Описание вирусов по имени
Обновлено: 12.05.2024
Ваши запросы
Свяжитесь с нами Незакрытые запросы:
Переключение языка сайта
Технологии
Термины
- Классификация Dr.Web именований вирусов
- Типы вирусов
- Вредоносные программы
- Нежелательные и потенциально опасные программы
- Нежелательные и потенциально опасные элементы
- Глоссарий
Обучение и просвещение
HLL-вирусы и черви
В данную группу объединяют вирусы и черви, написанные на языках программирования высокого уровня (High Level Languages), таких как С, С++, Pascal, Basic и других. Выделяют 5 классов таких угроз:
| Классы | Описание | |
|---|---|---|
| 1 | HLLC (High Level Language Companion) | Вредоносная программа-компаньон, которая использует алгоритм инфицирования, базирующийся на манипуляции именами файлов в файловой системе. HLLC-вирус, как правило, переименовывает оригиналы исполняемых файлов (или перемещает их в другие папки), а затем использует оригинальные названия для создания вирусных копий. Пример: Win32.HLLC.Kitty, HLLC.3431. |
| 2 | HLLO (High Level Language Overwriting) | Вредоносная программа, которая перезаписывает содержимое файла-жертвы. Пример: HLLO.Cruel, Win32.HLLO.Blop. |
| 3 | HLLP (High Level Language Parasitic) | Паразитическая вредоносная программа, которая заражает исполняемые файлы, не повреждая их данные. Пример: HLLP.4214, Win32.HLLP.Coler.17. |
| 4 | HLLM (High Level Language MassMailing Worm) | Вредоносная программа-червь, рассылающая себя по электронной почте. Пример: Win32.HLLM.MailSpamer. |
| 5 | HLLW (High Level Language Worm) | Вредоносная программа-червь, которая для распространения использует компьютерные сети или съемные носители. Пример: HLLW.Duke.8820, Win32.HLLW.Flame. |
Троянские программы
BackDoor. — разновидность троянских программ, которые содержат функции удаленного управления. Эти многофункциональные трояны позволяют злоумышленникам дистанционно контролировать зараженные устройства и выполнять на них различные действия без согласия пользователей.
Пример: BackDoor.Dande, Mac.BackDoor.Siggen.20, Linux.BackDoor.Wirenet.1.
PWS. — троянские программы, которые воруют логины и пароли, а иногда и другую конфиденциальную информацию.
Пример : Trojan.PWS.Turist, Android.PWS.3. IPhoneOS.PWS.Stealer.
Encoder. — класс троянских приложений-вымогателей (энкодеры, шифровальщики), которые шифруют файлы на атакованных устройствах и требуют выкуп за их расшифровку.
Пример: Trojan.Encoder.68, Linux.Encoder.1, Android.Encoder.3.origin.
Winlock. — класс вредоносных программ-вымогателей, которые нарушают работу ОС Windows, блокируют компьютеры и вымогают у пользователей деньги за восстановление работоспособности устройств.
Пример: Trojan.Winlock.5490.
Siggen. — вредоносные программы с самым разнообразным набором функций, из-за чего их сложно выделить в какой-либо конкретный подкласс троянов.
Пример: Trojan.Siggen10.1563, Android.Siggen.8895.
MulDrop. — класс троянских приложений, которые скрывают в себе (часто в зашифрованном виде) другое вредоносное или нежелательное ПО. Используются для его распространения и установки в обход антивирусов и незаметно для пользователей.
Пример: Trojan.MulDrop13.32284, Android.MulDrop.924, Linux.MulDrop.14.
DownLoader. — троянские программы, основная функция которых – загрузка, установка и запуск вредоносного, рекламного и другого ненужного ПО на атакуемых устройствах.
Пример: Trojan.DownLoader34.3812.
DownLoad. — то же, что и трояны класса DownLoader.
Пример: Trojan.DownLoad.57289.
