate al troienilor poate fi determinat de următoarele etape:

  • - pătrunderea în sistem.
  • - activare.
  • - efectuarea de acțiuni rău intenționate.

Troienii diferă în acțiunile pe care le efectuează pe computerul infectat.

  • · Troian-PSW... Scop - Furtul de parole. Acest tip de troieni poate fi folosit pentru a căuta fișiere de sistem care stochează diverse informații confidențiale (de exemplu, parole), „fură” informații de înregistrare pentru diferite programe software.
  • · Trojan-Downloader... Scop - Livrarea altor programe malware. Activează programele descărcate de pe Internet (lansare pentru execuție, înregistrare pentru pornire)
  • · Trojan-Dropper... Instalarea altor fișiere rău intenționate pe disc, lansarea și execuția acestora
  • · Trojan-proxy... Acestea oferă acces anonim de pe computerul victimei la diferite resurse de internet. Folosit pentru a trimite spam.
  • · Spion troian... Sunt spyware. Aceștia efectuează spionaje electronice asupra utilizatorului computerului infectat: informații de intrare, capturi de ecran, o listă de aplicații active, acțiunile utilizatorului sunt salvate într-un fișier și trimise periodic atacatorului.
  • · troian(Alți troieni). Efectuați alte acțiuni care se încadrează în definiția troienilor, de exemplu, distrugerea sau modificarea datelor, întreruperea computerului.
  • · Ușa din spate. Sunt utilități de administrare la distanță. Ele pot fi utilizate pentru a detecta și transmite informații confidențiale unui atacator, distruge date etc.
  • · ArcBomb („Bombe” în arhive). Provocați un comportament anormal al arhivarilor atunci când încercați să despachetați datele
  • RootKit. Scop - Ascunderea prezenței în sistemul de operare. Codul programului ascunde prezența anumitor obiecte în sistem: procese, fișiere, date de registru etc.

Dintre cele enumerate, cele mai răspândite programe spyware sunt - Trojan-Spy și RootKit (rootkit-uri). Să le luăm în considerare mai detaliat.

Kituri de rădăcină. În sistemul Windows, RootKit este considerat a fi un program care este introdus neautorizat în sistem, interceptează apelurile către funcțiile de sistem (API) și modifică bibliotecile de sistem. Interceptarea API-urilor de nivel scăzut permite unui astfel de program să-și mascheze prezența în sistem, protejându-l de detectarea de către utilizator și a software-ului antivirus.

Toate tehnologiile rootkit pot fi împărțite în mod convențional în două categorii:

  • Kituri de root care funcționează în modul utilizator
  • Kituri de root în modul kernel

Uneori, rootkit-urile apar în atașamente de e-mail, deghizându-se în documente de diferite formate (de exemplu, PDF). De fapt, un astfel de „document fantomă” este un fișier executabil. Încercând să deschidă, utilizatorul activează rootkit-ul.

A doua cale de distribuție este site-urile supuse manipulării hackerilor. Utilizatorul deschide o pagină web și rootkit-ul intră în computerul său. Acest lucru devine posibil datorită defectelor de securitate din browsere. program de fișiere pentru computer

Seturile de rădăcini nu pot fi plantate numai de intruși. Cazul notoriu a fost atunci când Sony a construit un fel de rootkit pe CD-urile sale audio licențiate. Rootkiturile sunt în esență majoritatea programelor de protecție împotriva copierii (și ocolesc protecția împotriva copierii - de exemplu, emulatoarele de unități CD și DVD). Ele diferă de cele „ilegale” doar prin faptul că nu sunt plasate în secret de utilizator.

Spyware. Astfel de programe pot îndeplini o gamă largă de sarcini, de exemplu:

  • · Colectați informații despre obiceiurile de utilizare a internetului și site-urile cele mai frecvent vizitate (program de urmărire);
  • · Rețineți apăsările de tastatură de pe tastatură (keyloggers) și înregistrați capturi de ecran (screper de ecran) și trimiteți informații creatorului în viitor;
  • · Utilizat pentru analiza neautorizată a stării sistemelor de securitate - scanere de porturi și vulnerabilități și crackere de parole;
  • · Modificați parametrii sistemului de operare - rootkit-uri, cârlige de control etc. - ceea ce are ca rezultat o scădere a vitezei conexiunii la Internet sau pierderea conexiunii ca atare, deschiderea altor pagini de start sau eliminarea anumitor programe;
  • · Redirecționarea activității browserului, care implică vizite oarbe pe site-uri cu risc de viruși.

Programele de control și gestionare de la distanță pot fi utilizate pentru asistență tehnică la distanță sau acces la propriile resurse situate pe un computer la distanță.

Tehnologiile de urmărire pasivă pot fi utile pentru personalizarea paginilor web pe care le vizitează un utilizator.

Aceste programe nu sunt viruși în sine, dar dintr-un motiv sau altul sunt incluse în bazele de date antivirus. De regulă, acestea sunt programe mici care au o mică suprafață de influență și sunt ineficiente ca viruși.

  • · Adware este un nume generic pentru software care este obligat să difuzeze reclame.
  • · Bad-Joke - glume rele. Programe care sperie utilizatorul cu deschidere neașteptată și nestandardizată sau folosesc grafică. De asemenea, pot fi programe care emit mesaje false despre formatarea unui disc sau oprirea unui program etc.
  • · Sniffer - un program conceput pentru a intercepta și apoi a analiza traficul de rețea.
  • · SpamTool - un program conceput pentru a trimite spam (de regulă, programul transformă computerul într-o mașină de expediere a spamului).
  • · IM-Flooder - un program care vă permite să trimiteți un număr mare de mesaje diferite către un număr specificat de mesagerie IM.
  • · VirTool - utilități concepute pentru a facilita scrierea virușilor computerizați și pentru a le studia în scopuri de hacker.
  • · DoS (Denial of Service) - un program rău intenționat conceput pentru a efectua un atac Denial of Service pe un server la distanță.
  • · FileCryptor, PolyCryptor - utilități hacker utilizate pentru a cripta alte programe malware pentru a ascunde conținutul lor de scanarea antivirus.

Cu siguranță, majoritatea utilizatorilor de computere au întâlnit software rău intenționat sau încercarea acestuia de a pătrunde în computer. Programele malware detectate la timp sunt ușor de eliminat și de uitat. Dar dacă nu, puteți pierde date importante sau vă puteți confrunta cu lucruri mai rele. Tipurile de viruși de computer pot fi împărțite în mai multe grupuri principale.

Tipuri de software rău intenționat.

Virușii sunt programe care intră într-un computer într-o varietate de moduri. Nu este de mirare că acestei specii i s-a dat un astfel de nume - virusurile computerizate acționează similar cu cele biologice. Intră în fișier și îl infectează. Apoi trec la infectarea altor fișiere. Un astfel de fișier transferat de pe un computer infectat pe un computer „sănătos” îl poate infecta și pe acesta. În funcție de tipul de virus, acesta poate provoca efecte neplăcute, cum ar fi încetinirea computerului sau blocarea sistemului. Adesea oamenii folosesc cuvântul „virus” pentru a însemna troieni sau viermi, dar acest lucru este greșit. Virușii sunt un tip de malware, la fel ca troienii și viermii etc.

Troienii sunt programe care, spre deosebire de viruși, nu se pot replica. Principiul muncii lor este după cum urmează: mascarea într-un fișier și așteptarea momentului în care utilizatorul apelează la acesta. După deschiderea fișierului infectat, troianul își începe activitatea. Cel mai adesea, troienii acționează ca un colector de anumite informații, modificând sau ștergând datele de pe un computer infectat.

Viermii sunt programe similare cu virușii. Cu toate acestea, diferența este că virusul trebuie să pătrundă în fișier pentru a începe o muncă distructivă, iar viermele nu trebuie să facă acest lucru. Se poate înmulți singur, aglomerând astfel sistemul utilizatorului. În plus, munca viermelui poate fi îndreptată spre rețea. Acești viermi trimit adesea copii ale lor în bloc prin e-mail. Acestea sunt folosite ca selector de parole pentru a sparge e-mailul unui computer infectat.

Spionii sunt programe care, după cum sugerează și numele, sunt colecționari de informații despre computerul utilizatorului: configurație, activitate și alte date confidențiale.

Keylogger-urile sunt programe care înregistrează fiecare apăsare de tastă. Folosit pentru a culege informații și a fura parolele victimei.

