Для проникновения на компьютеры во многих случаях используются уязвимости которые
Вредоносное программное обеспечение и, прежде всего, компьютерные вирусы представляют очень серьезную опасность для информационных систем. Недооценка этой опасности может иметь серьезные последствия для информации пользователей. В то же время чрезмерное преувеличение угрозы вирусов негативно влияет на использование всех возможностей компьютерной сети. Знание механизмов действия вредоносного программного обеспечения (ПО), методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и нанесения вреда машинам и информации.
О наличии вредоносного ПО в системе пользователь может судить по следующим признакам:
Вредоносная программа (Malware, malicious software – злонамеренное программное обеспечение) – это любое программное обеспечение, предназначенное для осуществления несанкционированного доступа и/или воздействия на информацию или ресурсы информационной системы в обход существующих правил разграничения доступа.
Во многом "вредность" или "полезность" программного обеспечения определяется самим пользователем или способом его применения. Общепризнанной классификации вредоносного ПО пока не существует. Первые попытки упорядочить процесс классификации были предприняты еще в начале 90-х годов прошлого века в рамках альянса антивирусных специалистов CARO (Computer AntiVirus Researcher's Organization). Альянсом был создан документ "CARO malware naming scheme", который на какой-то период стал стандартом для индустрии.
Но со временем стремительное развитие вредоносных программ, появление новых платформ и рост числа антивирусных компаний привели к тому, что эта схема фактически перестала использоваться. Ещё более важной причиной отказа от неё стало то, что технологии детектирования систем антивирусных компаний отличаются друг от друга и, как следствие, невозможно унифицировать результаты проверки разными антивирусными программами. Периодически предпринимаются попытки выработать новую общую классификацию детектируемых антивирусными программами объектов. Последним значительным проектом подобного рода было создание стандарта CME (Common Malware Enumeration), суть которого заключается в присвоении одинаковым детектируемым объектам единого уникального идентификатора.
Рассмотрим классификацию, предложенную компанией "Лаборатория Касперского" и размещенную в Вирусной энциклопедии Лаборатории Касперского. Специалисты этой компании предлагают разделять вредоносное ПО на вредоносные программы (Malware) и потенциально нежелательные программы (PUPs, Potentially Unwanted Programs). В свою очередь, вредоносные программы включают следующие категории: компьютерные вирусы и черви; троянские программы; подозрительные упаковщики и вредоносные утилиты.
Компьютерные вирусы и черви
Термином "компьютерный вирус" сегодня уже никого не удивишь. Данное определение появилось (в середине 80-х годов) благодаря тому, что вредительские программы обладают признаками, присущими биологическим вирусам – незаметное и быстрое распространение, размножение, внедрение в объекты и заражение их, и, кроме того, негативное воздействие на систему. Вместе с термином "вирус" при работе в информационных системах используются и другие термины: "заражение", "среда обитания", "профилактика" и др.
Компьютерные вирусы – это небольшие исполняемые или интерпретируемые программы, обладающие свойством несанкционированного пользователем распространения и самовоспроизведения в компьютерах или компьютерных сетях. Полученные копии также обладают этой возможностью. Вирус может быть запрограммирован на изменение или уничтожение программного обеспечения или данных, хранящихся на объектах и устройствах компьютерной сети. В процессе распространения вирусы могут себя модифицировать.
Черви считаются подклассом вирусов, но обладают характерными особенностями. Червь размножается (воспроизводит себя), не заражая другие файлы. Он внедряется один раз на конкретный компьютер и ищет способы распространиться далее на другие компьютеры. Червь – это отдельный файл, в то время как вирус – это код, который внедряется в существующие файлы.
К категории вредоносных программ "компьютерные вирусы и черви" относятся:
- Virus (вирус) – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
- при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
- вирус скопировал себя на съёмный носитель или заразил файлы на нем;
- пользователь отослал электронное письмо с зараженным вложением.
Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ. Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, "мобильные" черви).
Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение. Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором – при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков – активизируется код червя.
Механизм работы большинства подобных червей достаточно прост – для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя – при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.
У этого типа червей существует два способа распространения по IRC-каналам, напоминающие способы распространения почтовых червей. Первый способ заключается в отсылке URL на копию червя. Второй способ – отсылка зараженного файла какому-либо пользователю IRC-канала. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).
Серьезную опасность представляют поддельные антивирусы , размещенные на специально подготовленных сайтах и которые злоумышленники предлагают загрузить для "лечения" компьютера от вирусов. Как правило, сами эти сайты не опасны, но загружаемые оттуда программы, в том числе лже-антивирусы, содержат вредоносные коды сетевых червей или троянских программ.
Троянские программы
Эти вредоносные программы внешне выглядят как легальный программный продукт, но при запуске осуществляют несанкционированные пользователем действия, направленные на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители данной категории не имеют способности создавать свои копии, обладающие возможностью дальнейшего самовоспроизведения.
К данной категории вредоносных программ относятся:
Представители данного типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые ботнеты, централизованно управляемые злоумышленниками в злонамеренных целях. Botnet (ботнет) – это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами – автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде "хозяина", управляющего данной копией троянской программы.
Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение вредоносной программой всех посетителей взломанного Web-сайта). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя.
К Trojan также относятся "многоцелевые" троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.
Существует большое разнообразие троянских программ выполняющих те или иные действия и отличающихся друг от друга целями и способами воздействия на "жертву". Рассмотрим некоторые типы троянских программ:
Подозрительные упаковщики
Вредоносные программы часто сжимаются специфичными способами упаковки, включая использование многократных упаковщиков и совмещая упаковку с шифрованием содержимого файла для того, чтобы при распаковке усложнить анализ файла эвристическими методами.
К данному подклассу вредоносных программ относятся:
- MultiPacked – файловые объекты, многократно упакованные различными программами упаковки. Антивирус при детектировании такого объекта обнаруживает исполняемый файл, упакованный одновременно тремя и более упаковщиками.
- SuspiciousPacker – файловые объекты, сжатые специальными программами-упаковщиками, которые созданы для защиты вредоносного кода от детектирования антивирусным ПО.
- RarePacker – файловые объекты, сжатые различными редко встречающимися упаковщиками, например, реализовывающими какую-либо конкретную идею.
Вредоносные утилиты
Вредоносные программы, разработанные для автоматизации создания других вирусов, червей или троянских программ, организации DoS-атак на удаленные сервера, взлома компьютеров и т.п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют угрозы непосредственно компьютеру, на котором исполняются. Основным признаком, по которому различают вредоносные утилиты, являются совершаемые ими действия.
К данной категории вредоносных программ относятся:
Классификация детектируемых объектов "Лаборатории Касперского" выделяет в отдельную группу условно нежелательные программы , которые невозможно однозначно отнести ни к опасным, ни к безопасным. Речь идёт о программах, которые разрабатываются и распространяются легально и могут использоваться в повседневной работе, например, системными администраторами. Вместе с тем, некоторые из таких программ обладают функциями, которые могут причинить вред пользователю, но только при выполнении ряда условий. Например, если программа удаленного администрирования установлена на компьютер пользователя системным администратором, то ничего страшного в этом нет, т.к. администратор всего лишь получает возможность удаленно решать возникающие у пользователя проблемы. Но если та же программа установлена на компьютер пользователя злоумышленником, то последний получает полный контроль над компьютером-жертвой и дальнейшем может использовать его по своему усмотрению. Таким образом, подобные программы могут быть реализованы как во благо, так и во вред – в зависимости от того, в чьих руках они находятся.
Вредоносное ПО создаётся для компьютерных систем определенного типа, работающих с конкретными операционными системами. Привлекательность ОС для создателей вирусов определяется следующими факторами:
- распространенность ОС;
- отсутствие встроенных антивирусных механизмов;
- относительная простота;
- продолжительность эксплуатации.
Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.
Time Online: 2 Months 1 Day 9 Hours 26 Minutes 40 SecondsОтветы на экзамен по лицензированию DrWeb
Вынос мозга от Dr.Web.
Публикую ответы (правильные и неправильные) на экзамен DrWeb'а.
Последний раз редактировалось Genuine Savenger; 09.07.2013 в 16:47 .
Acid (19.11.2013), Ale (04.12.2015), alik (08.07.2013), dimasus (19.01.2016), Ильсур (09.07.2013), Гортор (09.09.2013), Find Server (15.02.2016), Graf (19.11.2015), GUFI*BASSCLUB* (08.07.2013), iga (08.07.2013), Nonlinear equation (08.07.2013), Rigiy (24.11.2016), rust17 (20.02.2017), Sadvakas Phantomov (08.07.2013), Segodnya (08.07.2013), SERGant1407 (26.11.2018), The Hamster (12.07.2013)Time Online: 2 Months 1 Day 9 Hours 26 Minutes 40 Seconds
Последний раз редактировалось Genuine Savenger; 17.07.2013 в 11:34 .
Смотрите в новом сезоне "Dr.Web возвращается". Никто не уйдёт больным.
При успешных кассовых сборах планируется выпустить ещё две части: "Dr.Web. Начало" и "Превосходство Dr.Web-а".
Последний раз редактировалось Segodnya; 09.07.2013 в 20:04 .
Добавка правильных 27 из 30
1 В состав какой лицензии на продукты Dr.Web включены веб-антивирус SpIDer Gate™ и модуль Родительского контроля?
2. Dr.Web для Windows (Комплексная защита) 00:36 Да
2 Сколько базовых лицензий предусмотрено для программного продукта Dr.Web для Linux в составе Dr.Web Desktop Security Suite?
1.Одна — только антивирус 00:16 Да
3 Какой продукт Dr.Web может восстановить работоспособность ПК, когда запуск зараженной системы невозможен?
1. Dr.Web LiveCD 00:21 Да
4 Сколько серийных номеров к критографу Atlansys Bastion поставляется в коробочном продукте Dr.Web Бастион?
2.2 01:49 Да
5 Какой дополнительный компонент НЕ лицензируется с программным продуктом Dr.Web для почтовых серверов Unix?
3. Центр управления 02:01 Нет
6 При покупке каких продуктов Dr.Web пользователь получает право бесплатного использования Dr.Web Mobile Security?
• Любых продуктов Dr.Web для защиты домашних ПК 00:17 Да
7 В случае новой покупки срок лицензии на Dr.Web Desktop Security Suite с Центром управления может составить
3. 12, 24 или 36 месяцев 00:13 Да
8 Укажите базовые лицензии, доступные при покупке продукта Dr.Web Desktop Security Suite для ОС Windows
5. Варианты 1 и 4 00:50 Да
9 Покупатель приобрел лицензию на Dr.Web Security Space для продления лицензии на Антивирус Dr.Web.
1.Покупатель сможет пользоваться дополнительными компонентами защиты начиная с момента активации серийного номера на Dr.Web Security Space. 00:20 Да
10 Антивирус Dr.Web поддерживает следующие ОС:
1. Windows 8/7/Vista/XP 00:40 Да
11 Коробочные продукты Dr.Web Security Space и Dr.Web Антивирус: 1.Можно использовать для защиты рабочего компьютера. 01:37 Да
12 Кто является правообладателем антивируса Dr.Web?
3. Компания «Доктор Веб» 01:22 Нет
13 Покупатель владеет лицензией на продукт Dr.Web сроком более 6 месяцев. Если вместо лицензии продления он приобретает новую лицензию по полной стоимости, предусмотрено ли увеличение срока ее использования?
2. Да, на 30 дней 02:21 Нет
14 Какой модуль использует онлайн-сервис Dr.Web Cloud для мгновенной антивирусной проверки веб-ссылок?
3.SpIDer Gate 02:36 Нет
15 Какой дополнительный компонент НЕ лицензируется с программным продуктом Dr.Web для серверов Unix (Samba)?
4. Все ответы неверны 01:50 Нет
16 Дополнительный компонент Центр управления в продукте Dr.Web Desktop Security Suite лицензируется
3. для Windows, Mac OS X и Linux 01:18 Да
17 Какие варианты лицензий возможны для программного продукта Dr.Web для Linux
3. Антивирус + Центр управления 00:14 Да
18 После установки программ Dr.Web из коробочных продуктов их можно использовать даже без регистрации, однако:
2.Возможность обращаться за бесплатной поддержкой становится доступна только после регистрации. 00:53 Нет
19 Какие базовые лицензии предусмотрены для Dr.Web Desktop Security Suite?
4. Антивирус и Комплексная защита 00:36 Да
20 В какую группу продуктовой линейки Dr.Web Security Suite входит Dr.Web Office Shield?
4. Программно-аппаратные комплексы 00:15 Да
21 Dr.Web SelfPROtect — это:
4. Модуль самозащиты 00:13 Да
22 При количественной дозакупке стоимость дозакупаемых лицензий рассчитывается:
• из диапазона суммарного количества защищаемых объектов без какой-либо скидки 01:06 Да
23 При продуктовой дозакупке стоимость дозакупаемых лицензий рассчитывается:
• из диапазона суммарного количества защищаемых объектов без какой-либо скидки. 01:16 Да
24 Кто является потенциальными потребителями Dr.Web AV-Desk™? 6.верны ответы 1,2 01:07 Да
25 Если пользователь имеет право на несколько видов скидок, то
1. Скидки не суммируются, предоставляется наибольшая 00:09 Да
26 Комплект Dr.Web «Универсальный» — экономичное предложение для организаций с числом ПК
1. От 1 до 50 01:14 Нет
27 Выберите верное утверждение: Антиспам Dr.Web…
4. Все ответы верны 01:04 Да
28 В качестве дополнительных компонентов к базовым лицензиям для бизнеса предусмотрены
3. Антиспам, SMTP proxy, Криптограф, Центр управления 00:14 Да
29 Наценка при дозакупке криптографа для пользователей Dr.Web Desktop Security Suite равна:
• 10% 01:48 Нет
30 Право бесплатного использования сетевой лечащей утилиты Dr.Web CureNet! предоставляется при покупке коммерческого продукта:
1. Dr.Web Desktop Security Suite — защита рабочих станций 00:19 Да
1 Сколько серийных номеров к критографу Atlansys Bastion поставляется в коробочном продукте Dr.Web Бастион?
2.2 00:07 Да
2 Какой дополнительный компонент не лицензируется с программным продуктом Dr.Web для интернет-шлюзов Kerio?
1. SMTP proxy 00:17 Нет
3 Базовая лицензия «Комплексная защита» предусмотрена для продуктов под управлением:
1. Windows 01:54 Да
6 При дозакупке стоимость дополнительных лицензий рассчитывается из диапазона, соответствующего:
2. Количеству приобретаемых дополнительно лицензий 00:32 Нет
8 Все скидки для продуктов и решений, в лицензиях на которые количество защищаемых объектов превышает количество, указанное в прайс-листе:
1. Согласуются с компанией «Доктор Веб» 00:17 Да
9 В состав коммерческого продукта Dr.Web Mobile Security Suite НЕ входит следующий программный продукт:
4. Все ответы верны 00:43 Нет
10 К числу преимуществ вирусной базы Dr.Web относится:
2. Способность определять множество вирусов одной вирусной записью 00:41 Да
11 Если пользователь имеет право на несколько видов скидок, то 1. Скидки не суммируются, предоставляется наибольшая 00:17 Да
12 Бонус 150 дней при продлении Dr.Web ОЕМ Универсальный будет предоставлен покупателю:
1.Если ОЕМ-лицензия будет продлена. 00:41 Да
13 Срок действия лицензионного соглашения при покупке коробочного продукта Dr.Web исчисляется с момента 2. Регистрации пользователем программы на сервере «Доктор Веб» 00:30 Да
14 В состав какой лицензии на продукты Dr.Web включены веб-антивирус SpIDer Gate™ и модуль Родительского контроля?
1. Dr.Web для Windows (Антивирус) 01:33 Нет
15 Право бесплатного использования сетевой лечащей утилиты Dr.Web CureNet! предоставляется при покупке коммерческого продукта: 1. Dr.Web Desktop Security Suite — защита рабочих станций 00:25 Да
16 Функция модуля Dr.Web SelfPROtect —
3. Самозащита 00:24 Да
18 При покупке электронной лицензии срок действия лицензионного соглашения исчисляется с момента
4. Регистрации серийного номера на сервере «Доктор Веб» 00:42 Да
19 Бонус в 150 дней предоставляется пользователю Dr.Web Security Space:
3.При продлении лицензии на Dr.Web Security Space или Антивирус Dr.Web, срок которой от 3 месяцев и больше. 00:28 Да
20 Выберите верное утверждение:
• Dr.Web Security Space — комплексная защита ОС Windows и Антивирус для Mac ОS X или Linux 01:28 Да
21 В состав Dr.Web Security Space входит:
8. В состав Dr.Web Security Space входят все перечисленные компоненты 00:16 Да
22 Согласно условиям лицензионного договора правообладатель передает конечному пользователю
3. Неисключительное право на использование ПО только тем способом и на тех условиях, которые указаны в тексте лицензионного договора 00:18 Да
23 Коробочный продукт Dr.Web Security Space:
1.Можно использовать и дома, и на работе — ограничений по месту использования в лицензировании нет. 01:26 Да
24 Какой модуль использует онлайн-сервис Dr.Web Cloud для мгновенной антивирусной проверки веб-ссылок?
4.Все ответы верные 00:11 Да
25 Кто является потенциальными потребителями Dr.Web AV-Desk™? 7.верны ответы 2,3,4 02:38 Нет
26 Какие компоненты защиты входят в базовую лицензию «Антивирус» для программного продукта Dr.Web для Windows в составе Dr.Web Desktop Security Suite?
3. Антивирус, Антишпион, Антируткит, Веб-антивирус 03:23 Нет
27 В состав коробочного продукта Dr.Web «Малый бизнес»:
2.Не входит защита для рабочих станций Mac OS X т.к. этот продукт не сертифицирован ФСТЭК России. 00:17 Да
28 Консольные сканеры Dr.Web лицензируются:
1. По количеству защищаемых ПК 01:04 Да
29 При приобретении Dr.Web Desktop Security Suite с Центром управления сроком на 24 месяца цена новой лицензии для НЕльготных категорий составляет:
3. 1,6 от цены соответствующего диапазона на 12 месяцев 00:18 Да
30 Для государственных учебных заведений предоставляется единая скидка на продукты Dr.Web в размере
1. 50% на все продукты и решения 00:59 Да
Необходимой для вирусописателей и кибер-преступников задачей является внедрение вируса, червя или троянской программы в компьютер-жертву или мобильный телефон. Достигается эта цель различными способами, которые делятся на две основные категории:
Часто эти способы используются одновременно. При этом так же часто используются специальные меры по противодействию антивирусным программам.
Социальная инженерия
Методы социальной инженерии тем или иным способом заставляют пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт. Эти методы применяются не только многочисленными почтовыми червями, но и другими видами вредоносного программного обеспечения.
Случаются и казусы, один из которых произошел в ноябре 2005. В одной из версий червя Sober сообщалось, что немецкая криминальная полиция расследует случаи посещения нелегальных веб-сайтов. Это письмо попало к любителю детской порнографии, который принял его за официальное письмо, — и послушно сдался властям.
- AIM & AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- play station emulator crack.exe
В поиске новых программ пользователи P2P-сетей натыкаются на эти имена, скачивают файлы и запускают их на выполнение.
Технологии внедрения
Эти технологии используются злоумышленниками для внедрения в систему вредоносного кода скрытно, не привлекая внимания владельца компьютера. Осуществляется это через уязвимости в системе безопасности операционных систем и в программном обеспечении. Наличие уязвимостей позволяет изготовленному злоумышленником сетевому червю или троянской программе проникнуть в компьютер-жертву и самостоятельно запустить себя на исполнение.
Уязвимости являются, по сути, ошибками в коде или в логике работы различных программ. Современные операционные системы и приложения имеют сложную структуру и обширный функционал, и избежать ошибок при их проектировании и разработке просто невозможно. Этим и пользуются вирусописатели и компьютерные злоумышленники.
Уязвимостями в почтовых клиентах Outlook пользовались почтовые черви Nimda и Aliz. Для того чтобы запустить файл червя, достаточно было открыть заражённое письмо или просто навести на него курсор в окне предварительного просмотра.
Также вредоносные программы активно использовали уязвимости в сетевых компонентах операционных систем. Для своего распространения такими уязвимостями пользовались черви CodeRed, Sasser, Slammer, Lovesan (Blaster) и многие другие черви, работающие под ОС Windows. Под удар попали и Linux-системы — черви Ramen и Slapper проникали на компьютеры через уязвимости в этой операционной среде и приложениях для неё.
Одновременное использование технологий внедрения и методов социальной инженерии
Достаточно часто компьютерными злоумышленниками используются сразу оба метода. Метод социальной инженерии — для привлечения внимания потенциальной жертвы, а технический — для увеличения вероятности проникновения заражённого объекта в систему.
Например, почтовый червь Mimail распространялся как вложение в электронное письмо. Для того чтобы пользователь обратил внимание на письмо, в него вставлялся специально оформленный текст, а для запуска копии червя из вложенного в письмо ZIP-архива — уязвимость в браузере Internet Explorer. В результате при открытии файла из архива червь создавал на диске свою копию и запускал её на исполнение без каких либо системных предупреждений или дополнительных действий пользователя. Кстати, этот червь был одним из первых, предназначенных для воровства персональной информации пользователей интернет-кошельков системы e-gold.
Противодействие антивирусным программам
Поскольку цель компьютерных злоумышленников — внедрить вредоносный код в компьютеры-жертвы, то для этого им необходимо не только вынудить пользователя запустить заражённый файл или проникнуть в систему через какую-либо уязвимость, но и незаметно проскочить мимо установленного антивирусного фильтра. Поэтому не удивительно, что злоумышленники целенаправленно борются с антивирусными программами. Используемые ими технические приёмы весьма разнообразны, но чаще всего встречаются следующие:
Упаковка и шифрование кода. Значительная часть (если не большинство) современных компьютерных червей и троянских программ упакованы или зашифрованы тем или иным способом. Более того, компьютерным андеграундом создаются специально для этого предназначенные утилиты упаковки и шифровки. Например, вредоносными оказались абсолютно все встретившиеся в интернете файлы, обработанные утилитами CryptExe, Exeref, PolyCrypt и некоторыми другими.
Для детектирования подобных червей и троянцев антивирусным программам приходится либо добавлять новые методы распаковки и расшифровки, либо добавлять сигнатуры на каждый образец вредоносной программы, что снижает качество детектирования, поскольку не всегда все возможные образцы модифицированного кода оказываются в руках антивирусной компании.
Остановка работы антивируса и системы получения обновлений антивирусных баз (апдейтов). Многие троянские программы и сетевые черви предпринимают специальные действия против антивирусных программ — ищут их в списке активных приложений и пытаются остановить их работу, портят антивирусные базы данных, блокируют получение обновлений и т.п. Антивирусным программам приходится защищать себя адекватными способами — следить за целостностью баз данных, прятать от троянцев свои процессы и т.п.
Скрытие своего кода на веб-сайтах. Адреса веб-страниц, на которых присутствуют троянские файлы, рано или поздно становятся известны антивирусным компаниям. Естественно, что подобные страницы попадают под пристальное внимание антивирусных аналитиков — содержимое страницы периодически скачивается, новые версии троянских программ заносятся в антивирусные обновления. Для противодействия этому веб-страница модифицируется специальным образом — если запрос идёт с адреса антивирусной компании, то скачивается какой-нибудь нетроянский файл вместо троянского.
Публикации на схожие темы
Развитие русскоязычной киберпреступности: что изменилось с 2016 по 2021 год
Через интернет , локальные сети и съемные носители.
Механизм
Вирусы распространяются, копируя свое тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Exel , содержащие макросы . Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программным обеспечении (например, Adobe Flash , Internet Explorer , Outlook ), для чего распространители внедряют его в обычные данные (картинки, тексты и т. д.) вместе с эксплоитом , использующим уязвимость.
К аналы
Каким образом вирус может заразить Ваш компьютер?
Абсолютной защиты от вирусов на данный момент не существует, и врядли когда либо эта "серебрянная пуля" будет отлита. Поэтому мы можем лишь минимизировать риск заражения своего компьютера или любого другого электронного устройства, следуя определенным правилам.
Основные пути заражения Вашего электронного устройства:
- Ошибки в программном обеспечении устройства (компьютера, ноутбука и т.д.), приводящие к возможности загрузки и установки вредоносной программы (вируса) без Вашего ведома.
Что это значит? Представьте, что производитель замка для входной двери Вашей квартиры допустил досадную ошибку, в результате которой замок может быть открыт без ключа, просто с помощью определенной комбинации поворота дверной ручки. Может быть пример не слишком удачный, но производители программ точно могут допустить подобные ошибки. - Социальная инженерия.
Это значит, что Вы, сами того не подозревая, собственноручно заражаете свое устройство вирусом. Способов заставить Вас это сделать очень много. Например, письмо по электронной почте, якобы адресованное от Вашего знакомого, с описанием нового сайта, программы или классной игрушки в интернете. Скачали эту игру, или зашли на сайт - вуаля, компьютер заражен. Причем нужно обратить внимание на то, что вредоносный сайт может быть хорошо знаком, и не вызовет у Вас никаких подозрений. Это видно по статистике сайтов - источников заражения.
Итак, основных путей заражения два, остальные являются их частными случаями или техническими нюансами. Например, креки и генераторы ключей для пиратских программ можно отнести к методам социальной инженерии, а заражение вирусом на сайте, или заражение компьютера через флешку, к ошибкам программного обеспечения.
Ущерб от компьютерных вирусов
Какой ущерб Вы можете понести в случае заражения электронного устройства вирусом?
Кроме того, стоит помнить о том, что еще более значительный ущерб может понести Ваша компания, если вирус был внедрен на Ваш компьютер (ноутбук, смартфон, планшет и т.д.) с целью поразить локальную сеть предприятия в котором Вы работаете.
Основная черта компьютерного вируса - это способность к саморазмножению.
Путями проникновения вируса могут служить как мобильные носители, так и сетевые соединения - фактически, все каналы, по которым можно скопировать файл. Однако в отличие от червей, вирусы не используют сетевые ресурсы - заражение вирусом возможно, только если пользователь сам каким-либо образом его активировал. Например, скопировал или получил по почте зараженный файл и сам его запустил или просто открыл.
Классификация
Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ. В настоящее время не существует единой системы классификации и именования вирусов. Принято разделять вирусы:
- по поражаемым объектам;
- по поражаемым операционным системам и платформам (DOS,Microsoft Windows, Unix, Linux);
- по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);
- по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);
- по дополнительной вредоносной функциональности (бэкдоры, кейлогеры, шпионы, ботнеты и др.).
Пример классификации: по поражаемым объектам
Механизм распространения компьютерных вирусов
Основные цели любого компьютерного вируса - это распространение на другие ресурсы компьютера и выполнение специальных действий при определенных событиях или действиях пользователя (например, 26 числа каждого четного месяца или при перезагрузке компьютера).
Механизм
Вирусы распространяются, копируя свое тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем может быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты, и т. д.) вместе с эксплоитом, использующим уязвимость.
Каналы распространения
Последствия заражений компьютерными вирусами
Последствия инфицирования компьютера вредоносной программой могут быть как явными , так и неявными . К неявным обычно относят заражения программами, которые по своей сути являются вирусами, однако из-за ошибок в своем коде или нестандартному программному обеспечению целевого компьютера, вредоносную нагрузку выполнить не могут. При этом свое присутствие в системе они никак не выражают. Класс явных последствий с ростом числа вирусов постоянно увеличивается. Можно выделить следующие действия:
Самые распространенные вирусы
Черви
В отличие от вирусов черви - это вполне самостоятельные программы. Главной их особенностью также является способность к саморазмножению, однако при этом они способны к самостоятельному распространению с использованием сетевых каналов. Для подчеркивания этого свойства иногда используют термин "сетевой червь".
Типы червей в зависимости от способа проникновения в систему
После проникновения на компьютер, червь должен активироваться - иными словами запуститься. По методу активации все черви можно разделить на две большие группы - на тех, которые требуют активного участия пользователя и тех, кто его не требует . На практике это означает, что бывают черви, которым необходимо, чтобы владелец компьютера обратил на них внимание и запустил зараженный файл, но встречаются и такие, которые делают это сами, например, используя ошибки в настройке или бреши в системе безопасности операционной системы. Отличительная особенность червей из первой группы - это использование обманных методов. Это проявляется, например, когда получатель инфицированного файла вводится в заблуждение текстом письма и добровольно открывает вложение с почтовым червем, тем самым его активируя. В последнее время наметилась тенденция к совмещению этих двух технологий - такие черви наиболее опасны и часто вызывают глобальные эпидемии. Сетевые черви могут кооперироваться с вирусами - такая пара способна самостоятельно распространяться по сети (благодаря червю) и в то же время заражать ресурсы компьютера (функции вируса).
Трояны
Трояны или программы класса троянский конь, в отличие от вирусов и червей, не обязаны уметь размножаться. Это программы, написанные только с одной целью - нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий : кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.
Некоторые трояны способны к самостоятельному преодолению систем защиты компьютерной системы, с целью проникновения в нее. Однако в большинстве случаев они проникают на компьютеры вместе с вирусом либо червем - то есть такие трояны можно рассматривать как дополнительную вредоносную нагрузку, но не как самостоятельную программу. Нередко пользователи сами загружают троянские программы из Интернет.
Как уже говорилось выше, проникать в систему трояны могут двумя путями - самостоятельно и в кооперации с вирусом или сетевым червем. В первом случае обычно используется маскировка, когда троян выдает себя за полезное приложение, которое пользователь самостоятельно копирует себе на диск (например, загружает из Интернет) и запускает. При этом программа действительно может быть полезна, однако наряду с основными функциями она может выполнять действия, свойственные трояну. После проникновения на компьютер, трояну необходима активация и здесь он похож на червя - либо требует активных действий от пользователя или же через уязвимости в программном обеспечении самостоятельно заражает систему.
Отдельно отметим, что существуют программы из класса троянов, которые наносят вред другим, удаленным компьютерам и сетям, при этом не нарушая работоспособности инфицированного компьютера. Яркие представители этой группы - организаторы DDoS-атак.
Читайте также: