Классификация вирусов и вредоносного программного обеспечения

Обновлено: 04.05.2024

o К вредоносным программам (иначе называемым разрушающими программными воздействиями, malware) относятся компьютерные вирусы и программные закладки.

o Впервые термин компьютерный вирус ввел в употребление специалист из США Ф.Коэн в 1984 г.

Автономно функционирующая программа, обладающая одновременно тремя свойствами:

o способностью к включению своего кода в тела других файлов и системных областей памяти компьютера;

o последующему самостоятельному выполнению;

o самостоятельному распространению в компьютерных системах.

Внешняя или внутренняя по отношению к атакуемой компьютерной системе программа, обладающая определенными разрушительными функциями по отношению к этой системе.

Классификация компьютерных вирусов

  1. По способу распространения в компьютерной системе:

n файловые вирусы, заражающие файлы одного или нескольких типов;

n загрузочные вирусы, заражающие загрузочные сектора жестких дисков и дискет;

n комбинированные вирусы, способные заражать и файлы, и загрузочные сектора дисков.

  1. По способу заражения других объектов компьютерной системы:

n резидентные вирусы, часть кода которых постоянно находится в оперативной памяти компьютера и заражает другие объекты;

n нерезидентные вирусы, которые заражают другие объекты в момент открытия уже зараженных ими объектов.

n неопасные вирусы, создающие различные звуковые и видеоэффекты;

n опасные и очень опасные вирусы, вызывающие сбои в работе программного и (или) аппаратного обеспечения компьютера, потерю программ и данных, а потенциально – вывод из строя аппаратуры КС и нанесение вреда здоровью пользователей.

n вирусы-спутники, создающие для заражаемых файлов одноименные файлы с кодом вируса и переименовывающие исходные файлы (при открытии зараженного файла фактически открывается файл с кодом вируса, в котором после выполнения предусмотренных автором действий открывается исходный файл);

n паразитические вирусы, которые обязательно изменяют содержимое заражаемых объектов;

n вирусы-призраки (полиморфные вирусы), каждая следующая копия которых в зараженных объектах отличается от предыдущих (не содержит одинаковых цепочек команд за счет применения шифрования на различных ключах базового кода вируса).

Защита от руткитов

o Существующие сегодня специализированные программы, предназначенные для обнаружения руткитов, и традиционные антивирусы не дают стопроцентной гарантии безопасности.

o Обладая исходным кодом этих программ, можно создать любые модификации руткитов или включить часть кода в любую шпионскую программу.

o Главная цель руткитов не прочно закрепиться в системе, а проникнуть в нее.

Предотвращение внедрения программных закладок

o Минимизация времени работы в системе с полномочиями администратора.

o Создание отдельной учетной записи для работы в Интернете (с минимальными правами: запуск браузера и сохранение файлов в выделенной папке).

o Осмотрительная работа с почтовыми и офисными программами и др.

Методы предупреждения вирусного заражения

o физическое или логическое (для отдельных учетных записей) отключение накопителей для съемных дисков;

o разграничение прав отдельных пользователей и групп на доступ к папкам и файлам операционной системы и других пользователей;

o ограничение времени работы в компьютерной системе привилегированных пользователей;

o использование, как правило, только лицензионного программного обеспечения, приобретенного у официальных представителей фирм-правообладателей;

o выделение не подсоединенного к локальной сети компьютера для тестирования полученного из ненадежных источников программного обеспечения;




o использование встроенной в Microsoft Office защиты от потенциально опасных макросов, разрешающей в зависимости от установленного уровня выполнение макросов, содержащихся в документах из надежных расположений, подписанных доверенными издателями или разрешенных пользователем после получения соответствующего предупреждения.


Виды вирусов

Вирус. Если просто, то это самовоспроизводящийся программный код, который внедряется в установленные программы без согласия пользователя. Вирусы можно разделить по типу объектов, которые они заражают, по методам заражения и выбора жертв. Вирусы можно подцепить разными способами: от нажатия вредоносной ссылки или файла в неизвестном письме до заражения на вредоносном сайте. При этом вирус может выполнять множество разных задач, направленных в первую очередь на принесение вреда операционной системе. В настоящее время вирусы довольно редки, так как создатели вредоносов стараются держать свои программы и их распространение под контролем. В противном случае вирус довольно быстро попадает в руки антивирусных компаний.