Ransomware (blocante) - programe care lovesc PC-ul utilizatorului cu un banner care indică faptul că computerul este blocat. Astfel de blocante necesită trimiterea unui mesaj scump către un anumit număr pentru a primi un cod de deblocare. De regulă, nu se returnează coduri ca răspuns.

Zombii sunt rezultatul unei infecții malware pe computerul dvs. De regulă, hackerii creează atacuri masive de zombi pe computere (DDOS, spam).

Precauții și modalități de a face față virușilor.

De fapt, lista acestor programe este mult mai lungă, deci au fost listate doar cele care sunt răspândite. Toate acestea pot afecta computerul și datele utilizatorului în diferite grade. Pentru a preveni acest lucru, trebuie să urmați reguli simple:

Instalarea de protecție antivirus de înaltă calitate. Este mai bine dacă nu este un antivirus singuratic, ci o protecție cuprinzătoare sub formă de antivirus, firewall, antispyware, firewall, backup-uri etc.

Scanare constantă a computerului. Dacă sunteți prea leneși pentru a rula singuri o scanare, puteți configura antivirusul pentru a scana conform unui program. Scanarea optimă va fi o dată la două săptămâni.

Atentie. Nu trebuie să descărcați fișiere suspecte trimise prin e-mail, să urmați link-uri necunoscute, să instalați programe descărcate din surse necunoscute. Merită să ne amintim că programele malware pot fi „preluate” nu numai de pe Internet, ci, de exemplu, de pe o unitate flash.

Actualizări. Actualizările de sistem și software pot fi lansate nu numai în scopul optimizării, ci și pentru îmbunătățirea securității. Prin urmare, se recomandă instalarea tuturor actualizărilor oferite de sistemul de operare, browser, client de poștă și alte programe.

Un virus este de obicei înțeles ca un tip de malware care se copiază singur. Acesta infectează alte fișiere (similare cu virușii din viața reală care infectează celulele biologice pentru a se reproduce).

Cu ajutorul unui virus, puteți efectua un număr mare de acțiuni diferite: accesați computerul în fundal, furați parola și faceți computerul să înghețe (memoria RAM este umplută, iar procesorul este încărcat prin diferite procese).

Cu toate acestea, funcția principală a unui virus malware este capacitatea sa de a se multiplica. Când este activat, programele de pe computer sunt infectate.

Rulând software-ul pe alt computer, virusul infectează aici fișiere, de exemplu, o unitate flash USB de pe un PC infectat introdus într-unul sănătos, îi va transmite imediat virusul.

Vierme

Comportamentul viermelui este similar cu cel al unui virus. Singura diferență constă în distribuție. Atunci când un virus infectează programe rulate de o persoană (dacă programele nu sunt utilizate pe un computer infectat, virusul nu va pătrunde acolo), viermele se răspândește prin rețele de calculatoare din proprie inițiativă.

De exemplu, Blaster a intrat în Windows XP într-o perioadă rapidă de timp, deoarece sistemul de operare nu oferea o securitate robustă a serviciilor web.

Astfel, viermele a folosit accesul la Internet pentru sistemul de operare.

După aceea, malware-ul a trecut la o nouă mașină infectată pentru a-și continua reproducerea.

Rar vezi acești viermi, deoarece astăzi Windows se distinge printr-o protecție de înaltă calitate: firewall-ul este utilizat implicit.

Cu toate acestea, viermii se pot răspândi prin alte metode - de exemplu, infectează un computer printr-o căsuță de e-mail și trimit propriile copii tuturor celor de pe lista de contacte.

Un vierme și un virus pot efectua multe alte acțiuni periculoase atunci când infectează un computer. Principalul lucru care oferă malware-ului caracteristicile unui vierme este modul în care își răspândește propriile copii.

troian

Troienii sunt în mod obișnuit înțelese ca fiind programe rău intenționate care arată ca fișiere normale.

Dacă lansați calul troian, acesta va începe să funcționeze în fundal împreună cu un utilitar obișnuit. Astfel, dezvoltatorii troieni pot avea acces la computerul victimei lor.

Troienii vă permit, de asemenea, să monitorizați activitatea pe un computer, să conectați un computer la o rețea bot. Troienii sunt folosiți pentru a deschide gateway-uri și a descărca diferite tipuri de aplicații rău intenționate pe un computer.

Să luăm în considerare principalele puncte distinctive.

¹ Programul malware se ascunde sub formă de aplicații utile și, în timpul lansării, funcționează în fundal și deschide accesul la propriul computer. Se poate face o comparație cu calul troian, care a devenit personajul principal în opera lui Homer.

² Acest malware nu se copiază în diferite fișiere și nu este capabil să se răspândească pe internet, cum ar fi viermi și viruși.

³ Software-ul piratat poate fi infectat cu un troian.

Spyware

Spyware-ul este un alt tip de malware. În cuvinte simple, această aplicație este un spion.

Cu ajutorul acestuia, se colectează informații. Diferite tipuri de programe malware conțin adesea spyware în ele.

Astfel, apare furtul de informații financiare, de exemplu.

Spyware-ul este adesea utilizat cu software complet gratuit și colectează informații despre paginile de internet vizitate, descărcări de fișiere etc.

Dezvoltatorii de software câștigă bani prin vânzarea propriilor cunoștințe.

Adware

Adware-ul poate fi considerat un aliat al spyware-ului.

Acesta este orice tip de software pentru afișarea mesajelor publicitare pe un computer.

De asemenea, se întâmplă adesea ca Adware să utilizeze reclame suplimentare pe site-uri în timpul navigării. În această situație, este dificil să bănuiți ceva.

Keylogger

Keylogger este un utilitar rău intenționat.

Se execută în fundal și înregistrează toate apăsările de buton. Aceste informații pot conține parole, nume de utilizator, detalii despre cardul de credit și alte informații sensibile.

Cel mai probabil, un keylogger stochează clicuri pe butonul propriului server, unde un software uman sau special le analizează.

Botnet

O botnet este o imensă rețea de calculatoare controlată de un dezvoltator.

În acest caz, computerul acționează ca un „bot”, deoarece dispozitivul este infectat cu un anumit malware.

Dacă computerul este infectat cu un „bot”, acesta contactează un server de control și așteaptă instrucțiuni de la botnetul dezvoltatorului.

De exemplu, rețelele bot sunt capabile să creeze atacuri DDoS. Toate computerele dintr-o rețea bot pot fi utilizate pentru a ataca un anumit server și un site web cu diverse cereri.

Aceste solicitări frecvente pot cauza blocarea serverului.

Dezvoltatorii de botnet vând acces la propria lor botnet. Fraudalii pot folosi botnets mari pentru a-și realiza ideile insidioase.

Rootkit

Este obișnuit să înțelegeți un rootkit ca un software rău intenționat care se află undeva în interiorul unui computer personal.

Se ascunde în diferite moduri de la utilizatori și programe de securitate.

De exemplu, un rootkit este încărcat înainte de pornirea Windows și editează funcționalitatea sistemului sistemului de operare.

Rootkit-ul poate fi deghizat. Dar principalul lucru care transformă un utilitar rău intenționat într-un rootkit este că acesta se ascunde în „măruntaiele” sistemului de operare.

Bannere ransomware

Acesta este un tip destul de insidios de software rău intenționat.

Se pare că nu un număr mic de oameni s-au întâlnit cu acest tip de răuvoitor.

Astfel, computerul sau fișierele individuale vor fi ținute ostatice. Pentru ei va trebui să se plătească o răscumpărare.

Cel mai popular tip este considerat a fi porno - bannere care necesită trimiterea de bani și furnizarea unui cod. Puteți deveni victima acestui software nu numai vizitând site-uri porno.

Există programe malware precum CryptoLocker.

Criptează literalmente unele obiecte și necesită plata pentru deschiderea accesului la acestea. Acest tip de malware este cel mai periculos.

Phishing

Phishing (phishing în engleză, de la pescuit - pescuit, pescuit - un tip de fraudă pe Internet, al cărui scop este de a avea acces la date confidențiale ale utilizatorului - autentificări și parole.

Acest lucru se realizează prin efectuarea de mesaje de e-mail în masă în numele mărcilor populare, precum și prin mesaje private în cadrul diferitelor servicii, de exemplu, în numele băncilor sau în cadrul rețelelor sociale. rețele.

