Злонамерена програма
Злонамерена програма(на жаргона на антивирусните услуги " зловреден софтуер", Английски зловреден софтуер, зловреден софтуер- „злонамерен софтуер“) - всеки софтуер, предназначен да получи неоторизиран достъп до изчислителните ресурси на самия компютър или до информация, съхранявана на компютъра, с цел неоторизирано използване на компютърни ресурси от собственика или причиняване на вреда (щета) на собственика на информацията и/или на собственика на компютъра, и/или собственика на компютърната мрежа, чрез копиране, изкривяване, изтриване или заместване на информация.
Синоними
- лош софтуер (лошо- лошо и (меко) фаянс- софтуер) - лош софтуер.
- компютърен замърсител (компютър- компютър и замърсителЗамърсител е термин за злонамерен софтуер, използван в законите на някои американски щати, като Калифорния и Западна Вирджиния.
- криминален софтуер (престъпност- престъпност и (мек фаянс- софтуер) е клас злонамерени програми, специално създадени за автоматизиране на финансови престъпления. Това не е синоним на термина злонамерен софтуер (значението на термина злонамерен софтуер е по-широко), но всички програми, свързани с криминален софтуер, са злонамерени.
Терминология
По основна дефиниция злонамереният софтуер е предназначен да получи неоторизиран достъп до информация, заобикаляйки съществуващите правила за контрол на достъпа. Федералната служба за технически и експортен контрол (FSTEC на Русия) дефинира тези понятия, както следва:
- Оторизиран достъп до информация(Английски разрешен достъп до информация) - достъп до информация, който не нарушава правилата за контрол на достъпа.
- Неоторизиран достъп до информация(Английски неоторизиран достъп до информация) - достъп до информация, който нарушава правилата за контрол на достъпа, като се използват стандартни средства, предоставени от компютърни технологии или автоматизирани системи. Стандартните средства означават набор от софтуер, фърмуер и хардуер за компютърно оборудване или автоматизирани системи.
- Правила за контрол на достъпа(Английски правила за посредничество за достъп) - набор от правила, регулиращи правата за достъп на субектите на достъп до обекти за достъп
Други определения на термина "зловреден софтуер"
Съгласно член 273 от Наказателния кодекс на Руската федерация („Създаване, използване и разпространение на злонамерени програми за компютри“), определението за злонамерени програми е следното: „... компютърни програми или промени в съществуващи програми, съзнателно водещи до неразрешено унищожаване, блокиране, модифициране или копиране на информация, прекъсване на работата на компютър, компютърна система или тяхната мрежа..."
Трябва да се отбележи, че настоящата редакция на чл. 273 тълкува понятието вредност изключително широко. Когато се обсъждаше включването на този член в Наказателния кодекс, се разбра, че програмни действия, които не са изрично одобрени, ще се считат за „неразрешени“ потребителтази програма. Текущата съдебна практика обаче също така класифицира като злонамерени програми, които модифицират (с разрешение на потребителя) изпълними файлове и/или бази данни на други програми, ако такава модификация не е разрешена от притежателите на авторските им права. Същевременно в редица случаи, при наличието на принципна позиция на защитата и компетентна проверка, разширителното тълкуване на чл.273 беше обявено от съда за незаконосъобразно.
Microsoft Corporation дефинира термина „злонамерен софтуер“ по следния начин: „Злонамереният софтуер е съкращение от „злонамерен софтуер“, обикновено използван като общ термин за обозначаване на всеки софтуер, специално проектиран да причинява щети на отделен компютър, сървър или компютърна мрежа, независимо дали е вирус, шпионски софтуер и т.н.
Класификация на зловреден софтуер
Всяка компания за антивирусен софтуер има собствена корпоративна класификация и номенклатура на зловреден софтуер. Класификацията, дадена в тази статия, се основава на номенклатурата на Kaspersky Lab.
Чрез злонамерено натоварване
| В този раздел липсват препратки към източници на информация.
Информацията трябва да може да се провери, в противен случай може да бъде поставена под съмнение и изтрита. Злонамереният софтуер може да образува вериги: например, използвайки експлойт (1), товарач (2) се разполага на компютъра на жертвата, който инсталира червей (3) от интернет. Симптоми на инфекция
Трябва обаче да се има предвид, че въпреки липсата на симптоми компютърът може да е заразен със зловреден софтуер. Методи за борба със зловреден софтуерНяма абсолютна защита срещу злонамерен софтуер: никой не е имунизиран от „нулеви експлойти“ като Sasser или Conficker. Но с някои мерки можете значително да намалите риска от заразяване със зловреден софтуер. Следните са основните и най-ефективни мерки за подобряване на сигурността:
Правни аспектиЗаконодателството на много страни по света предвижда различни наказания, включително наказателна отговорност, за създаване, използване и разпространение на злонамерени програми. По-специално, наказателната отговорност за създаването, използването и разпространението на злонамерени компютърни програми е предвидена в член 273 от Наказателния кодекс на Руската федерация. За да се счита една програма за злонамерена, са необходими три критерия:
По-ясни критерии, по които софтуерните продукти (модули) могат да бъдат класифицирани като злонамерени програми, до момента не са ясно формулирани никъде. Съответно, за да има правна сила изявление за вредата на дадена програма, е необходимо да се извърши софтуерна и техническа проверка в съответствие с всички формалности, установени от действащото законодателство. Връзки
Вижте също
Софтуерни продукти против зловреден софтуер
Бележки
| |||||||||
Под вирус обикновено се разбира вид злонамерен софтуер, който се копира сам. С негова помощ се заразяват други файлове (подобно на вирусите в реалния живот, които заразяват биологични клетки с цел възпроизвеждане).
С помощта на вирус можете да извършвате голям брой различни действия: да получите достъп до компютъра във фонов режим, да откраднете паролата и да предизвикате замръзване на компютъра (RAM паметта се запълва и процесорът се зарежда с различни процеси).
Основната функция на зловреден софтуерен вирус обаче е способността му да се възпроизвежда. Когато се активира, програмите на компютъра се заразяват.
Като стартира софтуера на друг компютър, вирусът заразява файлове и тук; например, флашка от заразен компютър, поставена в здрав, незабавно ще предаде вируса към него.
Червей
Поведението на червея наподобява това на вируса. Единствената разлика е в разпространението. Когато вирусът зарази програми, управлявани от човек (ако програмите не се използват на заразения компютър, вирусът няма да проникне там), червеят се разпространява чрез компютърни мрежи по лична инициатива.
Например Blaster бързо се разпространи в Windows XP, тъй като тази операционна система нямаше надеждна защита за уеб услуги.
По този начин червеят използва достъп до операционната система през интернет.
След това злонамереният софтуер се премести на нова заразена машина, за да продължи по-нататъшната репликация.
Рядко виждате тези червеи, тъй като днес Windows има висококачествена защита: защитната стена се използва по подразбиране.
Червеите обаче имат способността да се разпространяват по други методи - например заразяват компютър чрез електронна пощенска кутия и изпращат свои копия до всички, записани в списъка с контакти.
Червеят и вирусът са способни да извършват много други опасни действия при заразяване на компютър. Основното нещо, което придава на зловреден софтуер характеристиките на червей, е начинът, по който той разпространява собствените си копия.
троянски
Троянските програми обикновено се разбират като вид зловреден софтуер, който изглежда като нормални файлове.
Ако стартирате троянски кон, той ще започне да функционира във фонов режим заедно с обикновената помощна програма. По този начин разработчиците на троянски коне могат да получат достъп до компютъра на жертвата си.
Троянските коне също ви позволяват да наблюдавате дейността на компютър и да свържете компютъра към ботнет. Троянските коне се използват за отваряне на шлюзове и изтегляне на различни видове злонамерени приложения на компютъра.
Нека да разгледаме основните отличителни точки.
¹ Зловреден софтуер се крие под формата на полезни приложения и, когато се стартира, функционира във фонов режим, позволявайки достъп до вашия собствен компютър. Може да се направи сравнение с Троянския кон, който става главен герой в творбата на Омир.
² Този зловреден софтуер не се копира в различни файлове и не може да се разпространява независимо в интернет, като червеи и вируси.
³ Пиратският софтуер може да е заразен с троянски кон.
Шпионски софтуер
Шпионският софтуер е друг вид зловреден софтуер. С прости думи, това приложение е шпионин.
С негова помощ се събира информация. Различни видове зловреден софтуер често съдържат шпионски софтуер.
Така например се краде финансова информация.
Шпионският софтуер често се използва с напълно безплатен софтуер и събира информация за посетените интернет страници, изтеглени файлове и т.н.
Разработчиците на софтуер правят пари, като продават собствените си знания.
Рекламен софтуер
Рекламният софтуер може да се счита за съюзник на шпионския софтуер.
Говорим за всякакъв вид софтуер за показване на рекламни съобщения на компютър.
Също така често се случва Adware да използва допълнителна реклама на сайтове, докато ги разглеждате. В тази ситуация е трудно да се подозира нещо.
Keylogger
Keylogger е злонамерена помощна програма.
Работи във фонов режим и записва всички натискания на бутони. Тази информация може да включва пароли, потребителски имена, информация за кредитни карти и друга чувствителна информация.
Keylogger най-вероятно съхранява натискания на бутони на собствен сървър, където те се анализират от човек или специален софтуер.
Ботнет
Ботнетът е огромна компютърна мрежа, контролирана от разработчик.
В този случай компютърът действа като „бот“, тъй като устройството е заразено със специфичен зловреден софтуер.
Ако компютърът е заразен с „бот“, той се свързва с контролен сървър и чака инструкции от ботнета на разработчика.
Например ботнетите са в състояние да създават DDoS атаки. Всички компютри в ботнет могат да бъдат използвани за атака на определен сървър и уебсайт с различни заявки.
Тези чести заявки могат да доведат до срив на сървъра.
Разработчиците на ботнет продават достъп до своя собствена ботнет мрежа. Измамниците могат да използват големи ботнети, за да реализират коварните си идеи.
Руткит
Руткит обикновено се разбира като зловреден софтуер, който се намира някъде в дълбините на персонален компютър.
Скрити по различни начини от потребителите и програмите за сигурност.
Например руткит се зарежда преди Windows да стартира и редактира системната функционалност на операционната система.
Руткитът може да бъде маскиран. Но основното нещо, което превръща злонамерената помощна програма в руткит, е, че тя е скрита в „лъковете“ на операционната система.
Рансъмуер за банери
Говорим за доста коварен вид злонамерен софтуерен продукт.
Изглежда доста хора са се сблъсквали с този тип злоумишленици.
Така компютърът или отделни файлове ще бъдат държани заложници. За тях ще трябва да се плати откуп.
Най-популярният тип са порно банери, които изискват да изпратите пари и да посочите код. Можете да станете жертва на този софтуер не само като посетите порно сайтове.
Има зловреден софтуер като CryptoLocker.
Той буквално криптира някои обекти и изисква плащане за отваряне на достъп до тях. Този тип зловреден софтуер е най-опасният.
Фишинг
Фишинг (англ. фишинг, от риболов - риболов, риболов - вид интернет измама, чиято цел е да получите достъп до поверителни потребителски данни - вход и парола.
Това се постига чрез изпращане на масови имейли от името на популярни марки, както и лични съобщения в различни услуги, например от името на банки или в социалните мрежи. мрежи.
След като потребителят стигне до фалшивия сайт, измамниците се опитват да използват различни психологически техники, за да принудят потребителя да въведе своите данни, парола за вход, която използва за достъп до сайта, на фалшивата страница, което позволява на измамниците да получат достъп до акаунти и банкови акаунти.
Спам
Спам е изпращане на търговска или друга реклама до лица, които не са изявили желание да я получат.
В общоприетото значение терминът "спам" на руски език за първи път се използва във връзка с изпращането на имейли.
Нежеланите съобщения в системите за незабавни съобщения (например ICQ) се наричат SPIM (англ.) руски. (на английски: Спам през IM).
Делът на спама в глобалния имейл трафик варира от 60% до 80% (откъс от Wikipedia).
Заключение
Ето почти всички най-популярни типове злонамерени вируси.
Надявам се, че можете да сведете до минимум срещите си с тях и някои, които никога няма да срещнете. Можете да прочетете за това как да защитите вашия компютър и вашите потребителски данни в.
Резултати
Защо антивирусният софтуер се нарича така? Може би поради факта, че голяма част от хората са убедени, че „вирус“ е синоним на зловреден софтуер.
Антивирусите, както знаете, предпазват не само от вируси, но и от други нежелани програми, а също и за превенция - предпазване от инфекция. Това е всичко за сега, внимавайте, това е един от основните компоненти за защита на вашия компютър.
Интересно видео: 10 разрушителни компютърни вируса.
Ботове
Съкращение за думата робот(робот). Ботовете са програми, предназначени за автоматизиране на задачи.
Ботнет мрежи
Ботнетът е група от компютри, заразени с бот програми, управлявани от един контролен център.
Измами
Измамата е умишлена дезинформация, изпратена по имейл и разпространена от нищо неподозираща цел или неинформирана общественост. Измамите обикновено имат за цел да провокират потребителите да правят неща, които всъщност са неразумни. Злонамерените измами могат например да провокират потребителя да изтрие важни файлове на операционната система, като обяви тези файлове за опасни вируси.
В много случаи измамите се свързват с надеждни институции и компании, за да привлекат вниманието на читателите. Например, те използват фрази като Microsoft предупреждава, че... или CNN съобщава... Тези съобщения често предупреждават за вредни или дори катастрофални последици. Такива предупреждения имат обща черта - те насърчават потребителите да изпращат тези съобщения до всички, които познават, което увеличава жизнения цикъл на измамата. 99,9% от съобщенията от този вид са неверни.
Измамите не могат да се разпространят сами; единственият начин да избегнете поглъщането им е да проверите точността на получената информация, преди да предприемете каквото и да е действие, което тя изисква.
Измама
В широк смисъл измамата е измама на компютърни потребители с цел финансова печалба или директна кражба. Един от най-често срещаните видове измами са неупълномощени факсове или имейли от Нигерия или други страни от Западна Африка. Те изглеждат като напълно разумни бизнес предложения, но изискват предварителни плащания от получателя. Тези оферти са измамни и всички плащания, направени от жертвите на тези измами, незабавно се крадат. Други често срещани форми на измама включват фишинг атакичрез имейл и уебсайтове. Тяхната цел е да получат достъп до чувствителни данни като номера на банкови сметки, ПИН кодове и др. За постигането на тази цел на потребителя се изпраща имейл от лице, представящо се за доверено лице или бизнес партньор (финансова институция, застрахователна компания) .
Имейлът изглежда автентичен и съдържа графики и съдържание, които може да са дошли от източника, за който подателят на съобщението твърди, че е. От потребителя се иска да въведе лична информация като номера на банкови сметки или потребителски имена и пароли. Тези данни, ако бъдат предоставени, могат да бъдат прихванати и използвани за други цели.
Трябва да се отбележи, че банките, застрахователните компании и други законни компании никога не искат потребителски имена и пароли в непоискани имейл съобщения.
Потенциално опасни приложения
Опасни приложения
Опасните приложения са законни програми, които, въпреки че са инсталирани лично от потребителя, могат да компрометират сигурността на компютъра. Примерите включват търговски програми за прихващане на натискания на клавиши или екранни снимки, инструменти за отдалечен достъп, кракери на пароли и програми за тестване на сигурността.
Зловреден софтуер
Срок Зловреден софтуер(malware) - съкратена версия на общия термин Зловреден софтуер, което означава зловреден софтуер. Вируси, троянски коне, червеи и ботове попадат в определени категории зловреден софтуер.
Допълнителни функции като записване на данни, изтриване на файлове, презаписване на диск, презаписване BIOSи т.н., които могат да бъдат включени във вируси, червеи или троянски коне.
Фишинг
Терминът идва от думата риболов(риболов). Фишинг атаките са изпращане на измислени имейли под прикритието на различни форми на социална дейност, чиято цел е измамно получаване на чувствителна лична информация, като информация за кредитни карти или пароли.
Руткитове
Руткит- набор от инструменти, предназначени за таен контрол над компютър.
Шпионски софтуер
Шпионският софтуер използва интернет, за да събира поверителна информация за потребителя без негово знание. Някои шпионски програми събират информация за приложенията, инсталирани на вашия компютър, и уебсайтовете, които посещавате. Други програми от този вид са създадени с много по-опасни намерения – те събират финансови или лични данни на потребителите, за да ги използват за егоистични и измамни цели.
троянци
Троянските коне са злонамерени програми, които за разлика от вирусите и червеите не могат да се размножават и да заразяват файлове. Те обикновено се намират под формата на изпълними файлове ( .EXE, .COM) и не съдържат нищо друго освен самия троянски код. Следователно единственият начин да се справите с тях е да ги премахнете. Троянските програми са надарени с различни функции - от прихващане на въвеждане от клавиатурата (регистриране и предаване на всяко натискане на клавиш) до изтриване на файлове (или форматиране на диск). Някои от тях ( backdoor - програми) са предназначени за специална цел - те инсталират така наречената „задна врата“ ( Задна врата).
Вируси
Вирусът е програма, която се активира, като се копира в изпълними обекти. Вирусите могат да влязат в компютъра ви от други заразени компютри, чрез носители за съхранение (дискети, компактдискове и др.) или през мрежа (локална или интернет). Различните видове вируси и техните описания са изброени по-долу.
- Файлови вируси Вирусите, които заразяват файлове, атакуват изпълними програми, по-специално всички файлове с разширения EXEИ COM.
- Скриптови вируси Скрипт вирусите са вид файлови вируси. Те са написани на различни скриптови езици ( VBS, JavaScript, BAT, PHPи т.н.). Тези вируси или заразяват други скриптове (например командни и сервизни файлове на Windows или Linux) или са част от многокомпонентни вируси. Скрипт вирусите могат да заразят файлове от други формати, които позволяват изпълнението на скриптове, напр. HTML.
- Зареждащи вируси Те атакуват сектори за стартиране (флопи или твърд диск) и инсталират свои собствени процедури, които се зареждат при стартиране на компютъра.
- Макро вируси
Друг вариант за класифициране на вирусите е по техния начин на действие. Докато директно действащите вируси изпълняват функцията си веднага след активирането на заразения обект, резидентните вируси се съхраняват и функционират в паметта на компютъра.
Червеите са независими програми, които „възпроизвеждат“ свои копия през мрежата. За разлика от вирусите (които изискват заразен файл, за да се разпространят, в който тези вируси се възпроизвеждат), червеите се разпространяват активно, като изпращат свои копия през локална мрежа и интернет, комуникации по имейл или чрез уязвимости в операционните системи.
В същото време те могат да съдържат допълнителен пълнеж - злонамерени програми (например, те могат да инсталират backdoor - програми, които са обсъдени по-долу), въпреки че не само червеите имат тази функция. Червеите могат да причинят голяма вреда; те често запушват комуникационните канали DoS атаки (Отказ на услуга- отказ на услуга). Чрез интернет червеите могат да се разпространят по целия свят за броени минути.
Backdoor - програми
Backdoor програми (Задна врата) са приложения клиент-сървър, които позволяват на разработчиците на такива програми отдалечен достъп до вашия компютър. За разлика от обикновените (легални) програми с подобни функции, задна врата- програмите установяват достъп без съгласието на собственика на клиентския компютър.
Заглавие за h1: Известни вируси и тяхната класификация
Въведение
Злонамерената програма е компютърна програма или преносим код, предназначен за извършване на заплахи за информация, съхранявана в компютърна система, или за скрито злоупотреба със системни ресурси, или по друг начин да се намесва в нормалното функциониране на компютърна система.
Зловреден софтуер включва мрежови червеи, класически файлови вируси, троянски коне, помощни програми за хакване и други програми, които умишлено причиняват вреда на компютъра, на който се изпълняват, или на други компютри в мрежата.
Независимо от вида, злонамереният софтуер е в състояние да причини значителни щети чрез прилагане на всяка заплаха за информацията - заплахи за нарушаване на целостта, поверителността и наличността.
Мястото, където зловреден софтуер се разпространява в световен мащаб, разбира се, е Интернет.
Интернет без съмнение е необходимо нещо в наше време, за някои е просто необходимо. За кратък период от време можете да намерите необходимата информация, да се запознаете с последните новини, както и да общувате с много хора, без да напускате дома, офиса и др. Но не забравяйте, че чрез тази „дебела тръба“ хакерите могат лесно да проникнат в компютъра ви и да получат достъп до вашата лична информация.
Въпреки че доставчиците на хардуер и софтуер и правителствени служители се представят за защитници на лична информация, която не трябва да се променя от други, има сериозни опасения, че нашите интернет пътувания ще бъдат обект на любопитни очи, анонимност и сигурност. Хакерите могат лесно да четат имейл съобщения, а уеб сървърите регистрират всичко, включително дори списъка с прегледани уеб страници.
1. Еволюция на вирусните системи
Първите вирусни програми
1949 г Американски учен от унгарски произход, Джон фон Науман, разработи математическа теория за създаване на самовъзпроизвеждащи се програми. Това беше първата теория за създаването на компютърни вируси, която предизвика много ограничен интерес сред научната общност.
В началото на 60-те години инженерите от американската компания Bell Telephone Laboratories - V.A. Висоцки, Г.Д. Макилрой и Робърт Морис създадоха играта Дарвин. Играта предполага наличието в паметта на компютъра на така наречения супервайзор, който определя правилата и реда на борбата между съперничещи програми, създадени от играчите. Програмите имаха функциите на изследване на космоса, възпроизвеждане и унищожаване. Смисълът на играта беше да изтриете всички копия на програмата на врага и да превземете бойното поле.
Късните 60-те – началото на 70-те години. Появата на първите вируси. В някои случаи това са бъгове в програмите, които карат програмите да се копират, задръствайки твърдите дискове на компютрите и намалявайки тяхната производителност, но в повечето случаи се смята, че вирусите са създадени умишлено да унищожават. Вероятно първата жертва на истински вирус, написан от програмист за забавление, е компютърът Univax 1108. Вирусът се нарича Pervading Animal и заразява само един компютър - на който е създаден.
Зловреден софтуер днес
Проблемът със зловреден софтуер - рекламен и шпионски софтуер - заслужава повишено внимание като един от най-важните проблеми, с които съвременните компютърни потребители се сблъскват всеки ден. Техният вреден ефект е, че подкопават принципа на компютърната надеждност и нарушават неприкосновеността на личния живот, нарушават поверителността и нарушават връзката между защитените механизми на компютъра, чрез някаква комбинация от шпионски действия. Такива програми често се появяват без знанието на получателя и дори да бъдат открити, те трудно се отърват от тях. Забележим спад в производителността, хаотични промени в потребителските настройки и появата на нови съмнителни ленти с инструменти или добавки са само някои от ужасните последици от заразяване с шпионски или рекламен софтуер. Шпионски софтуер и други злонамерени програми също могат да се адаптират към по-фините режими на работа на компютъра и да проникнат дълбоко в сложните механизми на операционната система по такъв начин, че значително да усложнят тяхното откриване и унищожаване.
Намалената производителност е може би най-забележимият ефект от зловреден софтуер, тъй като той пряко засяга производителността на компютъра до такава степен, че дори неспециалистът може да го открие. Ако потребителите не са толкова предпазливи, когато рекламните прозорци изскачат от време на време, дори ако компютърът не е свързан към интернет, тогава намаляване на отзивчивостта на операционната система, тъй като потоците от зловреден код се конкурират със системата и полезните програми , ясно показва появата на проблеми. Настройките на програмата се променят, нови функции се добавят мистериозно, необичайни процеси се появяват в диспечера на задачите (понякога има дузина от тях) или програмите се държат така, сякаш някой друг ги използва и вие сте загубили контрол над тях. Страничните ефекти на зловреден софтуер (независимо дали е рекламен или шпионски софтуер) водят до сериозни последствия и въпреки това много потребители продължават да се държат небрежно, отваряйки широко вратата към своя компютър.
В съвременния интернет средно всяко тридесето писмо е заразено с пощенски червей, около 70% от цялата кореспонденция е нежелана. С разрастването на Интернет броят на потенциалните жертви на авторите на вируси се увеличава; пускането на нови операционни системи води до разширяване на набора от възможни начини за проникване в системата и опции за възможни злонамерени зареждания за вируси. Съвременният компютърен потребител не може да се чувства в безопасност пред заплахата да стане обект на нечия жестока шега - например унищожаване на информация на твърд диск - резултат от дълга и упорита работа или кражба на парола за пощенска система. По същия начин е неприятно да се окажете жертва на масово изпращане на поверителни файлове или връзка към порно сайт. В допълнение към вече обичайната кражба на номера на кредитни карти, зачестиха случаите на кражба на лични данни на играчи на различни онлайн игри - Ultima Online, Legend of Mir, Lineage, Gamania. В Русия също има случаи с играта „Боен клуб“, където реалната цена на някои артикули на търговете достига хиляди щатски долари. Вирусните технологии за мобилни устройства също се развиха. Като път за проникване се използват не само Bluetooth устройства, но и обикновени MMS съобщения (червей ComWar).
2. Видове зловреден софтуер
2.1 Компютърен вирус
Компютърен вирус– вид компютърна програма, чиято отличителна черта е способността за възпроизвеждане (самовъзпроизвеждане). В допълнение към това, вирусите могат да повредят или напълно да унищожат всички файлове и данни, контролирани от потребителя, от чието име е стартирана заразената програма, както и да повредят или дори да унищожат операционната система с всички файлове като цяло.
Неспециалистите понякога класифицират други видове злонамерени програми като компютърни вируси, като троянски коне, шпионски софтуер и дори спам. (спам) е изпращането на търговски, политически и други рекламни или други видове съобщения до лица, които не са изразили желание да ги получават.Законността на масовото изпращане на определени видове съобщения, които не изискват съгласието на получателите, може да бъде залегнали в законодателството на страната.Например, това може да се отнася до съобщения за предстоящи природни бедствия, масова мобилизация на граждани и т.н.В общоприетия смисъл терминът "спам" на руски език е използван за първи път във връзка с изпращане на имейли) Десетки Известни са хиляди компютърни вируси, които се разпространяват чрез интернет по целия свят, организирайки вирусни епидемии.
Вирусите се разпространяват, като се вмъкват в изпълнимия код на други програми или като заместват други програми. Известно време дори се смяташе, че тъй като е програма, вирусът може да зарази само програма - всяка промяна извън програмата не е инфекция, а просто повреда на данните. Беше разбрано, че такива копия на вируса няма да получат контрол, тъй като са информация, която не се използва от процесора като инструкции. Така например неформатиран текст не може да бъде носител на вирус.
По-късно обаче нападателите разбраха, че не само изпълнимият код, съдържащ машинен код на процесора, може да прояви вирусно поведение. Вирусите са написани на езика на командните файлове. Тогава се появиха макро вируси, които се инжектираха чрез макроси в документи в програми като Microsoft Word и Excel.
Известно време по-късно хакерите създадоха вируси, които използват уязвимости в популярния софтуер (например Adobe Photoshop, Internet Explorer, Outlook), който обикновено обработва обикновени данни. Вирусите започнаха да се разпространяват чрез въвеждане на специален код в поредици от данни (например снимки, текстове и т.н.), които използват софтуерни уязвимости.
2.2 Троянски кон
Злонамерени ефекти
Троянски кон (също - троянски кон, троянски кон, троянски кон, троя) е злонамерена програма, която прониква в компютър под прикритието на безобидна - кодек, скрийнсейвър, хакерски софтуер и др.
Троянските коне нямат собствен механизъм за разпространение и това се различава от вирусите, които се разпространяват, като се прикрепят към безвреден софтуер или документи, и червеите, които се възпроизвеждат в мрежата. Троянската програма обаче може да носи вирусно тяло - тогава човекът, който е стартирал троянския кон, се превръща в източник на „инфекция“.
Троянските програми са изключително лесни за писане: най-простите от тях се състоят от няколко десетки реда код на Visual Basic или C++.
Името „Троянска програма“ идва от името „Троянски кон“ - дървен кон, според легендата, даден от древните гърци на жителите на Троя, в който се криели воини, които по-късно отворили портите на града за завоевателите. Това име, на първо място, отразява тайната и потенциалната измама на истинските намерения на разработчика на програмата.
Троянска програма, когато се стартира на компютър, може:
· пречат на работата на потребителя (на шега, по погрешка или за постигане на друга цел);
· шпионира потребителя;
· използване на компютърни ресурси за всякакви незаконни (и понякога причиняващи директни щети) дейности и др.
Троянска маскировка
За да провокира потребителя да стартира троянски кон, програмният файл (неговото име, икона на програмата) се нарича име на услуга, маскирано като друга програма (например инсталиране на друга програма), файл от различен тип или просто дадено привлекателно име, икона и др. Нападателят може да прекомпилира съществуваща програма, като добави злонамерен код към нейния изходен код и след това да я представи като оригинална или да я замени.
За да изпълни успешно тези функции, троянският кон може в една или друга степен да имитира (или дори напълно да замени) задачата или файла с данни, под които се маскира (инсталационна програма, приложна програма, игра, документ за приложение, картина). Подобни злонамерени и камуфлажни функции се използват и от компютърни вируси, но за разлика от тях троянските програми не могат да се разпространяват сами.
Разпръскване
Троянските програми се поставят от атакуващия на отворени ресурси (файлови сървъри, записващи устройства на самия компютър), носители за съхранение или се изпращат чрез услуги за съобщения (например електронна поща) с очакването, че ще бъдат стартирани на конкретен, член на определен кръг или произволен „ целеви компютър.
Понякога използването на троянски коне е само част от планирана многоетапна атака срещу определени компютри, мрежи или ресурси (включително трети страни).
Методи за премахване
Троянските коне се предлагат в много видове и форми, така че няма абсолютно надеждна защита срещу тях.
За да откриете и премахнете троянски коне, трябва да използвате антивирусни програми. Ако антивирусът съобщи, че когато открие троянски кон, не може да го премахне, можете да опитате да заредите операционната система от алтернативен източник и да повторите антивирусното сканиране. Ако в системата бъде открит троянски кон, той може да бъде премахнат и ръчно (препоръчва се безопасен режим).
Изключително важно е редовно да актуализирате антивирусната база данни на антивирусната програма, инсталирана на вашия компютър, за да откривате троянски коне и друг зловреден софтуер, тъй като всеки ден се появяват много нови злонамерени програми.
2.3 Шпионски софтуер
Определение
Шпионски софтуер (шпионски софтуер) е програма, която е тайно инсталирана на компютър, за да контролира напълно или частично работата на компютъра и потребителя без съгласието на последния.
В момента има много дефиниции и тълкувания на термина шпионски софтуер. Коалицията против шпионски софтуер, която включва много големи производители на антишпионски софтуер и антивирусен софтуер, го определя като софтуерен продукт за мониторинг, инсталиран и използван без надлежно уведомяване на потребителя, неговото съгласие и контрол от страна на потребителя, тоест неоторизиран инсталиран.
Характеристики на работа
Шпионският софтуер може да изпълнява широк набор от задачи, например:
· събира информация за навиците за използване на Интернет и най-често посещаваните сайтове (програма за проследяване);
· запомня натискания на клавиши на клавиатурата (keyloggers) и записва екранни снимки на екрана (screen scraper) и впоследствие изпраща информация до създателя на шпионския софтуер;
· неоторизирано и дистанционно управление на компютър (софтуер за дистанционно управление) – бекдори, ботнетове, droneware;
· инсталиране на допълнителни програми на компютъра на потребителя;
· използвани за неоторизиран анализ на състоянието на системите за сигурност (софтуер за анализ на сигурността) – скенери за портове и уязвимости и кракери на пароли;
· промяна на параметрите на операционната система (софтуер за модифициране на системата) - руткитове, контролни прихващачи (hijackers) и др. - което води до намаляване на скоростта на интернет връзката или загуба на връзката като такава, отваряне на други начални страници или изтриване на определени програми;
· пренасочване на активността на браузъра, което включва посещаване на уебсайтове на сляпо с риск от заразяване с вируси.
Законно използване на „потенциално нежелани технологии“
· Проследяващ софтуер (проследяващи програми) се използват широко и напълно легално за наблюдение на персонални компютри.
· Рекламният софтуер може да бъде включен открито в безплатен и споделящ се софтуер и потребителят се съгласява да гледа реклама, за да има някаква допълнителна възможност (например да използва тази програма безплатно). В този случай наличието на програма за показване на реклами трябва да бъде изрично посочено в споразумението с краен потребител (EULA).
· Програмите за отдалечено наблюдение и контрол могат да се използват за отдалечена техническа поддръжка или достъп до вашите собствени ресурси, които се намират на отдалечен компютър.
· Dialers (набирачи) могат да предоставят възможност за получаване на достъп до ресурси, необходими на потребителя (например набиране на интернет доставчик за свързване с интернет).
· Програми за модификация на системата могат да се използват и за желана от потребителя персонализация.
· Програмите за автоматично изтегляне могат да се използват за автоматично изтегляне на актуализации на приложения и актуализации на операционната система.
· Програми за анализ на състоянието на система за сигурност се използват за изследване на сигурността на компютърните системи и за други напълно законни цели.
· Пасивните технологии за проследяване могат да бъдат полезни при персонализиране на уеб страниците, които потребителят посещава.
История и развитие
Според данни от 2005 г. на AOL и Националния алианс за киберсигурност, 61% от отговарящите компютри съдържат някаква форма на шпионски софтуер, от които 92% от потребителите не са знаели за наличието на шпионски софтуер на своите машини, а 91% съобщават, че не са упълномощили инсталиране на шпионски софтуер.
До 2006 г. шпионският софтуер се превърна в една от преобладаващите заплахи за сигурността на компютърните системи, използващи Windows. Компютрите, които използват Internet Explorer като основен браузър, са частично уязвими не защото Internet Explorer е най-широко използваният, а защото неговата тясна интеграция с Windows позволява на шпионския софтуер да получи достъп до ключови части на операционната система.
Преди пускането на Internet Explorer 7, браузърът автоматично показваше инсталационен прозорец за всеки ActiveX компонент, който уебсайт искаше да инсталира. Комбинацията от наивно потребителско невежество към шпионския софтуер и предположението на Internet Explorer, че всички ActiveX компоненти са безвредни, допринесе за разпространението на шпионски софтуер. Много компоненти на шпионски софтуер също използват недостатъци в JavaScript, Internet Explorer и Windows, за да се инсталират без знанието и/или разрешението на потребителя.
Регистърът на Windows съдържа много раздели, които след промяна на ключовите стойности позволяват на програмата да се изпълни автоматично, когато операционната система се стартира. Шпионският софтуер може да използва този модел, за да заобиколи опитите за деинсталиране и премахване.
Шпионският софтуер обикновено се прикачва от всяко място в регистъра, което позволява изпълнение. Веднъж стартиран, шпионският софтуер периодично проверява дали една от тези връзки е изтрита. Ако да, то се възстановява автоматично. Това гарантира, че шпионският софтуер ще работи по време на зареждане на ОС, дори ако някои (или повечето) записи в регистъра за стартиране са премахнати.
Шпионски софтуер, вируси и мрежови червеи
За разлика от вирусите и мрежовите червеи, шпионският софтуер обикновено не се възпроизвежда сам. Подобно на много съвременни вируси, шпионският софтуер се въвежда в компютъра предимно за търговски цели. Типичните прояви включват показване на изскачащи реклами, кражба на лична информация (включително финансова информация като номера на кредитни карти), проследяване на навиците за сърфиране в уебсайтове или пренасочване на заявки на браузъра към рекламни или порнографски сайтове.
Телефонна измама
Създателите на шпионски софтуер могат да извършват измами по телефонните линии, използвайки програми от типа на набиране. Дайлерът може да преконфигурира модема да набира телефонни номера с висока стойност вместо обикновения интернет доставчик. Връзките с тези ненадеждни номера идват на международни или междуконтинентални цени, което води до изключително високи телефонни сметки. Дайлерът не е ефективен на компютри без модем или несвързани към телефонна линия.
Методи за лечение и профилактика
Ако заплахата от шпионски софтуер стане повече от досадна, има редица методи за борба с тях. Те включват програми, предназначени да премахват или блокират въвеждането на шпионски софтуер, както и различни потребителски съвети, насочени към намаляване на вероятността шпионски софтуер да влезе в системата.
Шпионският софтуер обаче остава скъп проблем. Когато значителен брой елементи на шпионски софтуер са заразили операционната система, единственото решение е да запазите файловете с потребителски данни и напълно да преинсталирате операционната система.
Антишпионски програми
Програми като Ad-Aware на Lavasoft (безплатно за некомерсиална употреба, такса за допълнителни услуги) и Spyware Doctor на PC Tools (безплатно сканиране, платено премахване на шпионски софтуер) бързо набраха популярност като ефективни инструменти за премахване и в някои случаи възпиращи средства за шпионски софтуер. През 2004 г. Microsoft придоби GIANT AntiSpyware, преименувайки го на Windows AntiSpyware beta и го пусна като безплатно изтегляне за регистрирани потребители на Windows XP и Windows Server 2003. През 2006 г. Microsoft преименува бета версията на Windows Defender, която беше пусната като безплатно изтегляне (за регистрирани потребители). потребители) от октомври 2006 г. и е включен като стандартен инструмент в Windows Vista.
2.4 Мрежови червеи
Мрежов червей– вид самовъзпроизвеждащи се компютърни програми, разпространявани в локални и глобални компютърни мрежи. Червеят е независима програма.
Някои от първите експерименти за използването на компютърни червеи в разпределените изчисления са проведени в Изследователския център на Xerox Palo Alto от Джон Шох и Джон Хъп през 1978 г. Терминът е повлиян от научнофантастичните романи на Дейвид Геролд „Когато ХАРЛИ стана година“ и Джон Брунър "На ударната вълна"
Един от най-известните компютърни червеи е Morris Worm, написан от Робърт Морис младши, който по това време е студент в университета Корнел. Разпространението на червея започва на 2 ноември 1988 г., след което червеят бързо заразява голям брой компютри, свързани с интернет.
Разпределителни механизми
Червеите могат да използват различни механизми („вектори“) за размножаване. Някои червеи изискват специфично потребителско действие, за да се разпространят (например отваряне на заразено съобщение в имейл клиент). Други червеи могат да се разпространяват автономно, като избират и атакуват компютри по напълно автоматичен начин. Понякога има червеи с цял набор от различни вектори на разпространение, стратегии за избор на жертви и дори експлойти за различни операционни системи.
Структура
Често се изолират така наречените червеи, резидентни в RAM, които могат да заразят работеща програма и да се намират в RAM, без да засягат твърдите дискове. Можете да се отървете от такива червеи, като рестартирате компютъра (и съответно нулирате RAM). Такива червеи се състоят основно от „заразна“ част: експлойт (shellcode) и малък полезен товар (самото тяло на червея), който се намира изцяло в RAM. Спецификата на такива червеи е, че те не се зареждат чрез товарач като всички обикновени изпълними файлове, което означава, че могат да разчитат само на динамични библиотеки, които вече са били заредени в паметта от други програми.
Има и червеи, които след успешно заразяване на паметта записват код на твърдия диск и предприемат мерки за последващо изпълнение на този код (например чрез записване на съответните ключове в системния регистър на Windows). Такива червеи могат да се отърват само с помощта на антивирусна програма или подобни инструменти. Често инфекциозната част на такива червеи (експлойт, шелкод) съдържа малък полезен товар, който се зарежда в RAM и може да „изтегли“ самия червей директно през мрежата под формата на отделен файл. За целта някои червеи могат да съдържат обикновен TFTP клиент в инфекциозната част. Тялото на червея, заредено по този начин (обикновено отделен изпълним файл) вече е отговорно за по-нататъшното сканиране и разпространение от заразената система и може също да съдържа по-сериозен, пълноценен полезен товар, чиято цел може да бъде, за например причиняване на някаква вреда (например DoS -атаки).
Повечето имейл червеи се разпространяват като един файл. Те не се нуждаят от отделна част за „заразяване“, тъй като обикновено жертвата, използвайки имейл клиент, доброволно изтегля и стартира целия червей.
2.5 Руткитове
Руткит– програма или набор от програми, които използват технологии за скриване на системни обекти (файлове, процеси, драйвери, услуги, ключове в регистъра, отворени портове, връзки и т.н.) чрез заобикаляне на системни механизми.
Терминът rootkit исторически идва от света на Unix, където терминът се отнася до набор от помощни програми, които хакерът инсталира на хакнат компютър, след като получи първоначален достъп. Това са, като правило, хакерски инструменти (снифери, скенери) и троянски програми, които заместват основните помощни програми на Unix. Руткитът позволява на хакер да стъпи в компрометирана система и да скрие следи от дейността си.
В Windows терминът руткит обикновено се счита за програма, която се инжектира в системата и прихваща системни функции или замества системни библиотеки. Прихващането и модифицирането на API функции на ниско ниво, на първо място, позволява на такава програма да маскира достатъчно присъствието си в системата, като я предпазва от откриване от потребителя и антивирусния софтуер. В допълнение, много руткитове могат да маскират присъствието в системата на всички процеси, описани в нейната конфигурация, папки и файлове на диска или ключове в системния регистър. Много руткитове инсталират свои собствени драйвери и услуги в системата (те естествено също са „невидими“).
Напоследък заплахата от руткитове става все по-актуална, тъй като разработчиците на вируси, троянски коне и шпионски софтуер започват да вграждат руткит технологии в своя зловреден софтуер. Един класически пример е програмата Trojan-Spy. Win32. Qkart, който маскира присъствието си в системата с руткит технология. Механизмът му RootKit работи чудесно на Windows 95, 98, ME, 2000 и XP.
Класификация на руткитове
Условно всички руткит технологии могат да бъдат разделени на две категории:
· Руткитове, работещи в потребителски режим (потребителски режим)
· Руткитове, работещи в режим на ядрото (режим на ядрото)
Също така руткитовете могат да бъдат класифицирани според техния принцип на работа и устойчивост. Въз основа на принципа на работа:
· Промяна на алгоритмите за изпълнение на системните функции.
· Промяна на структурите на системните данни.
3. Признаци, че вашият компютър е заразен с вирус. Действия, които трябва да се предприемат, ако бъде открита инфекция
Наличието на вируси на компютър е трудно да се открие, тъй като те са скрити сред обикновени файлове. Тази статия описва по-подробно признаците на компютърна инфекция, както и методите за възстановяване на данни след вирусна атака и мерките за предотвратяване на повредата им от зловреден софтуер.
Признаци на инфекция:
· показване на неочаквани съобщения или изображения на екрана;
· подаване на неочаквани звукови сигнали;
· неочаквано отваряне и затваряне на тавата на CD-ROM устройството;
· произволно, без Ваше участие, стартиране на каквито и да било програми на Вашия компютър;
· ако на вашия компютър има защитна стена, ще се появят предупреждения за опит на някоя от вашите компютърни програми за достъп до интернет, въпреки че вие не сте го инициирали по никакъв начин.
Ако забележите нещо подобно да се случва с вашия компютър, много вероятно е компютърът ви да е заразен с вирус.
Освен това има някои характерни признаци на заразяване с вирус по имейл:
· приятели или познати ви казват за съобщения от вас, които не сте изпратили;
· Във вашата пощенска кутия има голям брой съобщения без обратен адрес или заглавка.
Трябва да се отбележи, че подобни симптоми не винаги са причинени от наличието на вируси. Понякога те могат да бъдат следствие от други причини. Например, в случай на поща, заразените съобщения могат да бъдат изпратени с вашия обратен адрес, но не и от вашия компютър.
Има и косвени признаци, че вашият компютър е заразен:
Чести замръзвания и сривове в компютъра;
· Бавна работа на компютъра при стартиране на програми;
· невъзможност за зареждане на операционната система;
· изчезване на файлове и директории или изкривяване на тяхното съдържание;
· чест достъп до твърдия диск (светлината на системния модул мига често);
· интернет браузърът замръзва или се държи неочаквано (например прозорецът на програмата не може да бъде затворен).
В 90% от случаите наличието на индиректни симптоми се дължи на хардуерен или софтуерен срив. Въпреки факта, че подобни симптоми е малко вероятно да означават инфекция, ако се появят, препоръчително е да извършите пълно сканиране на вашия компютър с инсталирана на него антивирусна програма
Действия, които трябва да се предприемат, ако бъде открита инфекция:
1. Изключете компютъра си от интернет (от локалната мрежа).
2. Ако симптомът на инфекцията е, че не можете да стартирате от твърдия диск на компютъра (компютърът дава грешка, когато го включите), опитайте да стартирате в режим на защита срещу срив или от диска за аварийно зареждане на Windows, който сте създали при инсталирането на операционната система на компютъра.
3. Преди да предприемете каквото и да е действие, запазете резултатите от работата си на външен носител (дискета, CD, флашка и др.).
4. Инсталирайте антивирусна програма, ако нямате инсталирани антивирусни програми на вашия компютър.
5. Вземете най-новите актуализации на вашите антивирусни бази данни. Ако е възможно, за да ги получите, влезте в интернет не от собствения си компютър, а от незаразен компютър на приятели, интернет кафе или от работа. По-добре е да използвате друг компютър, тъй като когато се свържете с интернет от заразен компютър, има шанс вирусът да изпрати важна информация на нападателите или да разпространи вируса до адреси в адресната ви книга. Ето защо, ако подозирате инфекция, най-добре е незабавно да прекъснете връзката с интернет.
6. Стартирайте пълно сканиране на вашия компютър.
4. Анти-зловреден софтуер методи
вирус компютърна троянска инфекция
Няма 100% защита срещу всякакъв зловреден софтуер: никой не е имунизиран срещу експлойти като Sasser или Conficker. За да намалите риска от загуби от зловреден софтуер, препоръчваме:
· използват съвременни операционни системи, които имат сериозно ниво на защита срещу зловреден софтуер;
· инсталирайте корекции навреме; ако има автоматичен режим на актуализиране, активирайте го;
· постоянно работете на персонален компютър изключително с потребителски права, а не като администратор, което няма да позволи повечето злонамерени програми да бъдат инсталирани на персонален компютър;
· използване на специализирани софтуерни продукти, които използват така наречените евристични (поведенчески) анализатори за противодействие на злонамерен софтуер, тоест такива, които не изискват сигнатурна база;
· използвайте антивирусни софтуерни продукти от известни производители, с автоматично обновяване на базите данни със сигнатури;
· използване на персонална защитна стена, която контролира достъпа до интернет от персонален компютър въз основа на политики, зададени от потребителя;
· ограничаване на физическия достъп до компютъра от неоторизирани лица;
· използвайте външни носители само от доверени източници;
· не отваряйте компютърни файлове, получени от ненадеждни източници;
· деактивирайте автоматичното стартиране от сменяем носител, което няма да позволи кодовете, които са на него, да се изпълняват без знанието на потребителя (за Windows имате нужда от gpedit.msc->Административни шаблони (Потребителска конфигурация)->Система->Деактивиране на автоматичното стартиране->Активирано “на всички дискове” ).
Съвременните защити срещу различни форми на зловреден софтуер включват различни софтуерни компоненти и методи за откриване на „добри“ и „лоши“ приложения. Днес доставчиците на антивирусни програми вграждат скенери в своите програми за откриване на шпионски софтуер и друг зловреден код, така че всичко е направено за защита на крайния потребител. Никой антишпионски пакет обаче не е перфектен. Един продукт може да е твърде близо до програми, блокирайки ги при най-малкото съмнение, включително „изчистване“ на полезни помощни програми, които редовно използвате. Друг продукт е по-удобен за софтуера, но може да позволи преминаването на шпионски софтуер. Така че, за съжаление, няма панацея.
За разлика от антивирусните пакети, които редовно оценяват 100% ефективност при откриване на вируси при професионални тестове, провеждани от експерти като Virus Bulletin, нито един анти-рекламен пакет не постига резултати над 90%, а много други продукти измерват ефективност между 70% и 80%.
Това обяснява защо използването, например, на антивирусна и антишпионска програма едновременно е най-добрият начин да защитите напълно системата си от опасности, които могат да дойдат неочаквано. Практиката показва, че един пакет трябва да се използва като постоянен "блокер", който се зарежда при всяко включване на компютъра (например AVP 6.0), докато друг пакет (или повече) трябва да се стартира поне веднъж седмично, за да осигури допълнителни сканиране (напр. Ad-Aware). По този начин, това, което един пакет пропуска, друг може да открие.
5. Класификация на антивирусните програми
Видове антивирусни програми
Евгений Касперски през 1992 г. използва следната класификация на антивирусите в зависимост от техния принцип на действие (определяне на функционалността):
· Скенери(остаряла версия - „полифаги“) - определете наличието на вирус, като използвате база данни със сигнатури, която съхранява сигнатури (или техните контролни суми) на вируси. Тяхната ефективност се определя от релевантността на вирусната база данни и наличието на евристичен анализатор (виж: Евристично сканиране).
· Одитори(клас, близък до IDS) – те запомнят състоянието на файловата система, което прави възможно анализирането на промените в бъдеще.
· Пазачи(монитори) – наблюдават потенциално опасни операции, като издават на потребителя съответна заявка за разрешаване / забрана на операцията.
· Ваксини– променете присадения файл по такъв начин, че вирусът, срещу който се дава присадката, вече да счита файла за заразен. В съвременни (2007 г.) условия, когато броят на възможните вируси се измерва в стотици хиляди, този подход е неприложим.
Съвременните антивируси комбинират всички горепосочени функции.
Антивирусите също могат да бъдат разделени на:
Продукти за домашни потребители:
· Всъщност антивируси;
· Комбинирани продукти (например към класическата антивирусна програма се добавят антиспам, защитна стена, антируткит и др.);
Корпоративни продукти:
· Сървърни антивируси;
· Антивируси на работни станции („крайна точка“).
Съвременни средства за антивирусна защита и техните основни функционални характеристики
BitDefender Antivirus Plus v10.
Основни функционални характеристики:
· Функция Heuristics in Virtual Environment – емулация на виртуална машина, с помощта на която чрез евристични алгоритми се сканират потенциално опасни обекти;
· автоматична проверка на данните, предавани по протокола POP3, поддръжка на най-популярните имейл клиенти (MS Exchange, MS Outlook, MS Outlook Express, Netscape, Eudora, Lotus Notes, Pegasus, The Bat и други);
· защита срещу вируси, разпространяващи се чрез Peer-2-Peer мрежи за споделяне на файлове;
· създаване на личен спам списък за потребителя.
Процесор Intel Pentium II 350 MHz, 128 MB RAM, 60 MB свободно място на твърдия диск, Windows 98/NT/Me/2000/XP.
Eset NOD32 2.5
· евристичен анализ за откриване на непознати заплахи;
· ThreatSense технология – анализ на файлове за откриване на вируси, шпионски софтуер, нежелана реклама (рекламен софтуер), фишинг атаки и други заплахи;
· проверка и премахване на вируси от файлове, заключени за запис (например DLL, защитени от системата за сигурност на Windows);
· проверка на HTTP, POP3 и PMTP протоколи.
Минимални системни изисквания:Процесор Intel Pentium, 32 MB RAM, 30 MB свободно място на твърдия диск, Windows 95/98/NT/Me/2000/XP.
Kaspersky Anti-Virus 6.0
Основни функционални характеристики:
· проверка на трафика на ниво протоколи POP3, IMAP и NNTP за входящи съобщения и SMTP за изходящи съобщения, специални добавки за Microsoft Outlook, Microsoft Outlook Express и The Bat!;
· предупреждение на потребителя, ако бъдат открити промени както в нормални процеси, така и когато бъдат открити скрити, опасни и подозрителни процеси;
· контрол на направените промени в системния регистър;
· блокиране на опасни макроси на Visual Basic for Applications в документи на Microsoft Office.
Минимални системни изисквания:Процесор Intel Pentium 133 MHz, 32 MB RAM, 50 MB свободно място на твърдия диск, Microsoft Windows 98/NT/2000/Me/XP.
McAfee VirusScan Pro 10 (2006)
Основни функционални характеристики:
· защита срещу вируси, макро вируси, троянски коне, интернет червеи, шпионски софтуер, рекламен софтуер, злонамерени ActiveX и Java контроли;
· автоматична проверка на входящ (POP3) и изходящ (SMTP) имейл;
· ScriptStopper и WormStopper технологии за блокиране на злонамерени действия на скриптове и червеи.
Минимални системни изисквания:Процесор Intel Pentium 133 MHz, 64 MB RAM, 40 MB свободно място на твърдия диск, Windows 98/Me/2000/XP.
д-р Уеб 4.33a
Основни функционални характеристики:
· защита срещу червеи, вируси, троянски коне, полиморфни вируси, макро вируси, шпионски софтуер, дайлери, рекламен софтуер, хакерски помощни програми и злонамерени скриптове;
· актуализиране на антивирусни бази данни до няколко пъти на час, като размерът на всяка актуализация е до 15 KB;
· проверка на системната памет на компютъра за откриване на вируси, които не съществуват под формата на файлове (например CodeRed или Slammer);
· евристичен анализатор, който ви позволява да неутрализирате неизвестни заплахи, преди да бъдат пуснати съответните актуализации на вирусната база данни.
Минимални системни изисквания:Наличие на Windows 95/98/NT/Me/2000/XP. Изискванията към хардуера съответстват на посочените за посочената ОС.
Заключение
Ако никога преди не сте се сблъсквали с компютърни вируси, определено ще ги срещнете. Имаше време, когато антивирусният софтуер едва се появяваше и вирусите вече бяха в пълна сила, причинявайки милиони долари загуби всеки ден. Днес, разбира се, вирусите също могат да направят живота ни непоносим, но в повечето случаи дори обикновеният потребител може да почисти своя компютър от зловреден софтуер. Но преди няколко години трябваше напълно да форматирате твърдия си диск и да започнете всичко отначало. Но дори и това не винаги водеше до желания резултат.
Запомнете: за да защитите компютъра си, имате нужда от инсталирана и актуализирана антивирусна програма. Не се поддавайте на трикове на измамници, игнорирайте спама и внимавайте, когато инсталирате нелицензирани програми на вашия компютър.
Списък на източниците
1. ITipedia http://www.itpedia.ru/index.php/
2. Уикипедия (безплатна енциклопедия) http://ru.wikipedia.org/wiki/
3. статия http://roox.net.ru/infosec/04/
4. статия http://www.thg.ru/software/malware_spyware_faq/index.html
5. статия http://www.oxpaha.ru/publisher_234_28501
ПОНЯТИЕ И ВИДОВЕ ЗЛОНАМЕРЕН СОУЕР
Първите съобщения за вредни програми, умишлено и тайно въведени в софтуера на различни компютърни системи, се появяват в началото на 80-те години. Името "компютърни вируси" идва от сходството им с биологичен прототип по отношение на способността да се възпроизвеждат независимо. Някои други медицински и биологични термини също бяха прехвърлени в новата компютърна област, например като мутация, щам, ваксина и т.н. Съобщение за програми, които при определени условия започват да произвеждат вредни действия, например след определен брой стартирания те унищожават данните, съхранени в системната информация, но нямат способността да се самовъзпроизвеждат, характерни за вирусите, появили се много по-рано
1.Лука.Условие, което улеснява реализирането на много видове заплахи за информационната сигурност в информационните технологии, е наличието на „капани“. Люкът обикновено се вмъква в програмата на етапа на отстраняване на грешки, за да се улесни работата: този модул може да бъде извикан на различни места, което ви позволява да отстранявате грешки в отделни части на програмата независимо. Наличието на люк ви позволява да извиквате програмата по нестандартен начин, което може да повлияе на състоянието на системата за сигурност. Щриховете може да останат в програмата по различни причини. Откриването на люкове е резултат от произволно и трудоемко търсене. Има само една защита срещу щриховки - да се предотврати появата им в програмата, а при приемане на софтуерни продукти, разработени от други производители, трябва да се анализира изходният код на програмите, за да се открият щриховки.
2. Логически бомбисе използват за изкривяване или унищожаване на информация; по-рядко се използват за извършване на кражба или измама. Логическа бомба понякога се вмъква по време на разработката на програмата и се задейства, когато е изпълнено някакво условие (час, дата, кодова дума). Манипулации с логически бомби се извършват и от недоволни служители, които смятат да напуснат организацията, но това могат да бъдат и консултанти, служители с определени политически убеждения и т.н. Реален пример за логическа бомба: програмист, предусещайки своето уволнение, влиза в програмата за заплати определени промени, които влизат в сила, когато името му изчезне от набора данни за персонала на компанията.
3. Троянски кон- програма, която изпълнява в допълнение към основните, т.е. проектирани и документирани действия, допълнителни действия, които не са описани в документацията. Аналогията с древногръцкия троянски кон е оправдана – и в двата случая заплаха дебне в неподозрителна черупка. Троянски кон е допълнителен блок от команди, вмъкнати по един или друг начин в оригиналната безвредна програма, която след това се прехвърля (дарява, продава) на ИТ потребители. Този блок от команди може да бъде задействан при възникване на определено условие (дата, час, чрез външна команда и т.н.). Троянският кон обикновено действа в рамките на правомощията на един потребител, но в интерес на друг потребител или дори непознат, чиято самоличност понякога е невъзможно да се установи. Троянският кон може да извърши най-опасните действия, ако потребителят, който го е стартирал, има разширен набор от привилегии. В този случай нападател, който е създал и въвел троянски кон и сам няма тези привилегии, може да изпълнява неоторизирани привилегировани функции, използвайки грешни ръце. Радикален начин за защита срещу тази заплаха е създаването на затворена среда за използване на програми.
4. Червей- програма, която се разпространява в мрежата и не оставя копие от себе си на магнитен носител.
Червеят използва механизми за мрежова поддръжка, за да определи кой хост може да е заразен. След това, използвайки същите механизми, той прехвърля тялото си или част от него в този възел и или се активира, или изчаква подходящи условия за това. Подходяща среда за разпространение на червея е мрежа, в която всички потребители се считат за приятелски настроени и имат доверие един на друг и няма защитни механизми. Най-добрият начин да се предпазите от червей е да вземете предпазни мерки срещу неоторизиран достъп до мрежата
5. Грабител на пароли- Това са програми, специално предназначени за кражба на пароли. Когато потребител се опита да получи достъп до работната станция, информацията, необходима за прекратяване на работната сесия, се показва на екрана. При опит за влизане потребителят въвежда име и парола, които се изпращат на собственика на нашественика, след което се показва съобщение за грешка и въвеждането и управлението се връщат към операционната система. Потребител, който смята, че е сгрешил при въвеждането на паролата си, влиза отново и получава достъп до системата. Името и паролата му обаче вече са известни на собственика на програмата нашественик. Прихващането на парола е възможно и по други начини. За да предотвратите тази заплаха, преди да влезете в системата, трябва да се уверите, че въвеждате вашето име и парола в програмата за въвеждане на системата, а не някоя друга. Освен това трябва стриктно да спазвате правилата за използване на пароли и работа със системата. Повечето нарушения се случват не поради хитри атаки, а поради проста небрежност. Спазването на специално разработени правила за използване на пароли е необходимо условие за надеждна защита.
7. Компютърен вирусОбичайно е да се говори за специално написана, обикновено малка програма, която е способна спонтанно да се свързва с други програми (т.е. да ги заразява), да създава свои копия (не непременно напълно идентични с оригинала) и да ги въвежда във файлове, системни области на персонален компютър и други комбинирани с него компютри с цел нарушаване на нормалната работа на програмите, повреждане на файлове и директории и създаване на различни смущения при работа на компютър.
ВИДОВЕ КОМПЮТЪРНИ ВИРУСИ, ТЯХНАТА КЛАСИФИКАЦИЯ
Начинът, по който действат повечето вируси, е чрез промяна на системните файлове на компютъра, така че вирусът да започне своята дейност при всяко зареждане на персоналния компютър. Някои вируси заразяват системни зареждащи файлове, други се специализират в различни програмни файлове. Всеки път, когато потребител копира файлове на носител за съхранение на машина или изпраща заразени файлове по мрежа, прехвърленото копие на вируса се опитва да се инсталира на новото устройство. Всички действия на вируса могат да се извършват доста бързо и без издаване на съобщения, така че потребителят често не забелязва, че компютърът му е заразен и няма време да предприеме подходящи подходящи мерки. За да се анализират ефектите от компютърните вируси, концепцията жизнен цикълвирус, който включва четири основни етапа:
1. Изпълнение
2. Инкубационен период (предимно за скриване на източника на проникване)
3. Възпроизвеждане (саморазмножаване)
4. Унищожаване (изкривяване и/или унищожаване на информация)
Целите на компютърните вируси могат да бъдат разделени на две групи:
1. За да удължат съществуването си, вирусите заразяват други програми, и то не всички, а тези, които се използват най-често и/или имат висок приоритет в информацията
2. Вирусите най-често действат с разрушителна цел върху данни и по-рядко върху програми.
Методите за проявление на компютърни вируси включват:
Забавяне на персоналния компютър, включително замръзване и спиране;
Промяна на данни в съответните файлове;
Невъзможност за зареждане на операционната система;
Прекратяване на действието или неправилна работа на преди това успешно работеща потребителска програма;
Увеличаване на броя на файловете на диска;
Промяна на размера на файловете;
Неизправност на операционната система, която изисква периодично рестартиране;
Периодично появяване на неподходящи съобщения на екрана на монитора;
Появата на звукови ефекти;
Намаляване на количеството свободна RAM;
Забележимо увеличение на времето за достъп до твърдия диск;
Промяна на датата и часа на създаване на файла;
Разрушаване на файловата структура (изчезване на файлове, повреда на директории);
Предупредителната лампа на дисковото устройство светва, когато няма потребителски достъп до него;
Форматиране на диск без потребителска команда и др.
Вирусите могат да бъдат класифицирани според следните характеристики:
1. По тип местообитаниеВирусите се класифицират в следните видове:
· обувка са вградени в сектора за зареждане на диска или в сектора, съдържащ програмата за зареждане на системния диск;
· файл са вградени главно в изпълними файлове с разширения .COMИ .EXE;
· системен проникване в системни модули и драйвери на периферни устройства, таблици за разпределение на файлове и таблици на дялове;
· мрежа вируси живеят в компютърни мрежи;
· файл-зареждане Те засягат секторите за зареждане на дискове и файлове на приложни програми.
2. Според степента на въздействие върху ресурсите на компютърните системи и мрежи Да изпъкнеш :
безвреденвируси , които нямат разрушителен ефект върху работата на персонален компютър, но могат да препълнят RAM в резултат на тяхното възпроизвеждане;
неопаснивирусите не унищожават файлове, но намаляват свободната памет на диска, показват графични ефекти на екрана, създават звукови ефекти и т.н.;
опасновирусите често водят до различни сериозни смущения в работата на персонален компютър и всички информационни технологии;
разрушителенводят до изтриване на информация, пълно или частично прекъсване на приложните програми... и др.
3. Според метода на заразяване на местообитанието вирусите се делят на следните групи:
резидентни вирусиКогато компютърът е заразен, те оставят своята резидентна част в RAM, която след това прихваща извикванията на операционната система към други обекти на заразяване, прониква в тях и извършва своите разрушителни действия, докато компютърът не бъде изключен или рестартиран. Резидентна програма е програма, която се намира постоянно в RAM паметта на персонален компютър.
нерезидентни вирусине заразяват RAM паметта на персонален компютър и са активни за ограничено време.
4. Алгоритмични характеристики на конструиране на вируси влияе върху тяхното проявление и функциониране. Разграничават се следните видове вируси:
§ репликатор,поради бързото си възпроизвеждане водят до препълване на основната памет, а унищожаването на репликаторните програми се затруднява, ако възпроизвежданите програми не са точни копия на оригинала;
§ мутиращс течение на времето те се променят и се самопроизвеждат. В същото време, самовъзпроизвеждайки се, те пресъздават копия, които ясно се различават от оригинала;
§ стелт вируси (невидими)прихваща извиквания от операционната система към заразени файлове и дискови сектори и замества незаразени обекти на тяхно място. При достъп до файлове такива вируси използват доста оригинални алгоритми, които им позволяват да „измамят“ резидентните антивирусни монитори;
§ макровирусиизползвайте възможностите на макро езиците, вградени в програми за обработка на офис данни (текстови редактори, електронни таблици и др.).