Currently, there are more than 50,000 software viruses.
Uniform
classification of viruses does not exist, but usually
Viruses are
classified according to the following criteria:
-
Destructive impact
- The
method of infection
- Habitat
- Features
of the algorithm
According
to the "destructive impact" all viruses can be divided into:
Harmless
viruses. They do not interfere with your computer, but it can reduce the amount
of free memory and disk space, the actions of such viruses appear in any
graphics or sound effects.
Dangerous
viruses. It includes viruses which can lead to some malfunction of the
operating system or some programs.
Very
dangerous viruses. These viruses can destroy some or all of the data stored on
the hard drive, change the system information, disable the operating system,
and so on. D.
According
to the "method of infection" all viruses can be divided into:
Resident
viruses. Most often, these viruses are a type of file and boot. And the most
dangerous kind. Resident at
infecting virus (infected) computer leaves its memory-resident portion, which
then intercepts system calls to the infected objects (files, disk boot sector
and so on. P.) And embedded in them. Resident viruses reside in memory and are
active until the shutdown or restart the computer.
Non-resident
viruses do not infect computer memory and are active for a limited time.
According to the "habitat" all viruses can be divided into:
File
viruses. Before the advent of the Internet these viruses were the most common.
To date, known malicious programs that infect all types carried out by objects
of any operating system (Windows risk are executable files (.exe, .com), batch
files (.bat), driver (.sys), dynamic libraries (.dll) and t. d.)
Infection
occurs as follows. The virus writes its code in the target file. In addition,
the infected file is changed in a special way. As a result, when referring to
the operating system it (the user opens the call from another program, and so
on. P.), Control is passed to the first code of the virus, which can carry out
any actions specified by the creator of it. After performing their actions the
virus transfers control to the program that is executed in the normal way. So
if the user's computer is not installed the software, it can be a long time not
to guess about infection.
Boot
viruses. These viruses infect the boot sector of hard disks. Their
operating principle is as follows. The virus adds its code to one of the
special programs that are executed after switching the computer to boot the
operating system. In principle, the task of this software just include the
preparation and launch of the OS. Thus, the virus takes control and can perform
certain actions, such as to write themselves into memory. And only after that
will boot the operating system. That's just the virus will already be in memory
and will be able to control its operation.
Macro
viruses. These viruses are programs that are executed in languages embedded
into various software systems. Most often the victims are files created by
Microsoft Office various components (Word, Excel, etc.). Built into the
software Visual Basic is ideal for writing macro viruses. Their
operating principle is very simple. The virus writes itself to the DOT-file,
which contains all global macros, some of which he has a substitute. After
that, all files stored in this program, will contain a macro virus. At the same
time it can perform many different actions until the destructive removal of all
documents.
Network
Viruses. The main feature of these viruses is the ability to work with
different network protocols. That is, they may be different ways to write your
code on a remote computer. Most common in our time received Internet worms.
These viruses are most commonly used for their work e-mail, "hooked"
to the letter. At the same time on the new computer they are executed either
automatically, or the user in various ways to push its launch.
According
to the "peculiarities of algorithms" all viruses can be divided into:
The
peculiarities of the algorithm viruses is difficult to classify because of the
large variety. The
simplest viruses - parasitic, they change the contents of files and disk
sectors and can be fairly easily detected and destroyed. It may be noted
viruses replicators, called a worm that spreads through computer networks,
calculate addresses of network computers and write to these addresses its
copies.
Stealth
viruses (stealth - invisible). These are viruses that are able to hide their
presence in the system. To find them very difficult. Stealth viruses use a
variety of ways to ensure the "invisibility". The most common option.
The virus is composed of two parts. One resident and resides in the computer's
memory. If the operating system accesses the infected file, the
"resident" intercepts this request and removes from the file the
virus code. Thus, the application is "clean". But after it completes
its work, "resident" infects it again.
Polymorphic
viruses. A feature of these viruses is the ability to change their own code.
This was done in order to mislead the anti-virus software, often using
"masks" (code snippets that are typical for viruses). Polymorphic
viruses are of two types. The first simply encrypt your own "body"
with a non-key and a random set of the instruction decoder. The second group is
more complicated. Viruses belonging to it can rewrite your code, that is, in
fact, they are themselves programmers.
Trojan
horse - a program, which contains some destructive function that is activated
upon the occurrence of certain triggering conditions. Typically, such a program
disguised as some useful utilities. "Trojans"
are programs that implement in addition to the functions described in the
documentation, and some other functions related to security violations and
destructive acts. Cases of the establishment of such programs in order to
facilitate the spread of viruses. Lists of such programs are widely published
in the foreign press. They are usually disguised as games or entertainment
programs and harm for beautiful pictures or music. If viruses
and "Trojan Horses," damage by a cascade of self-replication or
apparent failure, the main function of viruses like "Worm", operating
in the computer networks, - hacking the targeted system, ie, overcoming
protection to disrupt the security and integrity.
Rootkits
are a more advanced version of the Trojan horse. Some antivirus companies do
not share rootkits and Trojans, relating them to the same category of malicious
programs. However, the Trojan hides on your computer, usually masquerading as a
well-known program (for example, Spymaster impersonate MSN Messenger
application), and rootkits are used to mask the more advanced methods of
penetrating deeply into the system. Originally
the word "rootkit" refers to a set of tools that allows an attacker
to return to the compromised system so that the system administrator can not
see it, and the system - to record. For a long time, rootkits were the privilege
of Unix-based systems, but as you know, good ideas do not just disappear, and
at the end of the twentieth century began to appear en masse rootkits designed
for Microsoft Windows.
A botnet (botnet happened by robot and network words) - a computer network consisting of a number of hosts from running bots - standalone software. Most often, the boat as part of a botnet is a program secretly installed on the victim's device and allows an attacker to perform some actions using resources of an infected computer. Commonly used for illegal activities or disapprove - spam, brute force on the remote system, attacks denial of service. Driving create a botnet and use it a spammer
Worms
called viruses that spread over wide area networks, affecting the entire
system, rather than separate programs. It is the most dangerous type of virus,
as objects of attack in this case are information systems of national
importance. With the advent of the global Internet, this type of security
breach is the greatest threat to the network, ie. To. It may at any time be
subject to any of the 40 million computers connected to the network.
The
backdoor, backdoor (back door - the back door) - the program that sets an
attacker on a compromised their computer after receiving an initial access to
re-gain access to the system. The
main purpose of Backdoor - covert control of your computer. Usually, Backdoor
allows you to copy files from the affected computer, and vice versa, to pass on
the infected computer files and programs. In addition, usually Backdoor allows
remote access to the registry, perform system operations (restart your PC, the
creation of new network resources, modifying passwords, etc.). Backdoor in
effect opens an attacker to "backdoor" to your computer. Backdoor
Risk has increased in recent years due to the fact that many modern worms or
contain Backdoor-component, or install it after they infect your PC. The second
feature of many Backdoor programs is that they allow the user to scan the
computer network, the network of networks hacking attacks - while hacking
attempts are underway with PC unsuspecting user.
Keylogger
(keylogger - this keystroke logger) - the software, the main purpose of which
is hidden keystroke monitoring and logging of keystrokes or hardware. Hardware
keyloggers are much rarer than the software, but in any case we must not forget
in the protection of sensitive information about them. Interception
keystrokes can be used by legitimate programs and is often used to invoke
program features from another application using "hot keys» (hotkeys) or,
for example, to switch the wrong keyboard layout (as a Keyboard Ninja). There
are plenty of legitimate software that is used by administrators to monitor
what the employee is doing during the day, or to monitor user activity for
strangers on your computer. However, where the distinction between
"lawful" use "legal" software and its use for criminal
purposes? The same "legal" software is often used in order to
deliberate kidnapping of secret user data - such as passwords. Most
of the currently existing keyloggers are considered "legal" and sold
freely, as developers declare a lot of reasons to use keyloggers, for example: for
parents: Action tracking children on the Internet and alert the parents if they
try to go to the sites "for adults» (parental control); for the
organization of security: tracking the facts of misuse of personal computers,
and their use in non-working hours; for the
organization of security services: a set of facts on the keyboard tracking
critical words and phrases that make up the organization of a trade secret, and
disclosure of which may cause material or other damage to the organization; for a
variety of security services: analysis and investigation of incidents involving
the use of personal computers. Unlike
other types of malicious software, a keylogger is completely safe for the
system. However, it can be extremely dangerous for the user: using keylogger
can intercept passwords and other confidential information entered via the
keyboard by the user. As a result, the attacker learns the codes and account
numbers in the electronic payment system, account passwords in online-games,
addresses, usernames, passwords to e-mail systems, and so on.
Upon receipt of confidential user data the attacker can not only trite to transfer money from his bank account or use the user account to the online-game. Unfortunately, the availability of such data in some cases can lead to consequences more serious than the loss of a certain amount of money a particular person. Using keylogger allows economic and political espionage, access to information constituting not only commercial, but also a state secret, as well as compromising the security systems used by commercial and government agencies (for example, by stealing private keys in cryptographic systems).
Классификация вирусов
В настоящее время известно более 50000 программных вирусов.
Единой классификации вирусов не существует, но обычно вирусы классифицируют по следующим признакам:
- деструктивному
воздействию
- способу заражения
- среде обитания
- особенностям
алгоритма
По
"деструктивному воздействию" все вирусы можно разделить на:
Безвредные
вирусы. Они не мешают работе компьютера, но могут уменьшать объем свободной
оперативной памяти и памяти на дисках, действия таких вирусов проявляются в
каких-либо графических или звуковых эффектах.
Опасные вирусы. К ней относятся вирусы, которые могут
привести к определенным сбоям в работе операционной системы или некоторых
программ.
Очень опасные вирусы. Эти вирусы могут уничтожить
определенные или все данные, находящиеся на жестком диске, изменить системную
информацию, вывести из строя операционную систему и т. д.
По "способу
заражения" все вирусы можно разделить на:
Резидентные
вирусы. Чаще всего эти вирусы являются одной из разновидностей файловых и
загрузочных. Причем самой опасной разновидностью. Резидентный вирус при заражении (инфицировании) компьютера
оставляет в оперативной памяти свою резидентную часть, которая потом
перехватывает обращение операционной системы к объектам заражения (файлам,
загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы
находятся в памяти и являются активными вплоть до выключения или перезагрузки
компьютера. Нерезидентные вирусы
не заражают память компьютера и являются активными ограниченное время.
По "среде
обитания" все вирусы можно разделить на:
Файловые вирусы. До появления Интернета именно эти вирусы
были самыми распространенными. На сегодняшний день известны зловредные
программы, заражающие все типы выполняемых объектов любой операционной системы
(для Windows опасности подвергаются исполняемые файлы (.exe, .com), командные
файлы (.bat), драйвера (.sys), динамические библиотеки (.dll) и т. д.). Заражение происходит следующим образом. Вирус записывает
свой код в файл-жертву. Кроме того, зараженный файл специальным образом
изменяется. В результате при обращении к нему операционной системы (запуск
пользователем, вызов из другой программы и т. п.) управление передается в
первую очередь коду вируса, который может выполнить любые действия, заданные
ему создателем. После выполнения своих действий вирус передает управление
программе, которая выполняется нормальным образом. Так что если на компьютере
пользователя не установлено специальное ПО, он может долго не догадываться о
заражении.
Загрузочные вирусы. Эти вирусы заражают
загрузочные сектора жестких дисков. Принцип их действия заключается в следующем. Вирус добавляет
свой код к одной из специальных программ, которые начинают выполняться после
включения компьютера до загрузки операционной системы. В принципе в задачу
этого ПО как раз и входят подготовка и запуск ОС. Таким образом, вирус получает
управление и может выполнить определенные действия, например записать себя в
оперативную память. И только после этого будет загружаться операционная
система. Вот только вирус уже будет находиться в памяти и сможет контролировать
ее работу.
Макровирусы. Эти вирусы представляют
собой программы, которые выполнены на языках, встроенных в различные
программные системы. Чаще всего жертвами становятся файлы, созданные различными
компонентами Microsoft Office (Word, Excel и т.д.). Встроенный в эти
программные продукты Visual Basic прекрасно подходит для написания
макровирусов. Принцип их действия очень прост. Вирус записывает себя в
DOT-файл, в котором содержатся все глобальные макросы, часть из которых он
подменяет собой. После этого все файлы, сохраненные в этой программе, будут
содержать макровирус. При этом он может выполнять множество различных
деструктивных действий вплоть до удаления всех документов.
Сетевые вирусы. Главной
особенностью этих вирусов является возможность работы с различными сетевыми
протоколами. То есть они могут различными путями записывать свой код на
удаленном компьютере. Наибольшее распространение в наше время получили
интернет-черви. Эти вирусы чаще всего используют для своей работы электронную
почту, "прицепляясь" к письму. При этом на новом компьютере они либо
автоматически выполняются, либо различными способами подталкивают пользователя
к своему запуску.
По "особенностям
алгоритмов" все вирусы можно разделить на:
По особенностям алгоритма вирусы трудно классифицировать
из-за большого разнообразия.
Простейшие вирусы - паразитические, они изменяют содержимое
файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.
Можно отметить вирусы-репликаторы, называемые червями, которые распространяются
по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по
этим адресам свои копии.
Стелс-вирусы (stealth –
невидимка). Это вирусы, которые умеют скрывать свое присутствие в
системе. Обнаружить их очень сложно. Стелс-вирусы используют различные способы
обеспечения "невидимости". Наиболее распространен следующий вариант.
Вирус состоит из двух частей. Одна из них резидентная и постоянно находится в
памяти компьютера. Если операционная система обращается к зараженному файлу, то
"резидент" перехватывает это обращение и удаляет из файла код вируса.
Таким образом, приложение оказывается "чистым". Но после того как оно
завершает свою работу, "резидент" снова заражает его.
Полиморфные вирусы. Особенностью этих вирусов является умение
изменять собственный код. Сделано это для того, чтобы ввести в заблуждение
антивирусные программы, часто использующие "маски" (отрывки кода,
типичные для вирусов). Полиморфные вирусы бывают двух типов. Первые просто
шифруют собственное "тело" с непостоянным ключом и случайным набором
команд дешифратора. Вторая группа сложнее. Вирусы, относящиеся к ней, могут
переписывать свой код, то есть, по сути, они сами являются программистами.
Троянский конь – это программа, содержащая в себе некоторую
разрушающую функцию, которая активизируется при наступлении некоторого условия
срабатывания. Обычно такие программы маскируются под какие-нибудь полезные
утилиты.
«Троянские кони» представляют собой программы, реализующие
помимо функций, описанных в документации, и некоторые другие функции, связанные
с нарушением безопасности и деструктивными действиями. Отмечены случаи создания
таких программ с целью облегчения распространения вирусов. Списки таких программ
широко публикуются в зарубежной печати. Обычно они маскируются под игровые или
развлекательные программы и наносят вред под красивые картинки или музыку. Если вирусы и «троянские кони» наносят ущерб посредством
лавинообразного саморазмножения или явного разрушения, то основная функция
вирусов типа «червь», действующих в компьютерных сетях, – взлом атакуемой
системы, т.е. преодоление защиты с целью нарушения безопасности и целостности.
Руткиты представляют собой более продвинутый вариант троянских
коней. Некоторые антивирусные компании не разделяют руткиты и троянцы, относя
их к одной категории зловредных программ. Однако троян прячется на компьютере,
обычно маскируясь под известную программу (например, Spymaster выдавает себя за
приложение MSN Messenger), а руткиты используют для маскировки более
продвинутые методы, внедряясь глубоко в систему. Изначально
словом «руткит» обозначался набор инструментов, позволяющий злоумышленнику
возвращаться во взломанную систему таким образом, чтобы системный администратор
не мог его видеть, а система – регистрировать. Долгое время руткиты были
привилегией Unix-систем, но, как известно, хорошие идеи просто так не
пропадают, и в конце ХХ века стали массово появляться руткиты, предназначенные
для Microsoft Windows.
Ботнет (botnet произошло от слов robot и network) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера.
Схема создания
ботнета и использования его спамером. Червями называют
вирусы, которые распространяются по глобальным сетям, поражая целые системы, а
не отдельные программы. Это самый опасный вид вирусов, так как объектами
нападения в этом случае становятся информационные системы государственного
масштаба. С появлением глобальной сети Internet этот вид нарушения безопасности
представляет наибольшую угрозу, т. к. ему в любой момент может подвергнуться
любой из 40 миллионов компьютеров, подключенных к этой сети.
Бэкдор, backdoor (back door - чёрный ход)
— программы, которые устанавливает взломщик на взломанном им компьютере после
получения первоначального доступа с целью повторного получения доступа к
системе. Основное
назначение Backdoor – скрытное управление компьютером. Как правило, Backdoor
позволяет копировать файлы с пораженного компьютера и наоборот, передавать на
пораженный компьютер файлы и программы. Кроме того, обычно Backdoor позволяет
получить удаленный доступ к реестру, производить системные операции
(перезагрузку ПК, создание новых сетевых ресурсов, модификацию паролей и т.п.). Backdoor по сути открывает атакующему «черный ход» на
компьютер пользователя. Опасность Backdoor
увеличилась в последнее время в связи с тем, что многие современные сетевые
черви или содержат в себе Backdoor-компоненту, или устанавливают ее после
заражения ПК.
Второй особенностью многих Backdoor программ является то,
что они позволяют использовать компьютер пользователя для сканирования сети,
проведения сетевых атак взлома сетей – при этом попытки взлома ведутся с ПК
ничего не подозревающего пользователя.
Кейлоггер (keylogger — это регистратор нажатий клавиш) — программное обеспечение, основным назначением которого является скрытый мониторинг нажатий клавиш и ведение журнала этих нажатий или аппаратные средства. Аппаратные кейлоггеры встречаются значительно реже, чем программные, однако при защите важной информации о них ни в коем случае нельзя забывать. Перехват нажатий клавиш может использоваться обычными программами и часто применяется для вызова функций программы из другого приложения с помощью «горячих клавиш» (hotkeys) или, например, для переключения неправильной раскладки клавиатуры (как Keyboard Ninja). Существует масса легального ПО, которое используется администраторами для наблюдения за тем, что делает работник в течение дня, или для наблюдения пользователем за активностью посторонних людей на своем компьютере. Однако где проходит грань между «законным» использованием «легального» ПО и его использованием в криминальных целях? То же «легальное» ПО зачастую используется и в целях умышленного похищения секретных данных пользователя — например, паролей. Большинство существующих на данный момент кейлоггеров считаются «легальными» и свободно продаются, так как разработчики декларируют множество причин для использования кейлоггеров, например: для родителей: отслеживание действий детей в Интернете и оповещение родителей в случае попыток зайти на сайты «для взрослых» (parental control); для службы безопасности организации: отслеживание фактов нецелевого использования персональных компьютеров, их использования в нерабочее время; для службы безопасности организации: отслеживание фактов набора на клавиатуре критичных слов и словосочетаний, которые составляют коммерческую тайну организации, и разглашение которых может привести к материальному или иному ущербу для организации; для различных служб безопасности: проведение анализа и расследования инцидентов, связанных с использование персональных компьютеров. В отличие от других типов вредоносного программного обеспечения, для системы кейлоггер абсолютно безопасен. Однако он может быть чрезвычайно опасным для пользователя: с помощью кейлоггера можно перехватить пароли и другую конфиденциальную информацию, вводимую пользователем с помощью клавиатуры. В результате злоумышленник узнает коды и номера счетов в электронных платежных системах, пароли к учетным записям в online-играх, адреса, логины, пароли к системам электронной почты и так далее.
После получения
конфиденциальных данных пользователя злоумышленник может не только банально
перевести деньги с его банковского счета или использовать учетную запись
пользователя в online-игре. К сожалению, наличие таких данных в ряде случаев
может приводить к последствиям более серьезным, чем потеря некоторой суммы
денег конкретным человеком. Использование кейлоггеров позволяет осуществлять
экономический и политический шпионаж, получать доступ к сведениям, составляющим
не только коммерческую, но и государственную тайну, а также компрометировать
системы безопасности, используемые коммерческими и государственными структурами
(например, с помощью кражи закрытых ключей в криптографических системах).
Комментариев нет:
Отправить комментарий