După ce utilizatorul ajunge pe site-ul fals, escrocii încearcă prin diferite metode psihologice să-l oblige pe utilizator să-și introducă datele pe pagina falsă, parola de conectare pe care o folosește pentru a accesa site-ul, acest lucru le permite fraudatorilor să aibă acces la conturi și conturi bancare.

Spam

Spam (spam în engleză) - trimiterea de mesaje publicitare comerciale sau de altă natură către persoane care nu și-au exprimat dorința de a primi.

În sensul general acceptat, termenul „spam” în limba rusă a început să fie folosit mai întâi în legătură cu distribuirea e-mailurilor.

Mesajele nesolicitate în sistemele de mesagerie instantanee (de exemplu, ICQ) se numesc SPIM (engleză) rusă. (Spam englez peste mesaje instantanee).

Ponderea spamului în traficul global de e-mail variază între 60% și 80% (extras din Wikipedia).

Concluzie

Iată aproape toate cele mai „populare” tipuri de viruși malware.

Sper că îți poți minimiza întâlnirile cu ei și nu te vei întâlni niciodată cu unii despre cum să-ți protejezi computerul și poți citi datele utilizatorului în.

Rezultate

De ce se numește așa software-ul antivirus? Poate din cauza faptului că un număr mare de oameni sunt convinși că „virusul” este sinonim cu software rău intenționat.

Antivirusurile, după cum știți, protejează nu numai de viruși, ci și de alte programe nedorite, ci și pentru prevenirea - prevenirea infecției. Asta e tot deocamdată, fii atent, aceasta este una dintre componentele principale ale protejării computerului tău.

Video interesant 10 viruși de computer devastatori.

În acest articol ne vom familiariza cu principalele tipuri de malware ... Există multe tipuri diferite de acestea, să le descompunem în ordine!

Și așa că voi încerca să descriu totul simplu, cred că vă va plăcea! Și deci să mergem!

Viruși

Primul tip este cum probabil știți deja toți „virușii” (computerul) și „viermii” (Ei bine, și computerul J) ce este? Sigur ați auzit multe definiții și clasificările lor? Dacă nu încă, acum veți ști cu siguranță și vă veți imagina ce este și cum funcționează!

Virușii sunt un fel de software rău intenționat care efectuează diferite acțiuni neautorizate în sistemul dvs. de operare (sistemul de operare), totul depinde de scopul său. Practic, un virus este un cod de program care oferă computerului anumite comenzi pe care computerul le execută. Cum se întâmplă și cum sunt scrise virușii, vă vom vorbi în articolul „Comenzi ale unui virus și cum funcționează” Ei bine, deocamdată, totul este despre viruși, să trecem la următorul tip de viermi.

Viermi

Ce sunt viermii și cum funcționează? Acesta este, de asemenea, un software rău intenționat care conține „cod” de un plan ușor diferit, și anume, diferența principală este auto-reproducerea (copierea în sine), fiecare copie a acestuia păstrându-și proprietățile moștenite de auto-reproducere! Ceea ce este foarte rău pentru viteza computerului.

Troieni

Troienii sunt programe concepute și scrise special pentru „nevoile” specifice ale unui atacator. De exemplu, un cal troian vă poate copia cu ușurință datele (de exemplu parole sau alte informații de pe computer).

Aș dori să menționez că astfel de programe pot modifica sau bloca informații sau chiar un întreg sistem de comenzi de pe computer! Aveți grijă, acestea sunt programe foarte periculoase și dăunătoare care pot provoca consecințe grave. Permiteți-mi să vă dau un exemplu, să presupunem că computerul dvs., după ce ați vizitat internetul, a luat un „troian” și antivirusul l-a găsit, credeți că este în regulă, îl voi elimina și treabă! La prima vedere, totul este logic, atât preluat, cât și îndepărtat, nu pare a fi înfricoșător!

Și așa cum am scris deja, dacă citiți cu atenție, atunci un astfel de program poate modifica informații și comenzi (Schimbați, faceți modificări) și se dovedește că troianul a fost eliminat și și-a făcut deja treaba schimbând o serie de comenzi din sistemul dvs. sau setările sale. Cum se poate dovedi asta? Da, cel puțin ce depinde de cod și de ce modificări a adus în sistemul computerului.

Acestea sunt plăcintele dragi cititori! Ei bine, aș vrea să scriu cum diferă un troian de un virus simplu. Principala diferență este că astfel de troieni nu se copiază „ei înșiși” (nu creează copii ale lor). Ei bine, deocamdată, să mergem mai departe cu troieni!

Următorul tip este programele destul de complicate și sunt numite de tipul „Utilități rău intenționate” Acesta este unul dintre cele mai dificile tipuri de programe, deoarece aceste programe pot fi atât utile, cât și dăunătoare. Și, desigur, ca mine fără un exemplu :)

Utilități rău intenționate

Voi da un exemplu, un astfel de program este instalat pe computerul dvs. (computer personal) și atunci este posibil să nu vă afecteze deloc computerul, dar ca întotdeauna există un but. Un astfel de program poate sparge sistemul de protecție al altui computer de la dvs.! Iti poti imagina? Dacă stați, vă beți ceaiul, urmăriți un film și, între timp, procesorul mașinii dvs. procesează comenzi prin care sistemul de protecție al altui computer este ocolit, există puține astfel de utilități, dar acestea există deja și eu am vino peste ei! Și așa înțelegeți nu totul despre acest tip, dar deocamdată să terminăm despre acest lucru și să trecem la un alt tip.

Adware, Pornware și Riskware

Adware, Pornware și Riskware sunt puțin mai complicate și puțin mai detaliate. Deci, ce este acest malware? Heh, voi încerca să fiu cât mai clar posibil. Să începem ... Aceasta este cu siguranță o serie condiționată de programe dăunătoare, deoarece poate fi atât dăunătoare, cât și programe complet utile. Permiteți-mi să dau din nou un exemplu pentru clarificare? Cu un exemplu va fi mai clar, Să presupunem că sunteți administrator de sistem și trebuie să instalați un program de administrare de sistem la distanță pentru computere, pentru cei care nu sunt foarte familiarizați cu acest lucru, voi scrie în scurt timp. Aceasta este capacitatea de a controla un alt computer de la distanță, printr-o rețea locală (cablu special) sau Internet. Deci, în acest caz, totul este în regulă, deoarece aveți nevoie de el pentru a simplifica funcționarea și întreținerea altor PC-uri. Dar imaginați-vă dacă în rolul administratorului de sistem există un atacator care dorește să-și facă propria idee despre utilizarea acestei lacune?

Asta este tot ce am descris pe scurt, mai în detaliu voi scrie multe alte articole despre acest tip, cum funcționează toate acestea și cum să le implementați și să vă protejați de astfel de amenințări.

În zilele noastre, chiar și o persoană care nu este conectată la computere știe aproximativ ce este un virus de calculator. Cu toate acestea, nu toată lumea știe că virușii de computer sunt doar o parte a software-ului rău intenționat. De fapt, nu orice program care poate afecta negativ computerul dvs. este un virus. Este exact ceea ce aș vrea să mă opresc în acest articol. Ne vom concentra pe împărțirea malware-ului ca atare în clase și tipuri.

De regulă, fiecare corporație antivirus are propria sa clasificare conform căreia experții laboratorului său determină apartenența noului cod rău intenționat. Cred că mulți au observat că diferite corporații vor avea nume diferite pentru același cod. De vină este diferența de clasificare. Dar să nu bătem în jurul tufișului, ci să trecem imediat la treabă. Astăzi vom folosi clasificarea laboratorului lui Eugene Kaspersky (cred că nu este nevoie să explicăm cine este acesta;)). Software-ul rău intenționat este împărțit în patru grupuri mari, care la rândul lor sunt împărțite în clase. Deci, să începem în ordine.

Viermi de rețea

Recent, viermii de rețea și-au pierdut probabil popularitatea în rândul scriitorilor de viruși. Și activiștii acestei „mișcări” pot fi numiți adevărații creatori de viruși? Nu cred. Majoritatea acestor persoane sunt școlari sau studenți, care într-un fel sau altul cad în mâinile constructorilor de programe troiene. Și cazurile de apariție a viermilor cu adevărat demni, care și-ar îndeplini cu adevărat funcțiile rău intenționate, sunt reduse la minimum. Luați, de exemplu, buletinul de securitate al Kaspersky Lab pentru prima jumătate a anului 2006 (a se vedea Fig. 1). Diagrama arată clar care dintre grupurile de programe malware prevalează. Ei bine, bine, vorbim despre viermi de rețea. Un vierme de rețea este un cod de program rău intenționat care răspândește copii ale acestuia în rețelele locale și / sau globale cu scopul de a pătrunde într-un computer victimă, de a lansa o copie pe acel computer și de a-l răspândi în continuare. Pentru a se răspândi, viermii folosesc rețele de e-mail, ISQ, P2P și IRC, LAN și rețele de schimb de date între dispozitive mobile. Majoritatea viermilor se răspândesc în fișiere (atașamente de e-mail, linkuri de fișiere etc.). Dar există și viermi care se răspândesc sub formă de pachete de rețea. Astfel de soiuri pătrund direct în memoria computerului și încep imediat să acționeze rezident. Mai multe moduri sunt folosite pentru a pătrunde în computerul victimei: independent (viermi de pachete), utilizator (inginerie socială), precum și diverse lacune în sistemele de securitate ale sistemului de operare și aplicații. Unii viermi posedă proprietățile altor tipuri de software rău intenționat (cel mai adesea troieni). Acum, poate, mai detaliat despre clasele de viermi de rețea:

Viermi mail (Email-Worm). Această clasă de viermi de rețea utilizează e-mail pentru a răspândi. În acest caz, viermele trimite o scrisoare victimei cu corpul de cod atașat sau scrisoarea conține o legătură către o resursă (infectată în mod natural). Viermii folosesc următoarele metode pentru a trimite mesaje: conexiune directă la serverul SMTP utilizând biblioteca de mail încorporată în codul viermelui; utilizarea serviciilor MS Outlook; folosind funcțiile Windows MAPI.

Pentru a găsi adresele victimelor, se utilizează cel mai des agenda de adrese MS Outlook, dar poate fi folosită și baza de adrese WAB. Viermele poate scana fișiere stocate pe discuri și extrage linii din ele legate de adrese de e-mail. Viermii pot trimite copii ale lor la toate adresele găsite în cutia poștală (unii au capacitatea de a răspunde la e-mailurile din cutia poștală). Există cazuri care pot combina metode.

Viermi care folosesc pagere de internet (IM-Worm). Viermii de computer cunoscuți de acest tip folosesc singura metodă de răspândire - trimiterea de mesaje către contactele descoperite (dintr-o listă de contacte) care conțin o adresă URL către un fișier aflat pe un server web. Această tehnică repetă aproape complet o metodă de distribuție similară utilizată de viermii de poștă.

Viermi în canalele IRC (IRC-Worm). Viermii din această clasă utilizează două tipuri de propagare: trimiterea către utilizator a unui link URL către fișierul corp; trimiterea unui fișier către utilizator (în acest caz, utilizatorul trebuie să confirme primirea).

Viermi de partajare a fișierelor (P2P-Worm). Mecanismul de funcționare al majorității acestor viermi este destul de simplu: pentru a se injecta într-o rețea P2P, un vierme trebuie doar să se copieze singur într-un director de schimb de fișiere, care este de obicei situat pe mașina locală. Rețeaua P2P preia restul activității de distribuție - atunci când caută fișiere în rețea, va informa utilizatorii la distanță despre acest fișier și va oferi toate serviciile necesare pentru descărcarea acestuia de pe computerul infectat.

Există viermi P2P mai sofisticați care imită protocolul de rețea al unui anumit sistem de partajare a fișierelor și răspund pozitiv la interogări de căutare (viermele oferă copia sa pentru descărcare).

Folosind prima metodă, viermele caută în rețea mașini cu resurse scrise și copii. În același timp, poate găsi la întâmplare computere și poate încerca să deschidă accesul la resurse. Pentru a pătrunde prin a doua metodă, viermele caută computere cu software instalat care au vulnerabilități critice. Astfel, viermele trimite un pachet special creat (cerere) și o parte a viermelui pătrunde în computer, apoi descarcă fișierul complet al corpului și îl lansează pentru executare.

Viruși clasici

Când un profesionist spune „virus”, se referă la acest tip special de malware. Virușii, spre deosebire de viermi, nu folosesc servicii de rețea pentru a distribui copii ale lor. Un virus computerizat, de regulă, ajunge la computerul victimei din motive care nu depind de funcționalitatea codului. De obicei este vina utilizatorului care nu verifică informațiile care ajung pe computer cu un program antivirus, ca urmare a faptului că apare, de fapt, infecția. Există destul de multe modalități de a prinde un virus clasic:

  • suport de stocare extern;
  • Resurse Internet;
  • fișiere răspândite prin rețea (LAN, Internet).

Un virus computerizat clasic poate avea proprietățile altor tipuri de malware (de exemplu, o procedură troiană pentru ștergerea informațiilor de pe un disc). Virușii sunt împărțiți în clase în funcție de mediul lor, iar aceste clase, la rândul lor, sunt împărțite în subclase conform metodei de infecție. Deci, în funcție de habitatul lor, virușii sunt împărțiți în viruși de fișiere, boot, macro și script. Virușii de fișiere folosesc sistemul de fișiere OS pentru a infecta. Acestea sunt încorporate în fișiere executabile în diferite moduri, creează fișiere duplicate etc.

Suprascrierea virușilor (Overwriting). Cea mai comună metodă de infecție. Virusul rescrie codul programului (îl înlocuiește cu al său), după care, în mod firesc, fișierul nu mai funcționează. Un fișier infectat cu această metodă nu poate fi restaurat. Virusul de suprascriere se detectează rapid pe măsură ce sistemul (sau programul) infectat nu mai funcționează.

Viruși însoțitori. Această metodă implică crearea unui fișier duplicat, în timp ce codul fișierului victimei nu se modifică. De obicei, virusul modifică extensia fișierului (de exemplu, de la .exe la .com), apoi creează o copie a acestuia cu numele identic cu numele fișierului victimă și îi conferă extensia, care este, de asemenea, identică. Un utilizator nebănuit își lansează programul preferat și nu bănuiește că este un virus. La rândul său, virusul infectează mai multe fișiere și lansează programul solicitat de utilizator.

Există și alte căi de infecție, dar sunt atât de rare încât ne vom opri doar la listarea lor: viruși care infectează modulele obiect (OBJ); viruși care infectează bibliotecile de compilare (LIB); viruși care infectează codul sursă al programelor. Virușii de boot cunoscuți în prezent infectează sectorul de boot al dischetei și sectorul de boot sau Master Boot Record (MBR) al hard diskului. Principiul de funcționare a virușilor de pornire se bazează pe algoritmii de pornire a sistemului de operare atunci când computerul este pornit sau repornit - după testele necesare ale hardware-ului instalat (memorie, discuri etc.), programul de pornire citește primul fizic sectorul discului de boot (A:, C: sau CD-ROM în funcție de parametrii setați în BIOS Setup) și transferă controlul către acesta. La infectarea discurilor, virușii de pornire „înlocuiesc” codul lor în locul oricărui program care primește controlul la pornirea sistemului. Astfel, principiul infecției este același în toate metodele descrise mai sus: virusul „forțează” sistemul să citească în memorie atunci când este repornit și să dea control nu codului inițial de încărcare, ci codului virusului. Dischetele sunt infectate în singurul mod cunoscut - virusul își scrie propriul cod în loc de codul original al sectorului de boot al dischetei. Hard disk-ul se infectează în trei moduri posibile: virusul se scrie fie în locul codului MBR, fie în locul codului sectorului de boot al discului de boot (de obicei C :), fie modifică adresa sectorului de boot activ în Disk Tabel de partiții situat în MBR-ul unității de disc. Când infectează un disc, virusul transferă în majoritatea cazurilor sectorul inițial de încărcare (sau MBR) în alt sector al discului (de exemplu, în primul sector liber). Dacă lungimea virusului este mai mare decât lungimea sectorului, atunci prima parte a virusului este plasată în sectorul infectat, restul părților sunt plasate în alte sectoare (de exemplu, în primele sectoare libere). Virusii macro infectează în principal documentele MS Office. În același timp, virusul își adaugă codul în zona de macrocomenzi a documentului. Amplasarea codului virusului în documentele diferitelor aplicații ale pachetului de mai sus este diferită, deci poate fi reprezentată doar schematic (vezi Fig. 2). Virușii script sunt viruși scrise în limbaje de script (VBS, JS, BAT, PHP etc.). Acestea infectează fișiere dintr-o gamă destul de largă de extensii: de la .exe la .html.

ARTICOLE SIMILARE