Inject. — троянские программы, встраивающие вредоносный код в процессы других приложений.
Пример: Trojan.Inject2.62347.
Keylogger. — троянские программы-шпионы, отслеживающие нажатия клавиш на клавиатуре и перехватывающие вводимые символы.
Пример: Trojan.KeyLogger.20146.
KillProc. — трояны, основная задача которых – завершение процессов других приложений. В зависимости от семейства, версии, модификации и поставленной задачи могут атаковать самые разные процессы – как системные, так и пользовательские.
Пример: Trojan.KillProc.12769.
Packed. — категория троянов, защищенных программными упаковщиками для снижения эффективности обнаружения их антивирусами. Без упаковщика у таких вредоносных приложений может быть другое имя детектирования.
Пример: Trojan.Packed.1198, Android.Packed.15893, Linux.Packed.483.
AVKill. — трояны, атакующие антивирусы. Они могут нарушать работу их отдельных компонентов, повреждать файлы или полностью удалять из системы.
Пример: Trojan.AVKill.2942.
BtcMine. — троянские программы, предназначенные для майнинга (добычи) различных криптовалют. Они используют вычислительные мощности заражаемых устройств, замедляя их работу, вызывая перегрев и перерасход электроэнергии.
Пример: Trojan. Trojan.BtcMine.737, Trojan.BtcMine.1259.
Silly-вирусы
Вирусы для операционных систем семейства MS-DOS, которые не обладают какими-либо особенными характеристиками (такими как текстовые строки, воспроизводимые специальные эффекты и т. д.), что не позволяет присвоить им индивидуальные названия.
- SillyC. — нерезидентные в памяти вирусы, объектами поражения которых являются только COM-файлы;
- SillyE. — нерезидентные в памяти вирусы, объектами поражения которых являются только EXE-файлы;
- SillyCE. — нерезидентные в памяти вирусы, объектами поражения которых являются только COM- и EXE-файлы;
- SillyRC. — резидентные в памяти вирусы, объектами поражения которых являются только COM-файлы;
- SillyRE. — резидентные в памяти вирусы, объектами поражения которых являются только EXE-файлы;
- SillyRCE. — резидентные в памяти вирусы, объектами поражения которых являются только COM- и EXE-файлы;
- SillyO. — нерезидентные в памяти вирусы, которые перезаписывают файлы;
- SillyOR. — резидентные в памяти вирусы, которые перезаписывают файлы.
Макровирусы
В данную группу объединяют вирусы, использующие особенности файлов офисных программ, а также встроенные макроязыки данных приложений. Группа содержит 6 классов вирусов.
| Классы | Описание | |
|---|---|---|
| 1 | P98M. | Инфицируют документы и шаблоны MS PowerPoint 98. |
| 2 | W97M. | Инфицируют документы и шаблоны MS Word 8.0–9.0 (MS Office 97/2000). |
| 3 | X97M. | Инфицируют документы MS Excel 8.0–9.0 (MS Office 97/2000). |
| 4 | O97M. | Инфицируют одновременно несколько типов файлов MS Office. |
| 5 | A97M. | Инфицируют базы данных MS Access 97/2000. |
| 6 | StarOffice. | Инфицируют файлы офисного пакета StarOffice, предназначенного для операционных систем Solaris, Microsoft Windows, Linux, macOS. |
Вредоносные скрипты
В данную группу объединяют угрозы, написанные на различных интерпретируемых языках. Вредоносные скрипты разделяют на следующие классы:
| Классы | Описание | |
|---|---|---|
| 1 | VBS. | Написаны на языке программирования Visual Basic Script. |
| 2 | JS. | Написаны на языке программирования Java Script. |
| 3 | Wscript. | Написаны на языке программирования Windows Script. |
| 4 | HTML. | Написаны на языке программирования HTML. |
| 5 | Perl. | Написаны на языке программирования Perl. |
| 6 | PHP. | Написаны на языке программирования PHP. |