Червь. Черви являются в некотором роде вирусами, так как созданы на основе саморазмножающихся программ. Однако черви не могут заражать существующие файлы. Вместо этого червь поселяется в компьютер отдельным файлом и ищет уязвимости в Сети или системе для дальнейшего распространения себя. Черви также могут подразделяться по способу заражения (электронная почта, мессенджеры, обмен файлами и пр.). Некоторые черви существуют в виде сохраненных на жестком диске файлов, а некоторые поселяются лишь в оперативной памяти компьютера.

Троян. По своему действию является противоположностью вирусам и червям. Его предлагают загрузить под видом законного приложения, однако вместо заявленной функциональности он делает то, что нужно злоумышленникам. Троянцы получили свое название от одноименного печально известного мифологического коня, так как под видом какой-либо полезной программы или утилиты в систему проникает деструктивный элемент. Трояны не самовоспроизводятся и не распространяются сами по себе. Однако с увеличением вала информации и файлов в Интернете трояна стало довольно легко подцепить. Нынешние трояны эволюционировали до таких сложных форм, как, например, бэкдор (троян, пытающийся взять на себя администрирование компьютера) и троян-загрузчик (устанавливает на компьютер жертвы вредоносный код).

Руткит. В современном мире руткит представляет собой особую часть вредоносных программ, разработанных специально, чтобы скрыть присутствие вредоносного кода и его действия от пользователя и установленного защитного программного обеспечения. Это возможно благодаря тесной интеграции руткита с операционной системой. А некоторые руткиты могут начать свою работу прежде, чем загрузится операционная система. Таких называют буткитами. Однако, как бы ни развивался этот тип вредоносов, сложные современные антивирусные программы в состоянии обнаружить и обезвредить практически все существующие разновидности руткитов.

Бэкдор (средство удаленного администрирования). Бэкдор, или RAT (remote administration tool), — это приложение, которое позволяет честному системному администратору или злобному злоумышленнику управлять вашим компьютером на расстоянии. В зависимости от функциональных особенностей конкрентного бэкдора, хакер может установить и запустить на компьютере жертвы любое программное обеспечение, сохранять все нажатия клавиш, загружать и сохранять любые файлы, включать микрофон или камеру. Словом, брать на себя контроль за компьютером и информацией жертвы.

Загрузчик. Эта зараза является небольшой частью кода, используемой для дальнейшей загрузки и установки полной версии вредоноса. После того как загрузчик попадает в систему путем сохранения вложения электронного письма или, например, при просмотре зараженной картинки, он соединяется с удаленным сервером и загружает весь вредонос.

Для начала знакомства с разновидностями вредоносных программ вполне достаточно. Зная врага в лицо, уже легче находиться в безопасности и использовать правильные методы защиты от него. Единственное, в чем надо убедиться, так это в том, что вы используете правильное защитное ПО.

обеспечение, в результате действия которого в компьютерной системе осуществляются непредусмотренные пользователем действия, наносящие вред ему или другим субъектам.

Угрозы безопасности компьютерных систем, которые могут быть реализованы вследствие воздействия вредоносного программного обеспечения, в самом общем виде можно представить следующим образом:

• нарушение целостности, доступности и конфиденциальности информации, хранящейся и обрабатываемой в компьютерной системе;

• нештатное поведение аппаратных средств и программного обеспечения;

• использование компьютерной системы в интересах злоумышленников.

К вредоносному программному обеспечению относятся:

• классические компьютерные вирусы (Vuruses);

• сетевые черви (Worms);

• троянские программы (Trojans);

• программы-шпионы (Spy Ware);

• логические бомбы (Logic Bomb);

• почтовые (кластерные) бомбы;

• другие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Компьютерный вирус – самовоспроизводящаяся программа (или сегмент кода), которая может присоединяться к другим программам и файлам, способная приводить к нарушению целостности и доступности информации путем ее уничтожения, модификации или блокирования, а также вызывать снижение эффективности работы или повреждение компьютерной системы. Компьютерные вирусы могут распространять свои копии по

ресурсам локального компьютера с целью последующего запуска своего кода при каких-либо действиях пользователя.

Компьютерные вирусы не могут самостоятельно распространяться в компьютерных сетях (в отличие от сетевых червей). Для заражения компьютера вирусом необходима его активация, что возможно, например, при копировании на компьютер зараженных файлов с носителя или при запуске зараженного вирусом вложения к электронному письму.

Сетевой червь – программа, способная к самораспространению путем многократного самокопирования и передаче в компьютерных сетях. Черви используют для своего распространения компьютерные и мобильные сети так же, как вирусы используют файлы, и могут рассматриваться как разновидность компьютерных вирусов. Одной из отличительных особенностей сетевых червей является возможность их чрезвычайно

быстрого распространения, что может приводить к массовым компьютерным вирусным эпидемиям. Основной путь распространения сетевых червей – электронная почта (почтовые черви – mail worms), но также черви могут использовать файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (смартфонами, карманными компьютерами) и т. д.




приносящие вреда зараженному компьютеру, но наносящие ущерб удаленным компьютерным системам, как, например, троянские программы, разработанные для массированных DoS-атак (Denial of Service – отказ в обслуживании) на удалённые ресурсы сети. Как и черви, троянские программы иногда рассматриваются как отдельная разновидность компьютерных вирусов.

Программы-шпионы – программы, предназначенные для скрытого сбора и передачи по компьютерным сетям информации о пользователе компьютера (вплоть до электронных почтовых адресов) и его действиях в сети (например, адреса посещаемых веб-сайтов и адреса электронной почты).

Программы-шпионы могут содержаться внутри исполняемых файлов или файлов данных и попадать в компьютер аналогично вирусам. Однако так как размер таких программ существенно превышает размер вирусов, то их скрытное размещение внутри других файлов часто затруднительно. Чаще всего шпионские программы содержатся в дистрибутивах программ и устанавливаются на компьютер при их установке, являясь, по существу, троянскими программами. Если при этом шпионская программа устанавливается как самостоятельная программа (с созданием собственной папки, регистрацией в реестре и т. д.), то она продолжает функционировать, даже при удалении программы, в дистрибутиве которой она была спрятана. Шпионские модули содержатся в таких широко распространенных программах, как Go!Zilla, ReGet, GetRight, CuteFTP, NetMonitor, NetCaptor, NetSonic и др..

Логическая бомба − программа, выполняемая периодически или однократно в определенный момент времени при наступлении определенных условий. Целью логической бомбы является нарушение работы компьютерной системы, уничтожение, модификация или блокирование информации. Для запуска логической бомбы необходимо наступление определенного события: заданной даты, нажатие определенных клавиш или

также возможно внедрение логической бомбы в программу еще на этапе ее разработки.

Архивная бомба − специальный вид архива, предназначенный для нарушения работы компьютерной системы путем заполнения памяти большим количеством бесполезных данных, образующихся при их разархивировании. Переполнение диска может приводить к замедлению или приостановке работы компьютерной системы. Срабатывание архивной

бомбы на файловых или почтовых серверах, использующих какую-либо систему автоматической обработки входящей информации, может полностью блокировать их работу.

Можно выделить три типа архивных бомб :

• некорректный заголовок архива или испорченные данные в архиве, способные вызывать сбой при выполнении операции разархивирования;

• повторяющиеся данные в архивируемом файле большого размера, которые позволяют сильно сжать этот файл в архив малого размера (например, 5 Гбайт данных могут быть упакованы в 200КБ RAR-архива или в 480 Кбайт ZIP-архива);

• одинаковые файлы в архиве, обеспечивающие при использовании специальных методов архивации очень небольшой размер архива при большом размере разархивированного файла (например, существуют приемы упаковки 10100 одинаковых файлов в 30 Кбайт RAR или 230 Кбайт ZIP-архив).

Хакерские утилиты –программы-утилиты для организации атак на компьютерные системы, а также создания или совершенствования вредоносного программного обеспечения.

К вредоносному программному обеспечению могут быть отнесены и так называемые Ad Ware– программы, обеспечивающие вывод на экран информации рекламного характера, обычно представленной в виде всплывающих окон. Некоторые из таких программ способны выполнять и функции, свойственные шпионским про граммам, передавая информацию о персональных данных пользователя.

Вредоносные программы, прежде всего, троянские и шпионские программы и логические бомбы могут рассматриваться как программные закладки.

Программная закладка − это программа или фрагмент программы, скрытно внедряемый в компьютерную систему и позволяющий злоумышленнику, внедрившему его, осуществлять несанкционированный доступ к тем или иным ресурсам компьютерной системы или выполнять иные функции.

Отдельным и весьма специфическим классом вредоносного программного обеспечения являются мобильные вирусы, действующие в сотовых сетях связи и обладающие рядом существенных особенностей.

Поэтому мобильные вирусы более целесообразно рассматривать как одну из угроз сетям связи, а не компьютерным системам.

Основными причинами создания и распространения вредоносного программного обеспеченияявляются хулиганство, стремление к получению материальной выгоды (например, путем кражи персональных данных:

паролей, кодов доступа к банковским активам и т. п.), а также шпионаж,

основанный на получении несанкционированного доступа к конфиденциальной информации. Некоторые виды вредоносного программного обеспечения, например,

логические бомбы, в принципе, могут быть использованы для нанесения

ущерба путем нарушения работы компьютерных систем или серьезного нарушения информационной безопасности.

По назначению, поведению и деструктивными возможностямивредоносное программное обеспечение может быть представлено тремя основными типами .

1. Деструктивное программное обеспечение, представляющее

существенную угрозу для функционирования компьютерных систем и хранящейся и обрабатываемой в них информации:

1) вирусы, заражающие исполняемые файлы операционной системы;

2) черви, распространяющиеся в компьютерных сетях;

3) деструктивные троянские программы, уничтожающие или модифицирующие данные;

5) троянские шпионские программы, отслеживающие и фиксирующие действия пользователя компьютера, например, нажимаемые на клавиатуре клавиши, запускаемые приложения и т. д.;

6) троянские программы, пересылающие информацию, хранящуюся и обрабатываемую в компьютере;

7) логические бомбы, запускаемые при выполнении определенных условий и осуществляющие те или иные деструктивные действия;

8) архивные и почтовые бомбы, действие которых приводит к нарушению работы компьютерных систем, в частности, систем электронной почты;

9) хакерские утилиты, предназначенные для взлома атакуемых компьютерных систем.

2. Нежелательное программное обеспечение, не несущее непосредственной угрозы для компьютерных систем, но выполняющее непредусмотренные и, как правило, нежелательные для пользователя действия. Такими действиями может быть использование ресурсов компьютерной системы в чужих интересах, вывод на экран монитора рекламной информации (например, в виде всплывающих окон) и иные

К нежелательному программному обеспечению относятся :

3. Рискованное программное обеспечение– легальное программное обеспечение, используемое в злоумышленных целях:

1) утилиты удаленного администрирования;

2) утилиты предоставления сетевого сервиса – proxy-серверы, FTP- серверы и т. д.;


Компьютеры Windows и Mac, ноутбуки, смартфоны и планшеты находятся под постоянной угрозой заражения растущим количеством вредоносных программ и других угроз безопасности.

В качестве первого шага для защиты своих устройств и своих действий в Интернете стоит убедиться, что вы хорошо осведомлены об основных категориях вредоносного ПО и других угроз.


Что такое вредоносное ПО?

Под вредоносной программой подразумевается любая программа, созданная для выполнения любого несанкционированного — и, как правило, вредоносного — действия на устройстве пользователя. Примеры вредоносных программ: Компьютерные вирусы

  • вирусы;
  • макровирусы для Word и Excel;
  • загрузочные вирусы;
  • скрипт-вирусы, включая batch-вирусы, заражающие оболочку ОС Windows, Java-приложения и т.д.;
  • клавиатурные шпионы;
  • программы для кражи паролей;
  • троянцы-бэкдоры;
  • crimeware — вредоносные программы, созданные для автоматизации совершения финансовых преступлений;
  • шпионские программы;
  • рекламные программы и другие типы вредоносных программ

Чем вирус отличается от червя?

Компьютерные вирусы это вредоносные программы, которые могут воспроизводить сами себя и заражать файл за файлом на компьютере, а также может распространяться с одного компьютера на другой.

Обычно компьютерные вирусы запрограммированы на выполнение разрушающих действий, таких как повреждение или удаление данных.

Чем дольше вирус остается необнаруженным на компьютере, тем больше файлов он заразит.

Черви, как правило, считаются разновидностью компьютерных вирусов, но с некоторыми отличиями:

Червь – это вредоносная программа, которая многократно копирует сама себя, но не наносит прямого вреда безопасности.

Червь, однажды попавший на компьютер, будет искать способы распространения на другие компьютеры и носители.

Если вирус является фрагментом программного кода, добавляющимся к обычным файлам, червь – это самостоятельная программа.

Что такое троянская программа?

Троянская программа— разновидность вредоносного ПО, проникающая в компьютер под видом легального программного обеспечения и после своего запуска выполняющая вредоносные действия.

В отличие от вирусов и червей троянские программы не умеют распространяться самостоятельно.

Как правило, троянцы тайно загружаются в компьютер пользователя и начинают осуществлять несанкционированные им вредоносные действия.

Киберпреступники используют множество троянских программ разных типов, каждый из которых предназначен для выполнения особой вредоносной функции. Наиболее распространены:

  • Бэкдоры (в их состав часто входят программы-кейлоггеры);
  • троянские шпионские программы;
  • троянские программы для кражи паролей;
  • троянские прокси-серверы, которые преобразуют ваш компьютер в средство распространение спама.

В греческой мифологии во время Троянской войны греки пошли на хитрость, чтобы проникнуть в город Трою. Они построили огромного деревянного коня и преподнесли его в подарок жителям Трои, а те, не зная, что внутри коня находились греческие воины, внесли коня в город.

Ночью греки покинули коня и открыли городские ворота, чтобы греческое войско смогло войти в Трою.

Сегодня в троянских программах применяются различные трюки для того, чтобы они могли проникнуть на устройства ничего не подозревающих пользователей.

Что такое клавиатурный шпион?

Клавиатурный шпион, или кейлоггер, — это программа, которая записывает все нажатия клавиш на клавиатуре зараженного компьютера.

Киберпреступники используют клавиатурные шпионы для кражи конфиденциальных данных, наприме, имен пользователей, паролей, номеров и PIN-кодов кредитных карт, а также прочих сведений. Как правило, кейлоггеры входят в состав бэкдоров.

Что такое фишинг?

Фишинг — это особый вид компьютерных преступлений, который заключается в том, чтобы обманом заставить пользователя раскрыть ценную информацию, например сведения о банковском счете или кредитных картах.

Как правило, киберпреступники создают фальшивый сайт, который выглядит так же, как легальный, например официальный сайт банка.

При посещении фальшивого сайта, как правило, предлагается ввести конфиденциальные данные, например имя пользователя, пароль или PIN-код.

Что такое шпионская программа?

Шпионские программы предназначены для сбора данных и их отправки стороннему лицу без уведомления или согласия пользователя. Как правило, шпионские программы:

  • отслеживают, какие клавиши пользователь нажимает на клавиатуре;
  • собирают конфиденциальную информацию, такую как пароли, номера кредитных карт, номера PIN и т.д.;
  • собирают адреса электронной почты с компьютера пользователя;
  • запоминают наиболее посещаемые вами веб-страницы.

Кроме возможного ущерба при доступе киберпреступников к этому типу информации, шпионская программа также отрицательно влияет на производительность компьютера.

Что такое drive-by загрузка?

При drive-by загрузке заражение компьютера происходит при посещении веб-сайта, содержащего вредоносный код.

Киберпреступники ведут в интернете поиск уязвимых серверов, которые можно взломать. Когда уязвимый сервер найден, киберпреступники могут разместить свой вредоносный код на веб-страницах сервера.

Если операционная система компьютера или одно из приложений, работающих на компьютере, имеет незакрытую уязвимость, вредоносная программа автоматически загрузится на компьютер при посещении зараженной веб-страницы.

Что такое руткит?

Руткиты — это программы, используемые хакерами для предотвращения обнаружения при попытке получить несанкционированный доступ к компьютеру.

Очень часто руткиты используются в качестве прикрытия действий троянской программы.

При установке на компьютер руткиты остаются невидимыми для пользователя и предпринимают действия, чтобы вредоносные программы не были обнаружены антивирусным программным обеспечением.

Благодаря тому, что многие пользователи входят в систему компьютера с правами администратора, а не создают отдельную учетную запись с ограниченными правами, киберпреступнику проще установить руткит.

Что такое Adware?

Рекламные программы используются либо для запуска рекламных материалов (например, всплывающих баннеров) на компьютере, либо для перенаправления результатов поиска на рекламные веб-сайты.

Рекламные программы часто встраиваются в бесплатные или в условно-бесплатные программы.

При загрузке бесплатной или условно-бесплатной программы в систему без уведомления или согласия пользователя может быть установлена рекламная программа.

В некоторых случаях рекламная программа скрытым образом загружается с веб-сайта и устанавливается на компьютере пользователя троянцем.

Если у вас установлена не последняя версия веб-браузера, хакеры могут воспользоваться его уязвимостями, используя специальные инструменты (Browser Hijackers), которые могут загрузить рекламную программу на компьютер.

Browser Hijackers могут изменять настройки браузера, перенаправлять неправильно или не полностью набранные URL-адреса на специальный сайт или поменять домашнюю страницу, загружающуюся по умолчанию.

Они также могут перенаправлять результаты поиска в интернете на платные и порнографические веб-сайты.

Что такое ботнет?

Ботнет — это сеть компьютеров, контролируемых киберпреступниками с помощью троянской или другой вредоносной программы.

Хакеры добиваются этого несколькими способами, например, отправляют серверу такое количество запросов, которые он не в состоянии обработать.

Работа сервера будет замедлена, веб-страницы будут открываться намного дольше, и сервер может совсем выйти из строя, в результате чего все веб-сайты на сервере будут недоступны.

Как правило, киберпреступник взламывает главный компьютер и все зомби-компьютеры, используя уязвимость в приложениях для установки троянской программы или другого компонента вредоносного кода.

Статьи и ссылки по теме:

Продукты:

Вредоносное ПО вирусы и другие угрозы в Интернете -- Часто задаваемые вопросы

Для защиты своих устройств и обеспечения безопасной работы в интернете прежде всего необходимо хорошо знать основные категории вредоносных программ.

Избранные статьи

content/ru-ru/images/repository/isc/2021/incognito_mode_image1_1130460088_670x377px_300dpi.jpg

Режим инкогнито и режим конфиденциального просмотра: что это такое и как ими пользоваться?

content/ru-ru/images/repository/isc/2021/lower_ping_image1_1081095182_670x377px_300dpi.jpg

Как снизить пинг и оптимизировать скорость онлайн-игр

Как очистить кеш и удалить файлы cookie в различных браузерах

content/ru-ru/images/repository/isc/2021/internet-laws-1.jpg

Что представляют собой отдельные законы об интернете и безопасности данных?

content/ru-ru/images/repository/isc/2021/cyber-hygiene-habits-1.jpg

Соблюдение кибергигиены поможет обеспечить безопасность в сети

Продукты для дома

Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.

Бесплатные утилиты

Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.

Связаться с нами

Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.

О компании

Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.

Пробные версии

Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.

Сувенирный портал Lab Shop

Читайте также: