Există o clasă de programe care au fost scrise inițial cu scopul de a distruge datele de pe computerul altcuiva, de a fura informațiile altcuiva, de a folosi neautorizat resursele altcuiva etc. sau de a dobândi astfel de proprietăți dintr-un anumit motiv. Astfel de programe au o sarcină utilă rău intenționată și sunt, prin urmare, numite rău intenționate.

Un program rău intenționat este un program care dăunează în vreun fel computerului pe care rulează sau altor computere din rețea.

2.1 Viruși

Termen "virus de calculator" a apărut mai târziu - oficial autorul său este angajat al Universității Lehigh (SUA) F. Cohen în 1984 la cea de-a șaptea conferință despre securitatea informațiilor. Principala caracteristică a unui virus computerizat este capacitatea sa de a se replica.

Virus de calculator Este un program care își poate crea propriile duplicate (nu neapărat la fel ca originalul) și le poate încorpora în rețele de calculatoare și / sau fișiere, zone de sisteme de calculatoare și alte obiecte executabile. În același timp, duplicatele păstrează capacitatea de distribuire ulterioară.

În mod convențional, ciclul de viață al oricărui virus informatic poate fi împărțit în cinci etape:

Pătrunderea pe computerul altcuiva

Activare

Căutați obiecte care urmează să fie infectate

Pregătirea copiilor

Incorporarea copiilor

Virusul poate pătrunde atât în ​​media mobilă, cât și în conexiunile de rețea - de fapt, toate canalele prin care poate fi copiat un fișier. Cu toate acestea, spre deosebire de viermi, virușii nu folosesc resursele rețelei - infectarea cu un virus este posibilă numai dacă utilizatorul l-a activat într-un fel. De exemplu, a copiat sau a primit un fișier infectat prin poștă și l-a lansat singur sau pur și simplu l-a deschis.

După penetrare, urmează activarea virusului. Acest lucru se poate întâmpla în mai multe moduri și în funcție de metoda aleasă, virușii sunt împărțiți în mai multe tipuri. Clasificarea virușilor este prezentată în Tabelul 1:

tabelul 1- Tipuri de viruși de computer

Nume	Descriere
Porniți viruși	infectează sectoarele de pornire ale hard diskurilor și media mobile.
Înregistrați viruși	Viruși clasici de fișiere	acestea sunt încorporate în fișiere executabile în diferite moduri (injectează propriul cod rău intenționat sau le suprascrie complet), creează fișiere duplicate, se copiază în diferite directoare ale hard diskului sau utilizează particularitățile organizării sistemului de fișiere
	Macrovirusuri	care sunt scrise în limbajul intern, așa-numitele macro-uri ale oricărei aplicații. Marea majoritate a virușilor macro utilizează macro-urile editorului de text Microsoft Word
	Viruși script	scripturi pentru un anumit shell de comandă - de exemplu, fișiere bat pentru DOS sau VBS și JS - scripturi pentru Windows Scripting Host (WSH)

O diferență suplimentară între viruși și alte programe rău intenționate este atașamentul lor rigid la sistemul de operare sau la shell-ul software pentru care a fost scris fiecare virus. Aceasta înseamnă că un virus pentru Microsoft Windows nu va funcționa și nu va infecta fișierele de pe un computer cu alt sistem de operare instalat, cum ar fi Unix. În mod similar, un virus macro pentru Microsoft Word 2003 nu va funcționa cel mai probabil în Microsoft Excel 97.

Atunci când își pregătesc copiile de viruși pentru mascare de la antivirusuri, pot folosi tehnologii precum:

Criptare- în acest caz, virusul este format din două părți: virusul în sine și criptorul.

Metamorfism- atunci când se utilizează această metodă, copiile de virusuri sunt create prin înlocuirea unor comenzi cu altele similare, rearanjarea părților codului, inserarea de comenzi suplimentare între ele, de obicei fără a face nimic.

În consecință, în funcție de metodele utilizate, virușii pot fi împărțiți în criptat, metamorf și polimorf, utilizând o combinație de două tipuri de camuflaj.

Principalele obiective ale oricărui virus de computer sunt răspândirea în alte resurse de computer și efectuarea de acțiuni speciale ca răspuns la anumite evenimente sau acțiuni ale utilizatorilor (de exemplu, pe data de 26 a fiecărei luni par sau când computerul este repornit). Acțiunile speciale sunt adesea dăunătoare.

Program rău intenționat- orice software conceput pentru a obține acces neautorizat la resursele de calcul ale computerului însuși sau la informațiile stocate pe computer în scopul utilizării neautorizate a resurselor computerului sau cauzând prejudicii proprietarului informațiilor (sau proprietarului computerului) de către copierea, denaturarea, ștergerea sau substituirea informațiilor.

Software-ul rău intenționat este împărțit în trei clase principale: viruși de computer, viermi de rețea și troieni. Să luăm în considerare fiecare dintre ele mai detaliat.

Virușii informatici

Această clasă de programe malware este cea mai răspândită în rândul celorlalți.

Un virus de calculator este un tip de program de calculator, a cărui caracteristică distinctivă este capacitatea de reproducere (auto-replicare). În plus, virușii pot deteriora sau distruge complet toate fișierele și datele sub controlul utilizatorului în numele căruia a fost lansat programul infectat, precum și pot deteriora sau chiar distruge sistemul de operare cu toate fișierele în general.

De obicei, utilizatorul însuși este de vină pentru pătrunderea unui virus pe computerul personal al unui utilizator, care nu verifică informațiile care ajung pe computer cu un program antivirus, ca urmare a faptului că apare, de fapt, infecția. Există destul de multe modalități de a „infecta” un computer cu un virus clasic (suport de stocare extern, resurse Internet, fișiere răspândite prin rețea)

Virușii sunt împărțiți în grupuri în funcție de două caracteristici principale: în funcție de habitatul lor, în funcție de metoda de infecție.

În funcție de habitatul lor, virușii sunt împărțiți în:

• · Fişier(încorporat în fișiere executabile)
• · Cizmă(injectat în sectorul de boot al discului sau în sectorul care conține încărcătorul de boot al hard diskului)
• · Reţea(distribuit printr-o rețea de calculatoare)
• · Combinat(de exemplu, viruși de boot-fișier care infectează atât fișierele, cât și sectorul de boot al discului. Acești viruși au un mod original de penetrare și un algoritm de lucru complicat)

Conform metodei de infecție, acestea sunt împărțite în:

Viermi de rețea

Următoarea clasă mare de programe malware se numește „Viermi de rețea”

Un vierme de rețea este un cod de program rău intenționat care răspândește copii ale sale prin rețele locale și / sau globale cu scopul de a se infiltra într-un computer, de a lansa o copie pe acel computer și de a-l răspândi în continuare. Pentru a răspândi, viermii folosesc e-mail, rețele IRC, lan, rețele pentru schimbul de date între dispozitive mobile etc. Majoritatea viermilor se răspândesc în fișiere (atașament la un e-mail, link către un fișier). Dar există și viermi care se răspândesc sub formă de pachete de rețea. Astfel de soiuri pătrund direct în memoria computerului și încep imediat să acționeze rezident. Mai multe moduri sunt folosite pentru a pătrunde în computerul victimei: independent (viermi de pachete), utilizator (inginerie socială), precum și diferite defecte ale sistemelor de securitate ale sistemului de operare și ale aplicațiilor. Unii viermi posedă proprietățile altor tipuri de software rău intenționat (cel mai adesea troieni).

Clase de viermi de rețea:

Email-Worms... Este un sistem rău intenționat care se află într-un fișier atașat unui e-mail. Autorii viermelui poștal încurajează în orice mod executarea fișierului atașat cu virusul. Este deghizat ca un nou joc, actualizare sau program popular. Activând activitatea pe computerul dvs., viermele de e-mail trimite mai întâi propria copie prin e-mail, utilizând agenda dvs., apoi vă deteriorează computerul.

• · Viermi folosind mesageri instant (IM-Worm)... Acțiunea acestui „vierme” repetă aproape complet metoda de distribuție utilizată de viermii de poștă, doar operatorul nu este un e-mail, ci un mesaj implementat în programele de mesagerie instantanee
• · Viermi de partajare a fișierelor (P2P-Worm)... Pentru a se injecta într-o rețea P2P, un vierme trebuie pur și simplu să se copieze într-un director de partajare a fișierelor, care se află de obicei pe mașina locală. Rețeaua P2P preia restul muncii pentru ao distribui - atunci când caută fișiere în rețea, va informa utilizatorii la distanță despre acest fișier și va oferi un serviciu pentru descărcarea acestuia de pe un computer infectat.

Există viermi mai sofisticați de acest tip care imită protocolul de rețea al unui anumit sistem de partajare a fișierelor și răspund pozitiv la interogările de căutare. În același timp, viermele oferă copie pentru descărcare.

Folosind prima metodă, viermele caută în rețea mașini cu resurse scrise și copii. În același timp, poate găsi la întâmplare computere și poate încerca să deschidă accesul la resurse. Pentru a pătrunde prin a doua metodă, viermele caută computere cu software instalat care au vulnerabilități critice. Astfel, viermele trimite un pachet special format (cerere), iar o parte din „vierme” pătrunde în computer, apoi descarcă fișierul complet al corpului și îl lansează pentru executare.

Troieni

Troienii sau programele de cal troian sunt scrise cu intenția de a afecta computerul țintă prin efectuarea de acțiuni neautorizate de către utilizator: furtul de date, deteriorarea sau ștergerea datelor confidențiale, perturbarea performanței computerului sau utilizarea resurselor sale în scopuri necorespunzătoare.

Unii troieni sunt capabili să depășească în mod independent sistemele de securitate ale unui sistem informatic pentru a pătrunde în el. Cu toate acestea, în majoritatea cazurilor, acestea pătrund în computer împreună cu un alt virus. Troienii pot fi priviți ca malware suplimentar. Adesea, utilizatorii descarcă ei înșiși troieni de pe Internet.

Ciclul de activitate al troienilor poate fi determinat de următoarele etape:

• - pătrunderea în sistem.
• - activare.
• - efectuarea de acțiuni rău intenționate.

Troienii diferă în acțiunile pe care le efectuează pe computerul infectat.

• · Troian-PSW... Scop - Furtul de parole. Acest tip de troieni poate fi folosit pentru a căuta fișiere de sistem care stochează diverse informații confidențiale (de exemplu, parole), „fură” informații de înregistrare pentru diferite programe software.
• · Trojan-Downloader... Scop - Livrarea altor programe malware. Activează programele descărcate de pe Internet (lansare pentru execuție, înregistrare pentru pornire)
• · Trojan-Dropper... Instalarea altor fișiere rău intenționate pe disc, lansarea și execuția acestora
• · Trojan-proxy... Acestea oferă acces anonim de pe computerul victimei la diferite resurse de internet. Folosit pentru a trimite spam.
• · Spion troian... Sunt spyware. Aceștia efectuează spionaje electronice asupra utilizatorului computerului infectat: informații de intrare, capturi de ecran, o listă de aplicații active, acțiunile utilizatorului sunt salvate într-un fișier și trimise periodic atacatorului.
• · troian(Alți troieni). Ei efectuează alte acțiuni care se încadrează în definiția troienilor, de exemplu, distrugerea sau modificarea datelor, întreruperea performanței computerului.
• · Ușa din spate. Sunt utilități de administrare la distanță. Ele pot fi utilizate pentru a detecta și transmite informații confidențiale unui atacator, distruge date etc.
• · ArcBomb („Bombe” în arhive). Provocați un comportament anormal al arhivarilor atunci când încercați să despachetați datele
• RootKit. Scop - Ascunderea prezenței în sistemul de operare. Codul programului ascunde prezența anumitor obiecte în sistem: procese, fișiere, date de registru etc.

Dintre cele enumerate, cele mai răspândite programe spyware sunt - Trojan-Spy și RootKit (rootkit-uri). Să le luăm în considerare mai detaliat.

Kituri de rădăcină. În sistemul Windows, RootKit este considerat a fi un program care se introduce neautorizat în sistem, interceptează apelurile către funcțiile de sistem (API) și modifică bibliotecile de sistem. Interceptarea API-urilor de nivel scăzut permite unui astfel de program să-și mascheze prezența în sistem, protejându-l de detectarea de către utilizator și a software-ului antivirus.

Toate tehnologiile rootkit pot fi împărțite în mod convențional în două categorii:

• Rootkits care funcționează în modul utilizator
• Kituri de rădăcină care funcționează în modul kernel (kernel-mode)

Uneori, rootkit-urile apar în atașamente de e-mail, deghizându-se în documente de diferite formate (de exemplu, PDF). De fapt, un astfel de „document fantomă” este un fișier executabil. Încercând să deschidă, utilizatorul activează rootkit-ul.

A doua cale de distribuție este site-urile supuse manipulării hackerilor. Utilizatorul deschide o pagină web și rootkit-ul intră în computerul său. Acest lucru devine posibil datorită defectelor de securitate din browsere. program de fișiere pentru computer

Seturile de rădăcini pot fi plantate nu numai de către intruși. Există un caz notoriu când Sony Corporation a încorporat un fel de rootkit pe CD-urile sale audio licențiate. Rootkiturile sunt în esență majoritatea software-ului de protecție împotriva copierii (și instrumente pentru a ocoli aceste protecții - de exemplu, emulatoarele de unități CD și DVD). Ele diferă de cele „ilegale” doar prin faptul că nu sunt plasate în secret de utilizator.

Spyware. Astfel de programe pot îndeplini o gamă largă de sarcini, de exemplu:

• · Colectați informații despre obiceiurile de utilizare a internetului și site-urile cele mai frecvent vizitate (program de urmărire);
• · Rețineți apăsările de tastatură de pe tastatură (keyloggers) și înregistrați capturi de ecran (screper de ecran) și trimiteți informații creatorului în viitor;
• · Utilizat pentru analiza neautorizată a stării sistemelor de securitate - scanere de porturi și vulnerabilități și crackere de parole;
• · Modificați parametrii sistemului de operare - rootkit-uri, cârlige de control etc. - ceea ce are ca rezultat o scădere a vitezei conexiunii la Internet sau pierderea conexiunii ca atare, deschiderea altor pagini de start sau eliminarea anumitor programe;
• · Redirecționați activitatea browserului, care presupune vizite oarbe pe site-uri cu risc de viruși.

Programele de control și gestionare de la distanță pot fi utilizate pentru asistență tehnică la distanță sau acces la propriile resurse situate pe un computer la distanță.

Tehnologiile de urmărire pasivă pot fi utile pentru personalizarea paginilor web pe care le vizitează un utilizator.

Aceste programe nu sunt viruși în sine, dar dintr-un motiv sau altul sunt incluse în bazele de date antivirus. De regulă, acestea sunt programe mici care au o mică zonă de influență și sunt ineficiente ca viruși.

• · Adware este un nume generic pentru software care este obligat să difuzeze reclame.
• · Bad-Joke - glume rele. Programe care sperie utilizatorul cu deschidere neașteptată și nestandardizată sau folosesc grafică. De asemenea, pot fi programe care emit mesaje false despre formatarea unui disc sau oprirea unui program etc.
• · Sniffer - un program conceput să intercepteze și apoi să analizeze traficul de rețea.
• · SpamTool - un program conceput pentru a trimite spam (de regulă, programul transformă computerul într-o mașină de expediere a spamului).
• · IM-Flooder - un program care vă permite să trimiteți un număr mare de mesaje diferite către un număr specificat de mesagerie IM.
• · VirTool - utilități concepute pentru a facilita scrierea virușilor computerizați și pentru a le studia în scopuri de hacker.
• · DoS (Denial of Service) - un program rău intenționat conceput pentru a efectua un atac Denial of Service pe un server la distanță.
• · FileCryptor, PolyCryptor - utilități hacker utilizate pentru a cripta alte programe malware pentru a-și ascunde conținutul de scanarea antivirus.

CONCEPTUL ȘI TIPURILE DE MALWARE

Primele rapoarte despre programe rău intenționate încorporate în mod deliberat și ascuns în software-ul diferitelor sisteme de calcul au apărut la începutul anilor 1980. Denumirea de „viruși de computer” provine din asemănarea cu prototipul biologic, în ceea ce privește posibilitatea reproducerii independente. Alți termeni biomedici au fost, de asemenea, transferați în noul câmp al computerului, de exemplu, cum ar fi mutația, tulpina, vaccinul etc. Mesajul despre programe care, atunci când apar anumite condiții, încep să efectueze acțiuni nocive, de exemplu, după un anumit număr de lansări, ele distrug informațiile stocate în sistem, dar în același timp nu au caracteristica virușilor capacitatea de a se reproduce, au apărut mult mai devreme

1 Luca O condiție care contribuie la implementarea multor tipuri de amenințări la adresa securității informațiilor în tehnologia informației este prezența „trapelor”. Trapa este introdusă în program de obicei în etapa de depanare pentru a facilita munca: acest modul poate fi apelat în diferite locuri, ceea ce vă permite să depanați părți individuale ale programului în mod independent. Prezența trapei vă permite să apelați programul într-un mod non-standard, ceea ce poate afecta starea sistemului de protecție. Trapa poate rămâne în program din mai multe motive. Găsirea trapelor este rezultatul unei căutări aleatorii și care necesită mult timp. Există o singură protecție împotriva trapelor - pentru a preveni apariția acestora în program, iar la acceptarea produselor software dezvoltate de alți producători, ar trebui efectuată o analiză a codului sursă al programelor pentru a detecta trapele.

2. Bombele logice sunt utilizate pentru a denatura sau distruge informațiile, mai rar sunt folosite pentru furt sau fraudă. O bombă logică este uneori inserată în timpul dezvoltării unui program și este declanșată atunci când este îndeplinită o anumită condiție (ora, data, cuvântul cod). Manipularea bombelor logice este făcută și de angajații nemulțumiți care sunt pe cale să părăsească organizația, dar pot fi și consultanți, angajați cu anumite convingeri politice etc. anumite modificări care intră în vigoare atunci când numele său de familie dispare din setul de date al personalului firmei.

3. Cal troian- un program care efectuează, în plus față de acțiunile principale, adică proiectate și documentate, acțiuni suplimentare nedescrise în documentație. Analogia cu vechiul cal troian grecesc este justificată - în ambele cazuri, o amenințare se ascunde într-o coajă nebănuită. Un cal troian este un bloc suplimentar de comenzi inserate într-un fel sau altul în programul original inofensiv, care este apoi transmis (donat, vândut) utilizatorilor IT. Acest bloc de comenzi poate fi declanșat atunci când apare o anumită condiție (data, ora, pe o comandă din exterior etc.). Un cal troian acționează de obicei sub autoritatea unui utilizator, dar în interesul altui utilizator sau, în general, al unui străin a cărui identitate este uneori imposibil de stabilit. Un cal troian poate efectua cele mai periculoase acțiuni dacă utilizatorul care îl rulează are un set extins de privilegii. În acest caz, un atacator care a creat și a desfășurat un cal troian și nu posedă el însuși aceste privilegii poate îndeplini funcții privilegiate neautorizate folosind mâinile altcuiva. O modalitate radicală de a proteja împotriva acestei amenințări este crearea unui mediu închis pentru utilizarea programelor.

4. Vierme- un program care se răspândește prin rețea și nu lasă o copie a sa pe un suport magnetic.

Viermele folosește mecanisme de suport pentru rețea pentru a identifica gazda care ar putea fi infectată. Apoi, folosind aceleași mecanisme, își transferă corpul sau o parte din acesta către acest nod și fie activează, fie așteaptă condițiile adecvate pentru acest lucru. Un mediu adecvat pentru răspândirea viermelui este o rețea în care toți utilizatorii sunt considerați prietenoși și au încredere reciprocă și nu există mecanisme de apărare. Cel mai bun mod de a vă proteja de un vierme este să luați măsuri de precauție împotriva accesului neautorizat la rețea.

5. Securizator de parole sunt programe special concepute pentru a fura parole. Când un utilizator încearcă să acceseze o stație de lucru, ecranul afișează informațiile necesare pentru a încheia sesiunea. Când încearcă să se conecteze, utilizatorul introduce un nume de utilizator și o parolă, care sunt trimise proprietarului hijackerului, după care este afișat un mesaj de eroare, iar intrarea și controlul sunt returnate sistemului de operare. Un utilizator care crede că a greșit introducând parola repetă datele de conectare și obține acces la sistem. Cu toate acestea, numele și parola lui sunt deja cunoscute de proprietarul piratului. Interceptarea unei parole este posibilă și în alte moduri. Pentru a preveni această amenințare, trebuie să vă asigurați că introduceți numele și parola programului de introducere a sistemului și nu oricare alta înainte de a vă conecta la sistem. În plus, trebuie să respectați cu strictețe regulile de utilizare a parolelor și de lucru cu sistemul. Majoritatea încălcărilor nu se datorează unor atacuri viclene, ci din neglijență elementară. Respectarea regulilor special dezvoltate pentru utilizarea parolelor este o condiție prealabilă pentru o protecție fiabilă.

7. Virus de calculator este obișnuit să apelați un program special scris, de obicei de dimensiuni mici, care se poate atașa spontan la alte programe (adică să le infecteze), să creeze copii ale sale (nu neapărat complet identice cu originalul) și să le încorporeze în fișiere, zone de sistem a unui computer personal și a altor computere conectate cu acesta pentru a perturba funcționarea normală a programelor, a deteriora fișierele și directoarele, a crea diverse interferențe atunci când lucrați pe un computer.

TIPURI DE VIRUSE DE COMPUTER ȘI CLASIFICAREA LOR

Modul în care funcționează majoritatea virușilor este de a modifica fișierele de sistem ale computerului, astfel încât virusul să își înceapă activitatea de fiecare dată când pornește computerul. Unele viruși infectează fișierele de pornire a sistemului, altele sunt specializate în diferite fișiere de programe. Ori de câte ori utilizatorul copiază fișiere pe un mediu de stocare al mașinii sau trimite fișiere infectate prin rețea, copia transmisă a virusului încearcă să se instaleze pe un disc nou. Toate acțiunile virusului pot fi efectuate suficient de rapid și fără a emite niciun mesaj, astfel încât utilizatorul nu observă adesea că computerul său este infectat și nu are timp să ia măsurile adecvate adecvate. Pentru a analiza acțiunea virușilor informatici, a fost introdus conceptul ciclu de viață virus, care include patru etape principale:

1. Implementare

2. Perioada de incubație (în primul rând pentru a ascunde sursa de penetrare)

3. Reproducere (auto-reproducere)

4. Distrugerea (distorsionarea și / sau distrugerea informațiilor)

Obiectele de influență ale virușilor informatici pot fi împărțite aproximativ în două grupe:

1. Pentru a-și prelungi existența, virușii infectează alte programe, și nu toate, ci cele care sunt cel mai des utilizate și / sau au o prioritate ridicată în informații

2. Virușii acționează de obicei cu ținte distructive asupra datelor, mai rar asupra programelor.

Metodele de manifestare a virușilor informatici includ:

Încetinirea unui computer personal, inclusiv înghețarea acestuia și încetarea muncii;

Modificarea datelor din fișierele corespunzătoare;

Incapacitatea de a încărca sistemul de operare;

Încetarea lucrului sau funcționarea incorectă a unui program de utilizator care funcționează anterior cu succes;

Creșterea numărului de fișiere pe disc;

Redimensionarea fișierelor;

Încălcarea sistemului de operare, care necesită repornire periodică;

Apariția periodică a mesajelor necorespunzătoare pe ecranul monitorului;

Apariția efectelor sonore;

Reducerea cantității de memorie RAM gratuită;

O creștere notabilă a timpului de acces pe hard disk;

Modificarea datei și orei de creare a fișierului;

Distrugerea structurii fișierelor (dispariția fișierelor, denaturarea directoarelor);

Iluminarea luminii de avertizare a unității atunci când nu există acces de utilizator la aceasta;

Formatarea unui disc fără o comandă de utilizator etc.

Virușii pot fi clasificați în funcție de:

1. După tipul de habitat virusurile sunt clasificate în următoarele tipuri:

· cizmă injectat în sectorul de boot al discului sau în sectorul care conține programul de boot pentru discul de sistem;

· fişier sunt încorporate în principal în fișiere executabile cu extensii .SOMși .EXE;

· sistemic pătrunde în modulele de sistem și driverele de dispozitive periferice, tabelele de alocare a fișierelor și tabelele de partiții;

· reţea virușii locuiesc în rețelele de calculatoare;

· fișier-boot infectează sectoarele de încărcare a discului și fișierele aplicației.

2. Prin gradul de impact asupra resurselor sistemelor și rețelelor informatice iasă în evidență :

inofensiv viruși , care nu au un efect distructiv asupra funcționării unui computer personal, dar pot copleși memoria RAM ca urmare a reproducerii lor;

nepericuloase virușii nu distrug fișierele, ci reduc spațiul liber pe disc, afișează efecte grafice, creează efecte sonore etc.

periculos virușii duc adesea la diverse perturbări grave în funcționarea unui computer personal și a tuturor tehnologiilor informaționale;

distructiv duce la ștergerea informațiilor, întreruperea completă sau parțială a funcționării programelor de aplicații ... și așa mai departe.

3. Prin metoda de contaminare a habitatului virusurile sunt clasificate în următoarele grupuri:

viruși rezidenți ai memoriei Când un computer este infectat, acesta își lasă partea rezidentă în RAM, care apoi interceptează accesul sistemului de operare la alte obiecte de infecție, se injectează în ele și își efectuează acțiunile distructive până la oprirea sau repornirea computerului. Program rezident este un program care se află în memoria RAM a unui computer personal.

viruși care nu sunt rezidenți în memorie nu infectați memoria RAM a unui computer personal și sunt active pentru o perioadă limitată de timp.

4. Caracteristică algoritmică a construirii virușilor influențează manifestarea și funcționarea acestora. Se disting următoarele tipuri de astfel de viruși:

§ replicator, datorită reproducerii lor rapide, acestea conduc la o revărsare a memoriei principale, în timp ce distrugerea programelor de replicare devine mai dificilă dacă programele reproduse nu sunt copii exacte ale originalului;

§ mutândîn timp, acestea sunt modificate și auto-produse. În același timp, auto-reproducând, recreează copii care sunt clar diferite de original;

§ viruși stealth (invizibil) interceptați apelurile sistemului de operare către fișiere și sectoare de disc infectate și înlocuiți obiectele neinfectate în locul lor. Astfel de viruși, atunci când accesează fișiere, utilizează algoritmi destul de originali care permit „păcălirea” monitoarelor antivirus rezidente;

§ macro viruși utilizați capacitățile limbajelor macro integrate în programele de procesare a datelor de birou (programe de procesare de text, foi de calcul etc.).

Introducere

Program rău intenționat - un program de computer sau un cod portabil conceput pentru a implementa amenințări la adresa informațiilor stocate într-un sistem informatic, sau pentru utilizarea ascunsă necorespunzătoare a resurselor sistemului sau alt impact care împiedică funcționarea normală a unui sistem informatic.

Software-ul rău intenționat include viermi de rețea, viruși clasici de fișiere, troieni, utilități hacker și alte programe care dăunează în mod deliberat computerului pe care sunt rulate sau altor computere din rețea.

Indiferent de tip, programele rău intenționate pot provoca daune semnificative, realizând orice amenințări la adresa informațiilor - amenințări de încălcare a integrității, confidențialității, disponibilității.

Răspândirea globală a malware-ului este, desigur, Internetul.

Internetul, fără îndoială, este un lucru necesar în timpul nostru, pentru cineva este pur și simplu necesar. Într-o perioadă scurtă de timp, puteți găsi informațiile de care aveți nevoie, puteți citi ultimele știri, precum și să comunicați cu multe persoane, toate fără a părăsi casa, biroul etc. Dar nu uitați că prin această „conductă groasă” hackerii pot intra cu ușurință în computerul dvs. și pot accesa informațiile dvs. personale.

În timp ce vânzătorii de hardware și software și oficialii guvernamentali adoptă o postură favorabilă confidențialității, există motive puternice de teamă că navigarea pe Internet nu va fi trecută cu vederea de ochii „vigilenți”, de anonimat și de securitate. Hackerii pot citi cu ușurință mesaje de poștă electronică, iar serverele web înregistrează orice și orice, inclusiv chiar și lista paginilor web vizualizate.

1. Evoluția sistemelor virale

Primele programe antivirus

1949 an. Omul de știință american de origine maghiară John von Naumann a dezvoltat o teorie matematică a creării de programe de auto-replicare. A fost prima teorie a virușilor informatici care a generat un interes foarte limitat în comunitatea științifică.

La începutul anilor '60, inginerii companiei americane Bell Telephone Laboratories - V.A. Vysotsky, G. D. McIlroy și Robert Morris - au creat jocul Darwin. Jocul și-a asumat prezența în memoria computerului a așa-numitului supraveghetor, care a determinat regulile și ordinea luptei dintre programele rivale create de jucători. Programele aveau funcțiile de explorare, reproducere și distrugere a spațiului. Scopul jocului a fost eliminarea tuturor copiilor programului inamicului și capturarea câmpului de luptă.

Sfârșitul anilor '60 - începutul anilor '70. Apariția primilor viruși. În unele cazuri, acestea au fost erori în programe care au făcut ca programele să se copieze singuri, înfundând hard disk-ul computerelor, ceea ce le-a redus productivitatea, dar se crede că, în majoritatea cazurilor, virușii au fost creați în mod deliberat pentru a le distruge. Probabil prima victimă a unui virus real, scris de un programator pentru distracție, a fost computerul Univax 1108. Virusul a fost numit Animal Pervading și a infectat doar un computer - pe care a fost creat.

Programe rău intenționate în timpul nostru

Problema malware-ului - adware și spyware - merită o atenție sporită, fiind una dintre cele mai mari probleme cu care se confruntă zilnic utilizatorii moderni de computere. Efectul lor dăunător se manifestă prin faptul că subminează principiul fiabilității computerului și încalcă inviolabilitatea vieții personale, încalcă confidențialitatea și rup relația dintre mecanismele protejate ale computerului, printr-o combinație de acțiuni spyware. Astfel de programe apar adesea fără știrea destinatarului și, chiar dacă sunt găsite, sunt greu de scăpat. Degradarea remarcabilă a performanței, preferințele eronate ale utilizatorilor și apariția unor noi bare de instrumente sau programe de completare discutabile sunt doar câteva dintre consecințele cumplite ale unei infecții cu spyware sau adware. Spyware-ul și alte programe rău intenționate se pot adapta, de asemenea, la moduri de funcționare mai invizibile ale computerului și pot pătrunde adânc în mecanismele complexe ale sistemului de operare, astfel încât să complice foarte mult detectarea și eliminarea acestora.

Performanța scăzută este probabil cea mai vizibilă consecință a malware-ului, deoarece afectează în mod direct performanța computerului până la punctul în care chiar și un neprofesionist îl poate detecta. Dacă utilizatorii nu sunt atât de alertați când apar ferestre publicitare din când în când, chiar dacă computerul nu este conectat la Internet, atunci o scădere a capacității de reacție a sistemului de operare, deoarece fluxurile de cod rău intenționat concurează cu sistemul și cu programele utile , indică clar apariția problemelor. Setările software-ului se schimbă, funcțiile noi sunt adăugate misterios, procesele neobișnuite apar în managerul de activități (uneori există o duzină de ele) sau programele se comportă ca și când altcineva le-ar folosi și ați pierdut controlul asupra lor. Efectele secundare ale malware-ului (fie că sunt adware sau spyware) au consecințe grave și, totuși, mulți utilizatori continuă să acționeze ușor deschizând ușa ușor computerului lor.

Pe internetul modern, în medie, fiecare a 30-a scrisoare este infectată cu un vierme de e-mail, aproximativ 70% din toată corespondența este nedorită. Odată cu creșterea internetului, numărul potențialelor victime ale scriitorilor de viruși crește, lansarea de noi sisteme de operare implică o extindere a gamei de modalități posibile de pătrundere în sistem și opțiuni pentru o posibilă încărcare rău intenționată pentru viruși. Utilizatorul modern al computerului nu se poate simți în siguranță în fața amenințării de a deveni obiectul glumei crude a cuiva - de exemplu, distrugerea informațiilor de pe hard disk - rezultatele unei munci lungi și minuțioase sau furtul parolei pentru e-mail sistem. La fel, este frustrant să te găsești victima unei trimiteri în masă de fișiere confidențiale sau linkuri către un site porno. Pe lângă furtul numerelor de carduri de credit care au devenit deja obișnuite, cazurile de furt de date personale ale jucătorilor diferitelor jocuri online - Ultima Online, Legend of Mir, Lineage, Gamania - au devenit mai frecvente. În Rusia, există și cazuri înregistrate ale jocului „Fight Club”, unde costul real al unor articole la licitații ajunge la mii de dolari SUA. De asemenea, s-au dezvoltat tehnologii virale pentru dispozitive mobile. Ca modalitate de penetrare, nu sunt folosite doar dispozitive Bluetooth, ci și mesaje MMS obișnuite (viermele ComWar).

2. Tipuri de programe malware

2.1 Virusul computerului

Virus de calculator- un fel de programe de calculator, a căror caracteristică distinctivă este capacitatea de reproducere (auto-replicare). În plus, virușii pot deteriora sau distruge complet toate fișierele și datele sub controlul utilizatorului în numele căruia a fost lansat programul infectat, precum și pot deteriora sau chiar distruge sistemul de operare cu toate fișierele în general.

Alte tipuri de malware, cum ar fi troienii, spyware-ul și chiar spamul, sunt uneori clasificate ca viruși de computer de către profani. (Spam (spam în engleză) - trimiterea de reclame comerciale, politice și de altă natură sau alte tipuri de mesaje către persoane care nu și-au exprimat dorința de a le primi. Legalitatea trimiterii în masă a anumitor tipuri de mesaje, pentru care este consimțământul destinatarilor nu este necesar, poate fi înscris în legislația țării. De exemplu, acest lucru se poate referi la mesaje despre dezastre naturale iminente, mobilizarea în masă a cetățenilor etc. În sensul general acceptat, termenul „spam” în limba rusă a fost folosit pentru prima dată în legătură cu trimiterea de e-mailuri) Există zeci de mii de viruși informatici care se răspândesc prin internet în întreaga lume, organizând epidemii virale.

Virușii se răspândesc prin introducerea lor în codul executabil al altor programe sau prin înlocuirea altor programe. De ceva timp s-a crezut chiar că, fiind un program, un virus poate infecta doar un program - orice modificare a unui program nu este o infecție, ci pur și simplu corupția datelor. Implicația a fost că astfel de copii ale virusului nu vor câștiga controlul, fiind informații care nu sunt utilizate de procesor ca instrucțiuni. Deci, de exemplu, textul neformatat nu poate transporta un virus.

Cu toate acestea, ulterior infractorii cibernetici au realizat că nu numai codul executabil care conține codul mașinii procesorului ar putea avea un comportament viral. Virușii au fost scrise în limba fișierelor batch. Apoi au apărut virușii macro, care au fost introduși prin intermediul macro-urilor în documente de programe precum Microsoft Word și Excel.

Ceva mai târziu, atacatorii au creat viruși care exploatau vulnerabilitățile din software-urile populare (de exemplu, Adobe Photoshop, Internet Explorer, Outlook), care procesează în general date obișnuite. Virușii au început să se răspândească prin injectarea unui cod special într-o secvență de date (de exemplu, imagini, texte etc.) care exploatau vulnerabilitățile software-ului.

2.2 troian

Impact nociv

Un cal troian (cunoscut și sub numele de troian, troian, troian, troian) este un program rău intenționat care pătrunde într-un computer sub masca unui codec inofensiv, screensaver, software hacker etc.

Caii troieni nu au propriul mecanism de propagare, iar acest lucru este diferit de virușii care se răspândesc atașându-se la software sau documente inofensive și viermii care se copiază singuri prin rețea. Cu toate acestea, un program troian poate transporta un corp viral - apoi troianul care l-a lansat se transformă într-un focar de „infecție”.

Troienii sunt extrem de ușor de scris: cei mai simpli dintre ei constau în câteva zeci de linii de cod în Visual Basic sau C ++.

Numele „program troian” provine de la numele „cal troian” - un cal de lemn, conform legendei, donat de grecii antici locuitorilor din Troia, în interiorul căruia se ascundeau soldații, care ulterior au deschis porțile orașului către cuceritorii. Acest nume, în primul rând, reflectă secretul și insidiositatea potențială a adevăratelor intenții ale dezvoltatorului de programe.

Un cal troian care rulează pe un computer poate:

· Interferența cu munca utilizatorului (ca o glumă, din greșeală sau pentru a atinge orice alte obiective);

· Spionează utilizatorul;

· Folosiți resurse informatice pentru orice activități ilegale (și uneori direct dăunătoare) etc.

Deghizarea calului troian

Pentru a provoca un utilizator să lanseze un troian, fișierul programului (numele său, pictograma programului) se numește un nume de serviciu, deghizat în alt program (de exemplu, instalarea unui alt program), un fișier de alt tip sau pur și simplu dă un nume atractiv, o pictogramă etc. Un atacator poate recompila un program existent, poate adăuga cod rău intenționat la codul sursă și apoi îl poate transmite ca original sau îl poate înlocui.

Pentru a îndeplini cu succes aceste funcții, troianul poate imita (sau chiar înlocui complet) sarcina sau fișierul de date sub care este deghizat (program de instalare, program de aplicație, joc, document de aplicație, imagine) într-un grad sau altul. Funcții similare rău intenționate și de camuflare sunt, de asemenea, utilizate de virușii de computer, dar spre deosebire de aceștia, troienii nu se pot răspândi singuri.

Răspândirea

Troienii sunt plasați de un atacator pe resurse deschise (servere de fișiere, dispozitive de stocare ale computerului însuși), pe suporturi de stocare sau trimise folosind servicii de mesagerie (de exemplu, e-mail) cu așteptarea lansării lor pe un anumit, inclus într-un un anumit cerc sau un computer „țintă” arbitrar.

Uneori, utilizarea troienilor este doar o parte a unui atac planificat în mai multe etape asupra anumitor computere, rețele sau resurse (inclusiv altele).

Metode de îndepărtare

Troienii au multe tipuri și forme, deci nu există o protecție absolut sigură împotriva lor.

Software-ul antivirus trebuie utilizat pentru a detecta și elimina troienii. Dacă antivirusul raportează că atunci când detectează un troian nu îl poate elimina, atunci puteți încerca să porniți sistemul de operare dintr-o sursă alternativă și să repetați scanarea cu antivirusul. Dacă troianul este detectat pe sistem, atunci acesta poate fi, de asemenea, eliminat manual (se recomandă „modul sigur”).

Este extrem de important să actualizați în mod regulat baza de date antivirus a antivirusului instalat pe computer pentru a detecta troienii și alte programe malware, deoarece apar multe noi programe malware în fiecare zi.

2.3 Spyware

Definiție

Spyware (spyware) - un program care este instalat în secret pe un computer în scopul controlului total sau parțial asupra activității computerului și a utilizatorului fără consimțământul acestuia din urmă.

În prezent, există multe definiții și interpretări ale termenului spyware. Coaliția Anti-Spyware, care include mulți producători importanți de software anti-spyware și antivirus, îl definește ca un produs software de monitorizare instalat și utilizat fără notificarea, consimțământul și controlul corespunzător de către utilizator, adică instalare neautorizată.

Caracteristici ale funcționării

Spyware-ul poate efectua o gamă largă de sarcini, de exemplu:

· Colectați informații despre obiceiurile de utilizare a internetului și cele mai frecvent vizitate site-uri (program de urmărire);

· Amintiți-vă apăsările de tastatură de pe tastatură (keyloggers) și înregistrați capturi de ecran (screper de ecran) și apoi trimiteți informații creatorului de programe spion;

· Control neautorizat și de la distanță al computerului (software de control de la distanță) - usi din spate, botnets, droneware;

· Instalați programe suplimentare pe computerul utilizatorului;

· Să fie utilizat pentru analiza neautorizată a stării sistemelor de securitate (software de analiză a securității) - scanere de porturi și vulnerabilități și crackere de parole;

· Schimbați parametrii sistemului de operare (software de modificare a sistemului) - rootkit-uri, interceptori de control (hijackeri) etc. - al căror rezultat este o scădere a vitezei conexiunii la Internet sau pierderea conexiunii ca atare, deschiderea altor pagini principale sau eliminarea anumitor programe;

· Redirecționarea activității browserului, care implică vizite orbe la site-uri web cu risc de infecție cu virus.

Utilizări legitime ale „tehnologiei potențial nedorite”

· Software-ul de urmărire este utilizat pe scară largă și legal pentru a monitoriza computerele personale.

· Adware-ul poate fi inclus în mod deschis în software-ul gratuit și shareware, iar utilizatorul este de acord să vizualizeze reclame pentru a avea orice oportunitate suplimentară (de exemplu, pentru a utiliza acest program gratuit). Într-un astfel de caz, disponibilitatea unui program pentru afișarea de reclame trebuie specificată în mod explicit în acordul utilizatorului final (EULA).

· Programele de control și gestionare de la distanță pot fi utilizate pentru asistență tehnică la distanță sau acces la resursele proprii, care sunt situate pe un computer la distanță.

· Dialerele (dialerele) pot oferi posibilitatea de a obține acces la resursele necesare utilizatorului (de exemplu, apelarea la un furnizor de Internet pentru a se conecta la Internet).

· Programele pentru modificarea sistemului pot fi folosite și pentru personalizare după dorința utilizatorului.

· Programele de descărcare automată pot fi utilizate pentru a descărca automat actualizările aplicației și ale sistemului de operare.

· Programele de analiză a stării sistemului de securitate sunt utilizate pentru a studia securitatea sistemelor informatice și în alte scopuri complet legale.

· Tehnologiile de urmărire pasivă pot fi utile pentru personalizarea paginilor web pe care le vizitează un utilizator.

Istorie și dezvoltare

Conform datelor din 2005 de la AOL și Alianța Națională de Securitate Cibernetică, 61% dintre computerele care răspundeau conțineau o anumită formă de spyware, din care 92% nu erau conștienți de prezența spyware-ului pe mașinile lor, iar 91% au raportat că nu au acordat permisiunea pentru a instala programe spion.

Până în 2006, spyware-ul devenise una dintre amenințările de securitate predominante pentru sistemele informatice care utilizează Windows. Calculatoarele care folosesc Internet Explorer ca browser principal sunt parțial vulnerabile, nu pentru că Internet Explorer este cel mai utilizat, ci pentru că integrarea sa strânsă cu Windows permite spyware-ului să acceseze sisteme de operare cheie.

Înainte de lansarea Internet Explorer 7, browserul a prezentat automat o fereastră de instalare pentru orice componentă ActiveX pe care un site web dorea să o instaleze. O combinație de ignoranță naivă a utilizatorilor de spyware și presupunerea Internet Explorer că toate componentele ActiveX sunt inofensive a contribuit la răspândirea masivă a spyware-ului. Multe componente spyware exploatează, de asemenea, defectele din JavaScript, Internet Explorer și Windows pentru a le instala fără cunoștința și / sau permisiunea utilizatorului.

Registrul Windows conține multe secțiuni care, după modificarea valorilor cheie, permit programului să se execute automat la pornirea sistemului de operare. Spyware-ul poate folosi acest model pentru a ocoli încercările de dezinstalare și eliminare.

Spyware-ul se atașează de obicei din orice locație din registru pentru a permite executarea. Odată lansat, spyware monitorizează periodic dacă unul dintre aceste linkuri a fost eliminat. Dacă da, se restabilește automat. Acest lucru asigură că programele spyware vor fi executate la momentul pornirii, chiar dacă unele (sau majoritatea) intrărilor din registrul de pornire sunt eliminate.

Spyware, viruși și viermi de rețea

Spre deosebire de viruși și viermi de rețea, spyware-ul nu se reproduce de obicei. La fel ca mulți viruși de astăzi, programele spion se infiltrează în computere în principal în scopuri comerciale. Manifestările tipice includ afișarea de ferestre pop-up publicitare, furtul de informații personale (inclusiv informații financiare, cum ar fi numerele cardurilor de credit), urmărirea obiceiurilor de navigare a site-ului web sau redirecționarea unei cereri de adresă în browser către site-uri de publicitate sau porno.

Frauda telefonică

Creatorii de spyware pot înșela pe liniile telefonice folosind programe de tip dialer. Dialerul poate reconfigura modemul pentru a forma numere de telefon scumpe în locul ISP-ului obișnuit. Aceste numere de încredere sunt conectate la tarife internaționale sau intercontinentale, rezultând facturi telefonice prohibitive. Dialerul este ineficient pe computerele fără modem sau conectate la o linie telefonică.

Metode de tratament și prevenire

Dacă amenințarea spyware devine mai mult decât intruzivă, există o serie de metode pentru a face față acesteia. Acestea includ programe concepute pentru a elimina sau bloca infiltrarea programelor spyware, precum și diverse sfaturi ale utilizatorilor pentru a reduce probabilitatea pătrunderii spyware în sistem.

Cu toate acestea, spyware-ul rămâne o problemă costisitoare. Când un număr semnificativ de elemente spyware au infectat sistemul de operare, singura opțiune este salvarea fișierelor de date ale utilizatorului și reinstalarea completă a sistemului de operare.

Programe anti-spyware

Programe precum Ad-Aware de Lavasoft (gratuit pentru utilizare necomercială, servicii suplimentare plătite) și Spyware Doctor pentru PC Tools (scanare gratuită, eliminare de spyware plătită) au câștigat rapid popularitate ca instrumente de eliminare eficiente și, în unele cazuri, obstacole în calea spyware-ului infiltrare. În 2004, Microsoft a achiziționat GIANT AntiSpyware, redenumindu-l Windows AntiSpyware beta și lansându-l ca o descărcare gratuită pentru utilizatorii înregistrați de Windows XP și Windows Server 2003. În 2006 Microsoft a redenumit beta-ul la Windows Defender care a fost lansat ca descărcare gratuită (pentru utilizatori) din octombrie 2006 și este inclus ca instrument standard în Windows Vista.

2.4 Viermi de rețea

Vierme de rețea- un fel de programe de computer auto-replicate distribuite în rețele de calculatoare locale și globale. Viermele este un program independent.

Unele dintre primele experimente de utilizare a viermilor computerizați în calculul distribuit au fost efectuate la Centrul de Cercetare Xerox Palo Alto de John Shoch și Jon Hupp în 1978. Termenul provine din romanele științifico-fantastice de David Gerrold „When HARLIE Was year” și John Brunner „Pe undă de șoc”

Unul dintre cei mai renumiți viermi de computer este Morris Worm, scris de Robert Morris Jr., care era student la Universitatea Cornell la acea vreme. Viermele a început să se răspândească pe 2 noiembrie 1988, după care viermele a infectat rapid un număr mare de computere conectate la internet.

Mecanisme de distribuție

Viermii pot folosi diverse mecanisme de propagare („vectori”). Unii viermi necesită o acțiune specifică a utilizatorului pentru a răspândi (de exemplu, deschiderea unui mesaj infectat într-un client de e-mail). Alți viermi se pot răspândi autonom prin direcționarea și atacarea computerelor într-o manieră complet automatizată. Uneori există viermi cu un întreg set de vectori diferiți de propagare, strategii pentru alegerea unei victime și chiar exploatări pentru diferite sisteme de operare.

Structura

Adesea sunt alocați așa-numiții viermi rezidenți RAM, care pot infecta un program în execuție și pot locui în RAM fără a afecta hard diskurile. Puteți scăpa de astfel de viermi repornind computerul (și, în consecință, resetând memoria RAM). Astfel de viermi constau în principal dintr-o parte „infecțioasă”: un exploit (shellcode) și o sarcină utilă mică (corpul viermelui în sine), care este plasat în întregime în RAM. Specificitatea acestor viermi este că acestea nu sunt încărcate prin încărcător ca toate fișierele executabile obișnuite, ceea ce înseamnă că se pot baza doar pe acele biblioteci dinamice care au fost deja încărcate în memorie de alte programe.

Există, de asemenea, viermi care, după o infecție de memorie reușită, salvează codul pe hard disk și iau măsuri pentru a rula ulterior acest cod (de exemplu, scriind cheile corespunzătoare în registrul Windows). Puteți scăpa de astfel de viermi numai cu ajutorul antivirusului sau a unor instrumente similare. Adesea, partea infecțioasă a acestor viermi (exploit, shellcode) conține o sarcină utilă mică care este încărcată în RAM și poate „încărca” corpul viermei în sine ca fișier separat prin rețea. Pentru a face acest lucru, unii viermi pot conține un client TFTP simplu în partea infecțioasă. Un corp de vierme încărcat în acest mod (de obicei un fișier executabil separat) este acum responsabil pentru scanarea și răspândirea ulterioară dintr-un sistem infectat și poate conține, de asemenea, o sarcină utilă mai serioasă și completă, al cărei scop poate fi, de exemplu, cauzând unele daune (de exemplu, atacuri DoS).

Majoritatea viermilor de e-mail se răspândesc ca un singur fișier. Nu au nevoie de o parte "infecțioasă" separată, deoarece de obicei utilizatorul victimă descarcă și lansează în mod voluntar întregul vierme folosind un client de poștă electronică.

2.5 Rootkits

Rootkit- un program sau un set de programe care utilizează tehnologia de ascundere a obiectelor de sistem (fișiere, procese, drivere, servicii, chei de registry, porturi deschise, conexiuni etc.) prin ocolirea mecanismelor sistemului.

Termenul rootkit provine istoric din lumea Unix, unde acest termen se referă la un set de utilități pe care un hacker le instalează pe un computer compromis după ce a obținut accesul inițial. Acestea sunt, de regulă, instrumente de hacker (sniffers, scanere) și troieni care înlocuiesc principalele utilități Unix. Un rootkit permite unui hacker să câștige un punct de sprijin într-un sistem compromis și să ascundă urmele activităților lor.

În sistemul Windows, termenul rootkit este considerat a fi un program care este introdus în sistem și interceptează funcțiile sistemului sau înlocuiește bibliotecile de sistem. Interceptarea și modificarea funcțiilor API de nivel scăzut permite în primul rând unui astfel de program să-și mascheze prezența în sistem cu o calitate suficientă, protejându-l de detectarea de către utilizator și a software-ului antivirus. În plus, multe rootkit-uri pot masca prezența în sistem a oricăror procese descrise în configurația sa, dosare și fișiere pe disc, chei din registru. Multe rootkit-uri își instalează propriile drivere și servicii pe sistem (desigur, sunt și ele „invizibile”).

Recent, amenințarea rootkiturilor a devenit din ce în ce mai urgentă, pe măsură ce dezvoltatorii de viruși, troieni și spyware încep să construiască tehnologii rootkit în malware-ul lor. Unul dintre exemplele clasice este Trojan-Spy. Win32. Qukart, care își maschează prezența în sistem utilizând tehnologia rootkit. Motorul său RootKit funcționează excelent pe Windows 95, 98, ME, 2000 și XP.

Clasificarea rootkitului

Toate tehnologiile rootkit pot fi împărțite în mod convențional în două categorii:

Rootkits care funcționează în modul utilizator

Kituri de rădăcină care funcționează în modul kernel (kernel-mode)

De asemenea, rootkiturile pot fi clasificate în funcție de principiul lor de acțiune și persistență. Prin principiul acțiunii:

· Schimbarea algoritmilor pentru efectuarea funcțiilor sistemului.

· Modificarea structurilor de date ale sistemului.

3. Semne ale unei infecții cu virusul computerului. Acțiuni la detectarea infecției

Este dificil de detectat prezența virușilor pe un computer, deoarece aceștia sunt mascați între fișierele obișnuite. Acest articol descrie mai detaliat semnele unei infecții pe computer, precum și metodele de recuperare a datelor după un atac de virus și măsuri pentru a preveni deteriorarea acestora de către malware.

Semne de infecție:

· Afișarea mesajelor sau imaginilor neașteptate;

· Transmiterea semnalelor sonore neintenționate;

· Deschiderea și închiderea neașteptată a tăvii unității CD-ROM;

· Lansarea arbitrară, fără participarea dvs., a oricăror programe pe computer;

· Dacă există un firewall pe computerul dvs., apariția unor avertismente cu privire la o încercare a oricăruia dintre programele de pe computerul dvs. de a accesa Internetul, deși nu l-ați inițiat în niciun fel.

Dacă observați că așa ceva se întâmplă computerului dvs., atunci, cu un grad ridicat de probabilitate, putem presupune că computerul dvs. este infectat cu un virus.

În plus, există câteva semne caracteristice ale infectării cu un virus prin e-mail:

• prietenii sau cunoștințele îți spun despre mesajele de la tine pe care nu le-ai trimis;

· Căsuța dvs. poștală conține un număr mare de mesaje fără adresă de returnare și antet.

Trebuie remarcat faptul că aceste simptome nu sunt întotdeauna cauzate de prezența virușilor. Uneori pot fi rezultatul altor motive. De exemplu, în cazul e-mailurilor, mesajele infectate pot fi trimise cu adresa dvs. de returnare, dar nu de pe computer.

Există, de asemenea, semne indirecte ale computerului dvs. infectat:

· Blocări frecvente și defecțiuni ale computerului;

· Lucrul lent al computerului la pornirea programelor;

· Imposibilitatea încărcării sistemului de operare;

· Dispariția fișierelor și directoarelor sau denaturarea conținutului acestora;

· Acces frecvent la hard disk (lumina de pe unitatea de sistem clipește frecvent);

· Browserul de Internet blochează sau se comportă în mod neașteptat (de exemplu, fereastra programului nu poate fi închisă).

În 90% din cazuri, prezența simptomelor indirecte este cauzată de o defecțiune hardware sau software. În ciuda faptului că este puțin probabil ca astfel de simptome să indice o infecție, atunci când apar, este recomandat să efectuați o scanare completă a computerului cu un program antivirus instalat pe acesta.

Acțiuni la detectarea infecției:

1. Deconectați computerul de la Internet (de la rețeaua dvs. locală).

2. Dacă simptomul infecției este că nu puteți porni de pe hard disk-ul computerului (computerul dă o eroare când îl porniți), încercați să porniți în modul de protecție împotriva blocării sau de pe discul de pornire de urgență Windows pe care l-ați creat la instalare sistemul de operare de pe computer.

3. Înainte de a întreprinde orice acțiune, salvați rezultatele muncii dvs. pe un mediu extern (dischetă, CD-disk, unitate flash etc.).

4. Instalați un antivirus dacă nu este instalat niciun software antivirus pe computer.

5. Obțineți cele mai recente actualizări ale bazei de date antivirus. Dacă este posibil, pentru a le obține, intrați online nu de pe computer, ci de pe computerul neinfectat al prietenilor dvs., cafenelele Internet, de la serviciu. Este mai bine să utilizați un alt computer, deoarece atunci când vă conectați la Internet de pe un computer infectat, există posibilitatea ca virusul să trimită informații importante atacatorilor sau să răspândească virusul la adresele din agenda dvs. de adrese. De aceea, dacă suspectați o infecție, cel mai bine este să vă deconectați imediat de la Internet.

6. Rulați o scanare completă a computerului.

4. Metode de protecție împotriva malware-ului

infecție troiană cu computer virus

Nu există o protecție 100% împotriva tuturor programelor malware: nimeni nu este imun la exploatări precum Sasser sau Conficker. Pentru a reduce riscul pierderilor cauzate de expunerea la malware, se recomandă:

· Utilizați sisteme de operare moderne cu un nivel serios de protecție împotriva programelor rău intenționate;

· Instalați patch-uri în timp util; dacă există un mod de actualizare automată, activați-l;

· Lucrați constant pe un computer personal exclusiv sub drepturile unui utilizator, nu al unui administrator, ceea ce va împiedica instalarea majorității programelor rău intenționate pe un computer personal;

· Utilizați produse software specializate care utilizează așa-numiții analizatori euristici (comportamentali) pentru a contracara programele rău intenționate, adică nu necesită o bază de semnături;

· Utilizați produse software antivirus ale unor producători cunoscuți, cu actualizarea automată a bazelor de semnături;

· Folosiți un firewall personal care controlează accesul la Internet de pe un computer personal pe baza politicilor stabilite de utilizator însuși;

· Limitați accesul fizic la computer de către persoane neautorizate;

· Folosiți suporturi externe numai din surse de încredere;

· Nu deschideți fișiere computerizate primite din surse nesigure;

· Dezactivați executarea automată de pe suportul amovibil, care nu va permite codurilor care se află pe acesta să înceapă fără cunoștința utilizatorului (pentru Windows, aveți nevoie de gpedit.msc-> Șabloane administrative (Configurare utilizator) -> Sistem-> Dezactivare autorun-> Activat " pe toate unitățile ").

Apărările moderne împotriva diferitelor forme de malware includ multe componente software și metode pentru detectarea aplicațiilor „bune” și „rele”. Furnizorii de antivirus astăzi încorporează scanere în programele lor pentru a detecta spyware și alte coduri rău intenționate, astfel încât totul este făcut pentru a proteja utilizatorul final. Cu toate acestea, niciun pachet anti-spyware nu este perfect. Un produs poate fi prea intenționat asupra programelor, blocându-le la cea mai mică suspiciune, inclusiv „curățarea” și utilitarele utile pe care le utilizați în mod regulat. Celălalt produs este mai fidel software-ului, dar poate permite trecerea unor programe spion. Deci, din păcate, nu există panaceu.

Spre deosebire de suitele antivirus, care arată în mod regulat eficiență de 100% în detectarea virușilor în testele profesionale efectuate de experți precum Virus Bulletin, nicio suită anti-adware nu depășește 90%, iar multe alte produse măsoară între 70% și mai mult. Și 80 %.

Aceasta explică de ce utilizarea simultană, de exemplu, a antivirusului și a programelor anti-spyware este cea mai bună modalitate de a oferi o protecție cuprinzătoare a sistemului împotriva pericolelor care ar putea apărea în mod neașteptat. Practica arată că un pachet ar trebui să fie folosit ca un „blocant” permanent care este încărcat de fiecare dată când computerul este pornit (de exemplu, AVP 6.0), în timp ce un alt pachet (sau mai multe) ar trebui lansat cel puțin o dată pe săptămână. scanare suplimentară (de exemplu, Ad-Aware). În acest fel, ceea ce ratează un pachet poate fi detectat de altul.

5. Clasificarea programelor antivirus

Tipuri de programe antivirus

Eugene Kaspersky a folosit în 1992 următoarea clasificare a antivirusurilor în funcție de principiul lor de funcționare (care determină funcționalitatea):

· Scannere(versiune învechită - „polifage”) - determină prezența unui virus printr-o bază de date de semnături care stochează semnături (sau sumele lor de control) ale virușilor. Eficacitatea lor este determinată de relevanța bazei de date a virusului și de prezența unui analizor euristic (a se vedea: scanare euristică).

· Auditori(o clasă similară cu IDS) - își amintesc starea sistemului de fișiere, ceea ce face posibilă analiza schimbărilor în viitor.

· Paznic(monitoare) - monitorizează operațiunile potențial periculoase, emitând o cerere corespunzătoare către utilizator de a permite / refuza operațiunea.

· Vaccinuri- modificați fișierul inoculat astfel încât virusul împotriva căruia este vaccinat vaccinul să considere deja fișierul infectat. În condițiile moderne (2007), când numărul de viruși posibili este măsurat în sute de mii, această abordare nu este aplicabilă.

Antivirusurile moderne combină toate funcțiile de mai sus.

Antivirusurile pot fi, de asemenea, împărțite în:

Produse pentru utilizatorii casnici:

· De fapt antivirusuri;

· Produsele combinate (de exemplu, antispam, firewall, anti-rootkit etc. au fost adăugate la antivirusul clasic);

Produse corporative:

· Antivirusuri de server;

· Antivirusuri pe stații de lucru („punct final”).

Instrumente moderne de protecție antivirus și principalele caracteristici funcționale ale acestora

BitDefender Antivirus Plus v10.

Principalele caracteristici funcționale:

· Funcția euristică în mediul virtual - emularea mașinii virtuale, cu ajutorul căreia obiectele potențial periculoase sunt scanate folosind algoritmi euristici;

· Verificarea automată a datelor transmise prin protocolul POP3, suport pentru cei mai cunoscuți clienți de poștă electronică (MS Exchange, MS Outlook, MS Outlook Express, Netscape, Eudora, Lotus Notes, Pegasus, The Bat și altele);

· Protecție împotriva răspândirii virușilor prin rețelele Peer-2-Peer de partajare a fișierelor;

· Formarea listei personale de spam a utilizatorului.

Procesor Intel Pentium II 350 MHz, 128 MB RAM, 60 MB spațiu liber pe hard disk, sistem Windows 98 / NT / Me / 2000 / XP.

Eset NOD32 2.5

· Analiza euristică pentru detectarea amenințărilor necunoscute;

Tehnologia ThreatSense - analiza fișierelor pentru a detecta viruși, spyware (spyware), reclame nesolicitate (adware), atacuri de phishing și alte amenințări;

· Verificarea și eliminarea virușilor din fișierele blocate pentru înregistrare (de exemplu, bibliotecile DLL protejate de sistemul de securitate Windows);

· Verificarea protocoalelor HTTP, POP3 și PMTP.

Cerinte Minime de Sistem: Procesor Intel Pentium, 32 MB RAM, 30 MB spațiu liber pe hard disk, sistem Windows 95/98 / NT / Me / 2000 / XP.

Kaspersky Anti-Virus 6.0

Principalele caracteristici funcționale:

· Scanarea traficului la nivelul protocoalelor POP3, IMAP și NNTP pentru mesajele primite și SMTP pentru mesajele trimise, pluginuri speciale pentru Microsoft Outlook, Microsoft Outlook Express și The Bat!

· Avertizarea utilizatorului în caz de detectare a unei modificări atât în ​​procesele normale, cât și detectarea celor ascunse, periculoase și suspecte;

· Controlul modificărilor aduse registrului de sistem;

· Blocarea macro-urilor periculoase Visual Basic pentru aplicații în documentele Microsoft Office.

Cerinte Minime de Sistem: Procesor Intel Pentium 133 MHz, 32 MB RAM, 50 MB spațiu liber pe hard disk, sistem Microsoft Windows 98 / NT / 2000 / Me / XP.

McAfee VirusScan Pro 10 (2006)

Principalele caracteristici funcționale:

· Protecție împotriva virușilor, virușilor macro, troienilor, viermilor de internet, spyware, adware, controalelor ActiveX și Java rău intenționate;

· Verificarea automată a e-mailului de intrare (POP3) și de ieșire (SMTP);

· Tehnologiile ScriptStopper și WormStopper pentru blocarea activității rău intenționate a scripturilor și viermilor.

Cerinte Minime de Sistem: Procesor Intel Pentium 133 MHz, 64 MB RAM, 40 MB spațiu liber pe hard disk, Windows 98 / Me / 2000 / XP.

Dr. Web 4.33a

Principalele caracteristici funcționale:

· Protecție împotriva viermilor, virușilor, troienilor, virușilor polimorfi, virușilor macro, spyware, dialerelor, adware-urilor, utilităților hackerilor și scripturilor rău intenționate;

· Actualizarea bazelor de date antivirus de mai multe ori pe oră, dimensiunea fiecărei actualizări este de până la 15 KB;

· Verificarea memoriei de sistem a computerului pentru a detecta viruși care nu există sub formă de fișiere (de exemplu, CodeRed sau Slammer);

· Un analizor euristic care vă permite să neutralizați amenințările necunoscute înainte de lansarea actualizărilor corespunzătoare ale bazei de date de viruși.

Cerinte Minime de Sistem: prezența Windows 95/98 / NT / Me / 2000 / XP. Cerințele hardware corespund cu cele menționate pentru sistemul de operare specificat.

Concluzie

Dacă nu ați mai întâlnit niciodată viruși de computer, atunci cu siguranță îi veți întâlni. A fost un moment în care software-ul antivirus tocmai apărea, iar virușii „exercitau toată forța”, aducând pierderi de milioane de dolari în fiecare zi. Astăzi, desigur, virușii ne pot face viața nefericită, dar în majoritatea cazurilor, chiar și utilizatorul mediu mediu își poate curăța computerul de malware. Dar acum câțiva ani, trebuia să vă formatați complet hard diskul și să începeți de la zero. Dar nici acest lucru nu a dus întotdeauna la rezultatul dorit.

Amintiți-vă: pentru a vă proteja computerul, aveți nevoie de un program antivirus instalat și actualizat. Nu vă înșelați pentru trucurile escrocilor, ignorați spamul, fiți atenți când instalați programe fără licență pe computer.

Lista surselor

1. ITpedia http://www.itpedia.ru/index.php/

2.wikipedia (enciclopedie gratuită) http://ru.wikipedia.org/wiki/

3. articol http://roox.net.ru/infosec/04/

4. articol http://www.thg.ru/software/malware_spyware_faq/index.html

5. articol http://www.oxpaha.ru/publisher_234_28501

Un virus este de obicei înțeles ca un tip de malware care se copiază singur. Acesta infectează alte fișiere (similare cu virușii din viața reală care infectează celulele biologice pentru a se reproduce).

Cu ajutorul unui virus, puteți efectua un număr mare de acțiuni diferite: accesați computerul în fundal, furați parola și faceți computerul să înghețe (RAM-ul este umplut și CPU-ul este încărcat prin diferite procese).

Cu toate acestea, funcția principală a unui virus malware este capacitatea sa de a se multiplica. Când este activat, programele de pe computer sunt infectate.

Rulând software-ul pe alt computer, virusul infectează aici fișiere, de exemplu, o unitate flash USB de pe un PC infectat introdus într-unul sănătos, îi va transmite imediat virusul.

Vierme

Comportamentul viermelui este similar cu cel al unui virus. Singura diferență constă în distribuție. Atunci când un virus infectează programe rulate de o persoană (dacă programele nu sunt utilizate pe un computer infectat, virusul nu va pătrunde acolo), viermele se răspândește prin rețele de calculatoare din proprie inițiativă.

De exemplu, Blaster a intrat în Windows XP într-o perioadă rapidă de timp, deoarece sistemul de operare nu oferea servicii de securitate web robuste.

Astfel, viermele a folosit accesul la Internet pentru sistemul de operare.

După aceea, malware-ul a trecut la o nouă mașină infectată pentru a-și continua reproducerea.

Rar vezi acești viermi, deoarece astăzi Windows se distinge printr-o protecție de înaltă calitate: firewall-ul este utilizat implicit.

Cu toate acestea, viermii se pot răspândi prin alte metode - de exemplu, infectează un computer printr-o căsuță de e-mail și trimit propriile copii tuturor celor de pe lista de contacte.

Un vierme și un virus pot efectua multe alte acțiuni periculoase atunci când infectează un computer. Principalul lucru care oferă malware-ului caracteristicile unui vierme este modul în care își răspândește propriile copii.

troian

Troienii sunt în mod obișnuit înțelese ca fiind programe rău intenționate care arată ca fișiere normale.

Dacă lansați calul troian, acesta va începe să funcționeze în fundal împreună cu un utilitar obișnuit. Astfel, dezvoltatorii troieni pot avea acces la computerul victimei lor.

Troienii vă permit, de asemenea, să monitorizați activitatea pe un computer, să conectați un computer la o rețea bot. Troienii sunt folosiți pentru a deschide gateway-uri și a descărca diferite tipuri de aplicații rău intenționate pe un computer.

Să luăm în considerare principalele puncte distinctive.

¹ Programul malware se ascunde sub formă de aplicații utile și, în timpul lansării, funcționează în fundal și deschide accesul la propriul computer. Se poate face o comparație cu calul troian, care a devenit personajul principal în opera lui Homer.

² Acest malware nu se copiază în diferite fișiere și nu este capabil să se răspândească pe internet, cum ar fi viermi și viruși.

³ Software-ul piratat poate fi infectat cu un troian.

Spyware

Spyware-ul este un alt tip de malware. În cuvinte simple, această aplicație este un spion.

Cu ajutorul acestuia, sunt colectate informații. Diferite tipuri de programe malware conțin adesea spyware în ele.

Astfel, informațiile financiare sunt furate, de exemplu.

Spyware-ul este adesea utilizat cu software complet gratuit și colectează informații despre paginile de Internet vizitate, descărcări de fișiere etc.

Dezvoltatorii de software câștigă bani prin vânzarea propriilor cunoștințe.

Adware

Adware-ul poate fi considerat un aliat al spyware-ului.

Acesta este orice tip de software pentru afișarea mesajelor publicitare pe un computer.

De asemenea, se întâmplă adesea ca Adware să utilizeze reclame suplimentare pe site-uri în timpul navigării. În această situație, este dificil să bănuiți ceva.

Keylogger

Keylogger este un utilitar rău intenționat.

Se execută în fundal și înregistrează toate apăsările de buton. Aceste informații pot conține parole, nume de utilizator, detalii despre cardul de credit și alte informații sensibile.

Cel mai probabil, un keylogger stochează clicuri pe butonul propriului server, unde un software uman sau special le analizează.

Botnet

O botnet este o rețea imensă de calculatoare controlată de un dezvoltator.

În acest caz, computerul acționează ca un „bot”, deoarece dispozitivul este infectat cu un anumit malware.

Dacă computerul este infectat cu un „bot”, acesta contactează un server de control și așteaptă instrucțiuni de la botnetul dezvoltatorului.

De exemplu, rețelele bot sunt capabile să creeze atacuri DDoS. Toate computerele dintr-o rețea bot pot fi utilizate pentru a ataca un anumit server și un site web cu diverse cereri.

Aceste solicitări frecvente pot cauza blocarea serverului.

Dezvoltatorii de botnet vând acces la propria lor botnet. Fraudalii pot folosi botnets mari pentru a-și realiza ideile insidioase.

Rootkit

Este obișnuit să înțelegeți un rootkit ca un software rău intenționat care se află undeva în interiorul unui computer personal.

Se ascunde în diferite moduri de la utilizatori și programe de securitate.

De exemplu, un rootkit este încărcat înainte de pornirea Windows și editează funcționalitatea sistemului sistemului de operare.

Rootkit-ul poate fi deghizat. Dar principalul lucru care transformă un utilitar rău intenționat într-un rootkit este că acesta se ascunde în „măruntaiele” sistemului de operare.

Bannere ransomware

Aceasta este o formă destul de insidioasă de software rău intenționat.

Se pare că nu un număr mic de oameni s-au întâlnit cu acest tip de răuvoitor.

Astfel, computerul sau fișierele individuale vor fi ținute ostatice. Pentru ei va trebui plătită o răscumpărare.

Cel mai popular tip este considerat a fi porno - bannere care necesită trimiterea de bani și furnizarea unui cod. Puteți deveni victima acestui software nu numai vizitând site-uri porno.

Există programe malware precum CryptoLocker.

Criptează literalmente unele obiecte și necesită plata pentru deschiderea accesului la acestea. Acest tip de malware este cel mai periculos.

Phishing

Phishing (phishing în engleză, de la pescuit - pescuit, pescuit - un tip de fraudă pe Internet, al cărui scop este de a avea acces la date confidențiale ale utilizatorului - autentificări și parole.

Acest lucru se realizează prin efectuarea de mesaje de e-mail în masă în numele mărcilor populare, precum și prin mesaje private în cadrul diferitelor servicii, de exemplu, în numele băncilor sau în cadrul rețelelor sociale. rețele.

După ce utilizatorul ajunge pe site-ul fals, escrocii încearcă prin diferite metode psihologice să-l oblige pe utilizator să-și introducă datele pe pagina falsă, parola de conectare pe care o folosește pentru a accesa site-ul, acest lucru permite fraudatorilor să aibă acces la conturi și conturi bancare.

Spam

Spam (spam în limba engleză) - trimiterea de mesaje publicitare comerciale sau de altă natură către persoane care nu și-au exprimat dorința de a primi.

În sensul general acceptat, termenul „spam” în limba rusă a început să fie folosit mai întâi în legătură cu distribuirea e-mailurilor.

Mesajele nesolicitate în sistemele de mesagerie instantanee (de exemplu, ICQ) se numesc SPIM (engleză) rusă. (Spam englez peste IM).

Ponderea spamului în traficul global de e-mail variază de la 60% la 80% (extras din Wikipedia).

Concluzie

Iată aproape toate cele mai „populare” tipuri de viruși malware.

Sper că îți poți minimiza întâlnirile cu ei și nu te vei întâlni niciodată cu unii despre cum să-ți protejezi computerul și poți citi datele utilizatorului în.

Rezultate

De ce se numește așa software-ul antivirus? Poate din cauza faptului că un număr mare de oameni sunt convinși că „virusul” este sinonim cu software rău intenționat.

Antivirusurile, după cum știți, protejează nu numai de viruși, ci și de alte programe nedorite, ci și pentru prevenirea - prevenirea infecției. Asta e tot deocamdată, fii atent, aceasta este una dintre componentele principale ale protejării computerului tău.

Video interesant 10 viruși de computer devastatori.