| 7 | Python. | Написаны на языке программирования Python. |
| 8 | IRC. | Конфигурационные файлы IRC-клиентов, позволяющие злоумышленникам удаленно производить различные вредоносные действия, передавая команды по протоколу IRC. |
| 9 | Java. | Написаны на языке программирования Java в виде class-файлов. |
| 10 | BAT. | Написаны на языке командного интерпретатора MS-DOS и ОС Windows. |
| 11 | LUA. | Написаны на языке программирования Lua. |
| 12 | PowerShell. | Написаны на языке сценариев командной оболочки PowerShell в ОС Windows. |
Узкоспециализированное вредоносное ПО
В данную группу объединяют угрозы, которые инфицируют файлы определенных программ или используют их ресурсы при атаках. Выделяют несколько классов узкоспециализированных вредоносных приложений:
| Классы | Описание | |
|---|---|---|
| 1 | ACAD. | Вредоносные программы, написанные на языке AutoLISP и заражающие скрипты приложения AutoCAD. |
| 2 | AutoLisp. | Вредоносные программы, написанные на языке AutoLISP. |
| 3 | SWF. | Вредоносные flash-файлы, работающие на платформе Adobe Flash Player. |
| 4 | 1C. | Вредоносные программы, написанные на встроенном языке программирования 1С. |
Суффиксы
ПО для проведения DoS-атак
Потенциально опасное и нежелательное ПО
В данную группу объединяют программы, которые представляют потенциальную опасность и в определенных случаях могут быть нежелательными (например, если были установлены без разрешения пользователя или путем обмана). Они не являются вредоносными и неспособны к самовоспроизведению (не относятся к разряду вирусов).
| Классы | Описание | |
|---|---|---|
| 1 | Adware. | Программное обеспечение, демонстрирующее рекламу на устройствах пользователей без их согласия. Пример: Adware.Adshot, Adware.GameVance.11, Adware.Adpush.36.origin. |
| 2 | Dialer. | Программы, которые используют модемное (телефонное) соединение для подключения пользователей к Интернету или доступу к определенным сайтам. В зависимости от типа могут применяться как по прямому назначению, так и для незаконного подключения жертв к дорогостоящим телефонным линям и номерам с повышенной тарификацией. Пример: Dialer.Xnet, Dialer.Premium.195. |
| 3 | Joke. | Программы-шутки. Могут имитировать действия вредоносных программ, пугать пользователей, неожиданно показывать окна или изображения, воспроизводить музыку и звуки, менять настройки системы и т. д. Пример: Joke.Horror, Joke.Slidescreen, Joke.Matrix, |
| 4 | Program. | Нежелательные программы с сомнительной функциональностью, которые тем или иным образом способны навредить пользователям. Например, они могут изменять настройки операционной системы и других программ, демонстрировать вводящие в заблуждение уведомления, рекламу, устанавливать ПО и т. п. Пример: Program.VNCRemote.1, Program.Unwanted.663. |
| 5 | Tool. | Потенциально опасные программы и хакерские утилиты. Не являются вредоносными и могут применяться как пользователями в повседневных задачах, так и злоумышленниками для совершения атак. Использование таких приложений без специальных знаний или подготовки может привести к потере данных, изменению настроек системы и другим непредвиденным последствиям. Пример: Tool.Rooter, Tool.BtcMine.810, Tool.PassView.1832. |
Угрозы для различных ОС
В данную группу объединяют вирусы и прочие вредоносные приложения, разработанные для определенных операционных систем (ОС) и программных платформ. В зависимости от типа атакуемой системы выделяют следующие классы угроз:
| Классы | Описание | |
|---|---|---|
| 1 | Android. | Для ОС Android (мобильная ОС). |
| 2 | BeOS. | Для операционной системы BeOS. |
