Основные виды вредоносных программ

Основными видами вредоносных программ являются:

§ компьютерные вирусы,

§ трояны (троянские кони),

§ сетевые черви.

Вирусы

Вирус — программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения.

Примеры — вирус Коэна, Basta, R.A., Desktop, Чернобыль.

Стадии жизненного цикла вируса:

§ проникновение на компьютер,

§ активация вируса,

§ поиск объектов для заражения,

§ подготовка вирусных копий,

§ внедрение вирусных копий.

Вирусы получили свое название по аналогии с биологическими вирусами из-за своей способности размножаться и наносить вред организму, в котором они поселились, распространение вирусов по компьютерным сетям можно сравнить с эпидемией опасной болезни.

Согласно книге рекордов Гиннесса, первая компьютерная программа, способная скрытно самовоспроизводиться, была продемонстрирована Фредом Коэном, студентом Массачусетского технологического института, Бостон, США, 11 ноября 1983 года.

Поражение компьютера вирусами может проявляться по-разному: самыми безобидными являются вирусы-шутки, которые неожиданно для пользователя выводят на экран шуточные сообщения или изображения. Такие вирусы не приносят большого вреда и легко лечатся.

Примеры — Basta, R.A.

Очень многие вирусы отвлекают на себя ресурсы компьютера, в результате чего резко замедляется его работа. Например, вирус Desktop дописывает себя во все открывающиеся пользователем каталоги, причем при каждом открытии пораженной папки проводит «перекличку» между всеми своими копиями. В результате, по мере заражения все большего количества каталогов работа компьютера значительно замедляется.

Самыми опасными из всех являются вирусы, которые разрушают ядро операционной системы, в результате чего ОС теряет контроль над компьютером, и он просто перестает работать. Если это новый вирус, неизвестный антивирусным программам, то остается только одно средство борьбы — переустановка операционной системы с полным форматированием жесткого диска и, соответственно, с потерей всех данных.

Печально известный вирус Чернобыль активировался 26 апреля 1999 года, он поразил системные файлы ОС Windows на сотнях тысяч компьютеров. Также как знаменитый вирус Пятница 13, Чернобыль был приурочен к конкретной дате — годовщине чернобыльской трагедии, и также принес большой материальный и моральный вред.

Трояны

Троян (троянский конь, троянская программа) — тип вредоносных программ, которые проникают на компьютер как скрытая от пользователя часть устанавливаемого ПО, основной целью которых является шпионаж или деструктивное воздействие по отношению к компьютерной системе.

Трояны отличаются отсутствием механизма создания собственных копий, они являются частью вполне «добропорядочного» программного обеспечения или маскируются под него, но в любом случае они преследуют скрытые цели, их действие, как правило, проявляется не сразу, часто уже после того, как они сделали свое черное дело. За эту особенность троянские программы получили свое название по аналогии с историческим примером Троянского коня, описанного Гомером в «Илиаде».

Стадии жизненного цикла троянской программы:

§ проникновение на компьютер,

§ активация,

§ выполнение заложенных функций.

Существует несколько разновидностей троянских программ.

Трояны-бэкдоры (backdoor)

Троянские программы этого типа являются утилитами удаленного администрирования компьютеров в сети, внедренные без ведома пользователей и дающие злоумышленникам право полного контроля.

Утилиты скрытого управления позволяют делать с компьютером все, что угодно — принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, перезагружать компьютер, форматировать диски. Эти трояны могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и тому подобного. Например, с помощью троянов-бэкдоров злоумышленники могут украсть деньги с банковских счетов пользователя или подключиться по чужому каналу к Интернету.

Пример — Netbus.170 (полный контроль).

Трояны–похитители паролей (PSW)

Данное семейство объединяет троянские программы, ворующие различную информацию с зараженного компьютера, обычно — системные пароли (PSW — Password Stealing Ware). При запуске PSW-трояны ищут системные файлы, хранящие различную конфиденциальную информацию и отсылают ее по указанному в коде трояна электронному адресу или адресам.

Существуют PSW-трояны, которые сообщают злоумышленникам информацию о параметрах конфигурации: размер памяти и дискового пространства, версия операционной системы, тип используемого почтового клиента, IP-адрес. Некоторые трояны данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм или социальным сетям.

Пример — LdPinch, Nilage, Palevo (кража паролей).

Троян Nilage маскируется под системную библиотеку – файл с расширением dll, имеет функцию слежения за нажатиями клавиш пользователем, вследствие чего успешно ворует пароли.

Трояны–шпионы (Spy)

Данные трояны осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.

Примеры — Bankfraud, Amazofraud.

Оба трояна из примеров маскируются под поддельную HTML-страницу, первая предназначена для кражи конфиденциальной информации о клиентах банков, вторая – о клиентах магазинов.

Черви

Червь (сетевой червь) — тип вредоносных программ, распространяющихся в локальных и глобальных компьютерных сетях, способных к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия.

Стадии жизненного цикла червей:

§ проникновение в систему,

§ активация,

§ поиск "жертв",

§ подготовка копий,

§ распространение копий.

В отличие от компьютерных вирусов червь является самостоятельной программой. Одни из первых экспериментов по использованию сетевых червей были проведены в исследовательском центре Xerox в Пало-Альто Джоном Шочем и Йоном Хуппом в 1978 году. Термин возник под влиянием научно-фантастических романов Дэвида Геролда.

Одним из наиболее известных сетевых червей является червь Морриса, написанный Робертом Моррисом, который был в то время студентом Корнельского Университета. Распространение червя началось 2 ноября 1988, после чего червь быстро заразил большое количество компьютеров, подключённых к Интернету.

Черви могут использовать различные механизмы (векторы) распространения. Некоторые черви требуют определенного действия пользователя для распространения, например, открытия инфицированного сообщения в электронной почте. Другие черви могут распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме. Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже настроек под различные операционные системы.

Зачастую черви даже без всякой дополнительной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения. Типичная осмысленная вредоносная нагрузка может заключаться в порче файлов на компьютере-жертве, в том числе, изменение веб-страниц.

В 2007 году червь Storm заразил и захватил огромное количество компьютеров, формируя собственную Сеть Storm, которая в сентябре достигла размера около 10 миллионов компьютеров.