| 3 | FreeBSD. | Для операционной системы FreeBSD. |
| 4 | IPhoneOS. | Для операционной системы iOS (мобильная ОС). |
| 5 | Linux. | Вирусы, которые заражают исполняемые файлы операционных систем семейства Linux, а также другие вредоносные программы, предназначенные для работы в этих системах. |
| 6 | Mac. | Для операционной системы macOS. |
| 7 | MeOS. | Для операционной системы MeOS. |
| 8 | OS2. | Поражают исполняемые файлы (LX) операционной системы OS/2. |
| 9 | SunOS. | Для ОС SunOS (Solaris). |
| 10 | Symbian. | Для операционной системы Symbian OS (мобильная ОС). |
| 10 | Win. | Вирусы, которые поражают 16-битные исполняемые файлы (NE) в ОС Windows (NewExe — формат исполняемых файлов операционной системы Windows 3.xx). Некоторые из них могут работать не только в ОС Windows 3.xx, но также и в ОС Windows 95/98. |
| 12 | Win95. | Вирусы, поражающие 32-битные исполняемые файлы (PE и LE(VxD)) операционных систем Windows 95/98. |
| 13 | Win98. | Для операционной системы Windows 98. |
| 14 | Win2K. | Для операционной системы Windows 2000. |
| 15 | Win9x. | Вирусы, предназначенные для работы в ОС семейства Windows 95/98, ME. |
| 16 | Win32. | Вирусы, которые заражают 32-битные исполняемые файлы (PE) операционных систем Windows 95/98/NT. Кроме того, к этому классу относят и другие вредоносные программы, работающие в среде 32-битных ОС семейства Windows. |
| 17 | Win32/Linux. | Кросс-платформенные вирусы, способные одновременно заражать EXE- и ELF-файлы программ для операционных систем Windows и Linux. |
| 18 | Win64. | Для 64-разрядных версий ОС Windows. |
| 19 | WinCE. | Вирусы и другие вредоносные программы для операционных систем WinCE и Windows Mobile (мобильные ОС). |
Инструменты создания вредоносного ПО
| 1 | VirusConstructor. | Специализированные программы-конструкторы для создания вирусов по заранее заготовленным шаблонам. Пример: VirusConstructor.SHVK.12, VirusConstructor.MCK, VirusConstructor.Vbwcg. |
| 2 | .Generator | Конструкторы, генерирующие готовые вирусы. Пример: Energy.Generator.23, Snakebyte.Generator.45, Pbox.Generator. |
| 3 | Constructor. | Утилиты, позволяющие создавать вредоносные программы (троянов, червей и т. п.) с определенными параметрами и функциями, выбираемыми злоумышленниками. Пример: Constructor.Siggen. |
Эксплойты
Exploit. — данные или программный код, предназначенные для эксплуатации уязвимостей в операционных системах или в определенных приложениях.
Petya, Misha, WannaCry, Friday 13th, Anna Kournikova… Имена компьютерных вирусов, вызвавших настоящие эпидемии в сети, долго остаются на слуху. Их постоянно повторяют СМИ, как правило, не вдаваясь в технические подробности и путая модификации между собой.
А вы когда-нибудь интересовались, как и кто дает имена вирусам? Ведь компьютерных зловредов много, их миллионы, и все надо как-то называть. Под катом — краткий экскурс в нейминг вирусов, троянов и прочей компьютерной нечисти.
Итак, чем же люди руководствуются, давая названия обнаруженным зловредам?
Имена-классификаторы
Имена-классификаторы могут отличаться от лаборатории к лаборатории. Вот, например, картинка из единой базы вирусов VirusTotal, демонстрирующая результаты проверки одного зловреда и его названия у различных производителей антивирусного ПО.
Очевидно, что при поиске информации о вирусе по его имени стоит указывать и конкретного вендора, продукт которого обнаружил данный вирус.
По расширениям файлов
По географическому принципу
По особенностям активации
(Примечание: картинка из к/ф Хакеры, оригинальное фото вируса не сохранилось.)
По способу распространения
Способов распространения вирусов предостаточно. И иногда конкретная реализация становится источником вдохновения для аналитиков, когда они дают вирусу название.
Имя образца: ILOVEYOU(LoveLetter).
Назначение: бесконтрольная саморепликация.
Тип: почтовый червь.
Дата начала эпидемии: 4 мая 2000 года.
Ущерб: 3 миллиона компьютеров по всему миру заражено, 10-15 миллиардов долларов ущерба. Рекордсмен книги рекордов Гиннеса как самый разрушительный компьютерный вирус в мире.
Описание: знаменитый вирус ILOVEYOU распространялся в почтовом вложении с названием “LOVE-LETTER-FOR-YOU.txt.vbs”.
Он рассылал себя по всем контактам жертвы и даже использовал IRC-каналы, создавая файл LOVE-LETTER-FOR-YOU.HTM в системном каталоге Windows. Первый вирус, использовавший социальную инженерию как основу для распространения. Использовал также то обстоятельство, что в то время в Windows обработка скриптов была включена по умолчанию, а расширение было по умолчанию скрыто.
Имя образца: Anna Kournikova.
Назначение: бесконтрольная саморепликация.
Тип: почтовый червь.
Дата начала эпидемии: 11 февраля 2011 года.
Ущерб: около 200 000 долларов.
Описание: названный в честь известной российской теннисистки и фотомодели, вирус распространялся в письме, где якобы находилось фото Анны. Однако во вложении была только вредоносная программа. Как и его предшественник ILOVEYOU, червь рассылал себя по контактам электронной почты и использовал социальную инженерию.
По случайному стечению обстоятельств
Благодаря маркетинговой компании разработчиков
Имя образца: Петя и Миша (братья, видимо).
Назначение: вирусы-вымогатели.
Тип: троянцы-шифровальщики.
Дата начала эпидемии: май 2016 года.
Ущерб: неизвестен.
Описание: у вирусов-шифровальщиков Petya и Misha были очень старательные разработчики. В Даркнете они устроили самую настоящую пиар-акцию своим продуктам!
Вначале был создан логотип, который по умолчанию был красным, но потом мигал, каждую секунду меняя цвета – с красного на зеленый и обратно.
Потом был проведен ребрендинг, череп стал только зеленым, и к нему добавили еще и мини-логотипы вирусов.
Для чего хакеры всё это делали?
Резюме
Ежедневно в мире появляется около полумиллиона новых модификаций вирусов. Большинство из них получают названия-классификаторы и останутся лишь в памяти антивирусного ПО. И только единицы получают уникальные имена. Почти стопроцентный способ оставить свой след в истории информационной безопасности, так ведь? Правда, перед тем, как насладиться известностью, придется отмотать свой срок =)
Пишите в комментарии, какие вирусы запомнились именно вам, и чем же они запомнились.
Поговорим о компьютерных вирусах? Нет, не о том, что вчера поймал ваш антивирус. Не о том, что вы скачали под видом инсталлятора очередного Photoshop. Не о rootkit-e, который стоит на вашем сервере, маскируясь под системный процесс. Не о поисковых барах, downloader-ах и другой малвари. Не о коде, который делает плохие вещи от вашего имени и хочет ваши деньги. Нет, всё это коммерция, никакой романтики…
В общем, для статьи вполне достаточно лирики, перейдем к делу. Я хочу рассказать о классическом вирусе, его структуре, основных понятиях, методах детектирования и алгоритмах, которые используются обеими сторонами для победы.
Мы будем говорить о вирусах, живущих в исполняемых файлах форматов PE и ELF, то есть о вирусах, тело которых представляет собой исполняемый код для платформы x86. Кроме того, пусть наш вирус не будет уничтожать исходный файл, полностью сохраняя его работоспособность и корректно инфицируя любой подходящий исполняемый файл. Да, ломать гораздо проще, но мы же договорились говорить о правильных вирусах, да? Чтобы материал был актуальным, я не буду тратить время на рассмотрение инфекторов старого формата COM, хотя именно на нем были обкатаны первые продвинутые техники работы с исполняемым кодом.
Начнём со свойств кода вируса. Чтобы код удобней было внедрять, разделять код и данные не хочется, поэтому обычно используется интеграция данных прямо в исполняемый код. Ну, например, так:
Все эти варианты кода при определенных условиях можно просто скопировать в память и сделать JMP на первую инструкцию. Правильно написав такой код, позаботившись о правильных смещениях, системных вызовах, чистоте стека до и после исполнения, и т.д., его можно внедрять внутрь буфера с чужим кодом.
- Куда положить вирус? Необходимо найти достаточно места, чтобы вирус туда поместился, записать его туда, по возможности не разломав файл и так, чтобы в области, в которой вирус окажется, было разрешено исполнение кода.
- Как передать управление на вирус? Просто положить вирус в файл недостаточно, надо еще совершить переход на его тело, а после завершения его работы вернуть управление программе-жертве. Или в другом порядке, но, в любом случае, мы же договорились не ломать ничего, да?
Исполняемый файл (PE или ELF) состоит из заголовка и набора секций. Секции – это выровненные (см. ниже) буферы с кодом или данными. При запуске файла секции копируются в память и под них выделяется память, причем совсем необязательно того объёма, который они занимали на диске. Заголовок содержит разметку секций, и сообщает загрузчику, как расположены секции в файле, когда он лежит на диске, и каким образом необходимо расположить их в памяти перед тем, как передать управление коду внутри файла. Для нас интересны три ключевых параметра для каждой секции, это psize, vsize, и flags. Psize (physical size) представляет собой размер секции на диске. Vsize (virtual size) – размер секции в памяти после загрузки файла. Flags – атрибуты секции (rwx). Psize и Vsize могут существенно различаться, например, если программист объявил в программе массив в миллион элементов, но собирается заполнять его в процессе исполнения, компилятор не увеличит psize (на диске содержимое массива хранить до запуска не нужно), а вот vsize увеличит на миллион чего-то там (в runtime для массива должно быть выделено достаточно памяти).
Флаги (атрибуты доступа) будут присвоены страницам памяти, в которые секция будет отображена. Например, секция с исполняемым кодом будет иметь атрибуты r_x (read, execute), а секция данных атрибуты rw_ (read,write). Процессор, попытавшись исполнить код на странице без флага исполнения, сгенерирует исключение, то же касается попытки записи на страницу без атрибута w, поэтому, размещая код вируса, вирмейкер должен учитывать атрибуты страниц памяти, в которых будет располагаться код вируса. Стандартные секции неинициализированных данных (например, область стека программы) до недавнего времени имели атрибуты rwx (read, write, execute), что позволяло копировать код прямо в стек и исполнять его там. Сейчас это считается немодным и небезопасным, и в последних операционных системах область стека предназначена только для данных. Разумеется, программа может и сама изменить атрибуты страницы памяти в runtime, но это усложняет реализацию.
Также, в заголовке лежит Entry Point — адрес первой инструкции, с которой начинается исполнение файла.
Необходимо упомянуть и о таком важном для вирмейкеров свойстве исполняемых файлов, как выравнивание. Для того чтобы файл оптимально читался с диска и отображался в память, секции в исполняемых файлах выровнены по границам, кратным степеням двойки, а свободное место, оставшееся от выравнивания (padding) заполнено чем-нибудь на усмотрение компилятора. Например, логично выравнивать секции по размеру страницы памяти – тогда ее удобно целиком копировать в память и назначать атрибуты. Даже вспоминать не буду про все эти выравнивания, везде, где лежит мало-мальски стандартный кусок данных или кода, его выравнивают (любой программист знает, что в километре ровно 1024 метра). Ну а описание стандартов Portable Executable (PE) и Executable Linux Format (ELF) для работающего с методами защиты исполняемого кода – это настольные книжки.
- поставить указатель точно на начало какой-нибудь инструкции (просто так взять рандомное место в исполняемой секции и начать дизассемблирование с него нельзя, один и тот же байт может быть и опкодом инструкции, и данными)
- определить длину инструкции (для архитектуры x86 инструкции имеют разные длины)
- переместить указатель вперед на эту длину. Мы окажемся на начале следующей инструкции.
- повторять, пока не решим остановиться
- Выбираем вкусный исполняемый файл (достаточно толстый, чтобы в него поместилось тело вируса, с нужным распределением секций и т.п.).
- Читаем свой код (код тела вируса).
- Берем несколько первых инструкций из файла-жертвы.
- Дописываем их к коду вируса (сохраняем информацию, необходимую для восстановления работоспособности).
- Дописываем к коду вируса переход на инструкцию, продолжающую исполнение кода-жертвы. Таким образом, после исполнения собственного кода вирус корректно исполнит пролог кода-жертвы.
- Создаем новую секцию, записываем туда код вируса и правим заголовок.
- На место этих первых инструкций кладем переход на код вируса.
Думаю, не надо описывать вам компоненты современного антивируса, все они крутятся вокруг одного функционала – антивирусного детектора. Монитор, проверяющий файлы на лету, сканирование дисков, проверка почтовых вложений, карантин и запоминание уже проверенных файлов – все это обвязка основного детектирующего ядра. Второй ключевой компонент антивируса – пополняемые базы признаков, без которых поддержание антивируса в актуальном состоянии невозможно. Третий, достаточно важный, но заслуживающий отдельного цикла статей компонент – мониторинг системы на предмет подозрительной деятельности.
Итак (рассматриваем классические вирусы), на входе имеем исполняемый файл и один из сотни тысяч потенциальных вирусов в нем. Давайте детектировать. Пусть это кусок исполняемого кода вируса:
- сокрытие кода самого вируса;
- сокрытие его точки входа.
Сокрытие точки входа (Entry Point Obscuring) в результате послужило толчком для появления в вирусных движках автоматических дизассемблеров для определения, как минимум, инструкций перехода. Вирус старается скрыть место, с которого происходит переход на его код, используя из файла то, что в итоге приводит к переходу: JMP, CALL, RET всякие, таблицы адресов и т.п. Таким образом, вирус затрудняет указание смещения сигнатуры.
Гораздо более подробно некоторые алгоритмы таких движков и детектора мы посмотрим во второй статье, которую я планирую написать в ближайшее время.
Рассмотренный в статье детектор легко детектирует неполиморфные (мономорфными их назвать, что ли) вирусы. Ну а переход к полиморфным вирусам является отличным поводом, наконец, завершить эту статью, пообещав вернуться к более интересным методам сокрытия исполняемого кода во второй части.
Шифрование – это преобразование данных в вид, недоступный для чтения. Шифрование является важным аспектом защиты данных.
Что такое ПНП?
Что такое потенциально нежелательные программы (ПНП) и как от них защититься? Как распознать ПНП и избежать заражения?
Что такое вредоносные программы с нулевым щелчком и как осуществляются атаки с нулевым щелчком?
Шпионские программы с нулевым щелчком используются для взлома, не требующего участия пользователя. Уязвимости для атак с нулевым щелчком, как осуществляются атаки с нулевым щелчком и как от них защититься.
Что такое цифровой след?
Цифровой след – это данные, которые вы оставляете при использовании интернета. В статье приведены примеры цифровых следов, активные и пассивные цифровые следы и способы защиты вашего цифрового следа.
Технологии WEP, WPA, WPA2 и WPA3: что это и в чем их различия?
Защита беспроводных сетей крайне важна для обеспечения безопасности. В чем разница между технологиями WEP и WPA, WPA2, WPA3? Типы защиты Wi-Fi и самая надежная защита Wi-Fi.
Что такое атака нулевого дня? Определение и описание
Что такое нулевой день и что такое уязвимости, эксплойты и атаки нулевого дня? В этой статье рассказывается о нулевом дне и об обнаружении и предотвращении атак нулевого дня.
Интернет-безопасность: что это и как сохранить безопасность в сети?
Интернет-безопасность – это безопасность в сети. В статье рассказывается о конфиденциальности и безопасности в интернете, типах интернет-атак и о том, как защитить данные в интернете.
Что такое руткит – определение и описание
Что такое руткит? Руткит – это вредоносная программа, позволяющая злоумышленникам контролировать целевые компьютеры. В этой статье описано, как обнаруживать и предотвращать руткиты, а также как избавиться от руткитов.
Что такое программа-вымогатель Maze? Определение и описание
Что такое программа-вымогатель Maze? Вредоносная программа Maze вымогает криптовалюту в обмен на украденные данные и угрожает утечкой данных, если жертва не заплатит.
Что такое автоматические звонки и как их предотвратить?
Что такое автоматические звонки? Автоматические звонки могут досаждать и даже обернуться мошенничеством. В этой статье описано, что происходит при ответе на автоматические звонки и как их предотвратить.
Избранные статьи
Что такое шифрование?
Что такое ПНП?
Что такое вредоносные программы с нулевым щелчком и как осуществляются атаки с нулевым щелчком?
Что такое цифровой след?
Технологии WEP, WPA, WPA2 и WPA3: что это и в чем их различия?
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
Связаться с нами
Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
Сувенирный портал Lab Shop
Одних только типов вредоносных программ известно великое множество. Но каждый тип состоит из огромного количества образцов, также отличающихся друг от друга. Для борьбы со всеми ними нужно уметь однозначно классифицировать любую вредоносную программу и легко отличить ее от других вредоносных программ.
Дерево классификации вредоносных программ
- типы поведения, представляющие наименьшую опасность, показаны в нижней области диаграммы;
- типы поведения с максимальной опасностью отображаются в верхней части диаграммы.
Многофункциональные вредоносные программы*
Отдельные вредоносные программы часто выполняют несколько вредоносных функций и используют несколько способов распространения; без некоторых дополнительных правил классификации это могло бы привести к путанице.
Несколько функций с одинаковым уровнем опасности
- Если вредоносная программа имеет несколько функций с одинаковым уровнем опасности (таких как Trojan-Ransom, Trojan-ArcBomb, Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, Trojan-Dropper, Trojan-IM, Trojan-Notifier, Trojan-Proxy, Trojan-SMS, Trojan-Spy, Trojan-Mailfinder, Trojan-GameThief, Trojan-PSW или Trojan-Banker), она классифицируется как троянская программа.
- Если у вредоносной программы есть несколько функций с одинаковым уровнем опасности, таких как IM-Worm, P2P-Worm или IRC-Worm, она классифицируется как червь.
Защитите свои устройства и данные от всех видов вредоносных программ.
Другие статьи и ссылки, связанные с вредоносными программами
*Эти правила применяются только к вредоносным программам и не учитывают Adware, Riskware, Pornware и другие объекты, обнаруживаемые проактивной защитой (которые обозначаются префиксом PDM:) или эвристическим анализатором (в этом случае используется префикс HEUR:).
**Правило, согласно которому выбирается поведение с максимальным уровнем опасности, применяется только к троянским программам, вирусам и червям. К вредоносным утилитам оно не применяется.
Классификация вредоносных программ
Для борьбы с вирусами нужно уметь однозначно классифицировать любую вредоносную программу и легко отличить ее от других вредоносных программ.
Избранные статьи
Риски безопасности и конфиденциальности в виртуальной и дополненной реальности
TrickBot – многоцелевой ботнет
Основные атаки программ-вымогателей
Что такое глубокий и теневой интернет?
Как защитить детей в интернете во время коронавируса
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
Связаться с нами
Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
Сувенирный портал Lab Shop
Читайте также: