Program rău intenționat
Program rău intenționat(în jargonul serviciilor antivirus " malware", Engleză malware, software rău intenționat- „software rău intenționat”) - orice software conceput pentru a obține acces neautorizat la resursele de calcul ale computerului însuși sau la informațiile stocate pe computer, în scopul utilizării neautorizate a resurselor computerului de către proprietar sau să provoace prejudicii (daune) proprietarului informațiilor și/sau proprietarului computerului și/sau proprietarului rețelei de calculatoare, prin copierea, denaturarea, ștergerea sau înlocuirea informațiilor.
Sinonime
- badware (rău- rău și (moale) articole- software) - software prost.
- contaminant de calculator (calculator- calculator și contaminat Contaminant este un termen pentru software rău intenționat utilizat în legile unor state din SUA, cum ar fi California și Virginia de Vest.
- crimeware (crima- crimă și (soft articole- software) este o clasă de programe rău intenționate create special pentru a automatiza infracțiunile financiare. Acesta nu este un sinonim pentru termenul malware (sensul termenului malware este mai larg), dar toate programele legate de crimeware sunt rău intenționate.
Terminologie
Prin definiție de bază, malware-ul este conceput pentru a obține acces neautorizat la informații, ocolind regulile existente de control al accesului. Serviciul Federal pentru Control Tehnic și Export (FSTEC din Rusia) definește aceste concepte după cum urmează:
- Acces autorizat la informații(acces autorizat la informații în limba engleză) - acces la informații care nu încalcă regulile de control al accesului.
- Acces neautorizat la informații(acces neautorizat la informații în limba engleză) - acces la informații care încalcă regulile de control al accesului folosind mijloace standard furnizate de tehnologia informatică sau sistemele automate. Standard înseamnă un set de software, firmware și hardware pentru echipamente informatice sau sisteme automate.
- Reguli de control al accesului(Reguli de mediere a accesului în engleză) - un set de reguli care reglementează drepturile de acces ale subiecților de acces la obiectele de acces
Alte definiții ale termenului „malware”
Conform articolului 273 din Codul penal al Federației Ruse („Crearea, utilizarea și distribuirea de programe rău intenționate pentru computere”), definiția programelor rău intenționate este următoarea: „... programe de calculator sau modificări ale programelor existente, conducând în mod conștient la distrugerea neautorizată, blocarea, modificarea sau copierea informațiilor, întreruperea funcționării unui computer, a unui sistem informatic sau a rețelei acestora...”
Trebuie remarcat că formularea actuală a articolului 273 interpretează conceptul de nocivitate în mod extrem de larg. Când s-a discutat includerea acestui articol în Codul Penal, s-a înțeles că acțiunile programului care nu au fost aprobate în mod explicit vor fi considerate „neautorizate” utilizator acest program. Cu toate acestea, practica judiciară actuală clasifică și programele rău intenționate care modifică (cu permisiunea utilizatorului) fișierele executabile și/sau bazele de date ale altor programe, dacă o astfel de modificare nu este permisă de deținătorii drepturilor de autor. Totodată, într-o serie de cauze, în prezența unei poziții de principiu a apărării și a unei examinări competente, interpretarea largă a articolului 273 a fost declarată nelegală de către instanță.
Microsoft Corporation definește termenul „malware” după cum urmează: „Malware este o abreviere pentru „software rău intenționat”, folosit de obicei ca termen comun pentru a se referi la orice software special conceput pentru a provoca daune unui computer, server sau unei rețele de calculatoare, indiferent dacă este vorba despre un virus, spyware etc.”
Clasificarea programelor malware
Fiecare companie de software antivirus are propria sa clasificare corporativă și nomenclatură de malware. Clasificarea dată în acest articol se bazează pe nomenclatura Kaspersky Lab.
Prin încărcare rău intenționată
| În această secțiune lipsesc referințe la sursele de informații.
Informațiile trebuie să fie verificabile, altfel pot fi puse sub semnul întrebării și șterse. Programele malware pot forma lanțuri: de exemplu, folosind un exploit (1), un încărcător (2) este implementat pe computerul victimei, care instalează un vierme (3) de pe Internet. Simptome de infecție
Cu toate acestea, trebuie luat în considerare faptul că, în ciuda absenței simptomelor, computerul poate fi infectat cu malware. Metode anti-malwareNu există o protecție absolută împotriva programelor malware: nimeni nu este imun la „exploatările zero-day” precum Sasser sau Conficker. Dar, cu unele măsuri, puteți reduce semnificativ riscul de infectare cu malware. Următoarele sunt principalele și cele mai eficiente măsuri de îmbunătățire a securității:
Aspecte legaleLegislația multor țări din întreaga lume prevede diverse sancțiuni, inclusiv răspunderea penală, pentru crearea, utilizarea și distribuirea de programe rău intenționate. În special, răspunderea penală pentru crearea, utilizarea și distribuirea de programe de calculator rău intenționate este prevăzută la articolul 273 din Codul penal al Federației Ruse. Pentru ca un program să fie considerat rău intenționat, sunt necesare trei criterii:
Până în prezent, nu au fost precizate clar nicăieri criterii mai clare după care produsele software (modulele) pot fi clasificate ca programe rău intenționate. În consecință, pentru ca o declarație despre nocivitatea unui program să aibă forță legală, este necesară efectuarea unei examinări software și tehnică cu respectarea tuturor formalităților stabilite de legislația în vigoare. Legături
Vezi si
Produse software anti-malware
Note
| |||||||||
Un virus este de obicei înțeles ca un tip de malware care se autocopiază. Cu ajutorul acestuia, alte fișiere sunt infectate (similar cu virușii din viața reală care infectează celulele biologice în scopul reproducerii).
Cu ajutorul unui virus, puteți face un număr mare de acțiuni diferite: obțineți acces la computer în fundal, furați parola și determinați înghețarea computerului (RAM este umplută și procesorul este încărcat cu diverse procese).
Cu toate acestea, funcția principală a unui virus malware este capacitatea de a se reproduce. Când este activat, programele de pe computer sunt infectate.
Prin rularea software-ului pe un alt computer, virusul infectează și fișierele aici; de exemplu, o unitate flash de pe un computer infectat introdus într-unul sănătos îi va transmite imediat virusul.
Vierme
Comportamentul unui vierme seamănă cu cel al unui virus. Singura diferență este în distribuție. Când un virus infectează programele conduse de o persoană (dacă programele nu sunt folosite pe computerul infectat, virusul nu va pătrunde acolo), viermele se răspândește prin rețelele de calculatoare, din inițiativa personală.
De exemplu, Blaster sa răspândit rapid la Windows XP, deoarece acest sistem de operare nu avea protecție fiabilă pentru serviciile web.
Astfel, viermele a folosit accesul la sistemul de operare prin Internet.
După aceasta, malware-ul s-a mutat pe o nouă mașină infectată pentru a continua replicarea.
Rareori vezi acești viermi, deoarece astăzi Windows are protecție de înaltă calitate: firewall-ul este utilizat în mod implicit.
Cu toate acestea, viermii au capacitatea de a se răspândi prin alte metode - de exemplu, infectează un computer printr-o cutie poștală electronică și trimit copii ale lor tuturor celor salvati în lista de contacte.
Viermele și virusul sunt capabili să efectueze multe alte acțiuni periculoase atunci când infectează un computer. Principalul lucru care dă unui malware caracteristicile unui vierme este modul în care își distribuie propriile copii.
troian
Programele troiene sunt de obicei înțelese ca un tip de malware care arată ca fișiere normale.
Dacă rulați un cal troian, acesta va începe să funcționeze în fundal împreună cu utilitarul obișnuit. În acest fel, dezvoltatorii troieni pot obține acces la computerul victimei lor.
Troienii vă permit, de asemenea, să monitorizați activitatea pe un computer și să conectați computerul la o rețea botnet. Troienii sunt folosiți pentru a deschide gateway-uri și a descărca diferite tipuri de aplicații rău intenționate pe computer.
Să ne uităm la principalele puncte distinctive.
¹ Malware-ul se ascunde sub forma unor aplicații utile și, atunci când este lansat, funcționează în fundal, permițând accesul la propriul computer. Se poate face o comparație cu calul troian, care a devenit personajul principal în opera lui Homer.
² Acest malware nu se copiază în diferite fișiere și nu este capabil să se răspândească în mod independent pe Internet, cum ar fi viermii și virușii.
³ Software-ul piratat poate fi infectat cu un troian.
Spyware
Spyware este un alt tip de malware. Cu cuvinte simple, această aplicație este un spion.
Cu ajutorul acestuia se colectează informații. Diverse tipuri de malware conțin adesea spyware.
Astfel, informațiile financiare sunt furate, de exemplu.
Spyware-ul este adesea folosit cu software complet gratuit și colectează informații despre paginile de Internet vizitate, descărcări de fișiere și așa mai departe.
Dezvoltatorii de software câștigă bani vânzându-și propriile cunoștințe.
Adware
Adware-ul poate fi considerat un aliat al Spyware-ului.
Vorbim despre orice tip de software pentru afișarea mesajelor publicitare pe un computer.
De asemenea, se întâmplă adesea ca Adware să folosească publicitate suplimentară pe site-uri în timp ce le navigați. În această situație este greu să bănuiești ceva.
Keylogger
Keylogger este un utilitar rău intenționat.
Se rulează în fundal și înregistrează toate apăsările de butoane. Aceste informații pot include parole, nume de utilizator, informații despre cardul de credit și alte informații sensibile.
Un keylogger stochează cel mai probabil apăsările de butoane pe propriul server, unde sunt analizate de o persoană sau de un software special.
botnet
Un botnet este o rețea uriașă de computere controlată de un dezvoltator.
În acest caz, computerul acționează ca un „bot” deoarece dispozitivul este infectat cu un anumit malware.
Dacă un computer este infectat cu un „bot”, acesta contactează un server de control și așteaptă instrucțiuni de la botnet-ul dezvoltatorului.
De exemplu, rețelele bot sunt capabile să creeze atacuri DDoS. Toate computerele dintr-o rețea bot pot fi folosite pentru a ataca un anumit server și site web cu solicitări diferite.
Aceste solicitări frecvente pot cauza blocarea serverului.
Dezvoltatorii de botnet vând acces la propria lor botnet. Escrocii pot folosi rețele botne mari pentru a-și duce la îndeplinire ideile insidioase.
Rootkit
Un rootkit este de obicei înțeles ca un software rău intenționat care se află undeva în adâncul unui computer personal.
Ascuns în diferite moduri de utilizatori și programe de securitate.
De exemplu, un rootkit este încărcat înainte ca Windows să pornească și să editeze funcționalitatea sistemului de operare.
Un rootkit poate fi deghizat. Dar principalul lucru care transformă un utilitar rău intenționat într-un rootkit este că acesta este ascuns în „arcurile” sistemului de operare.
Bannere ransomware
Vorbim despre un tip destul de insidios de produs software rău intenționat.
Se pare că destul de mulți oameni au întâlnit acest tip de răufăcător.
Astfel, computerul sau fișierele individuale vor fi ținute ostatice. Pentru ei va trebui plătită o răscumpărare.
Cel mai popular tip sunt bannerele porno care vă cer să trimiteți bani și să specificați un cod. Puteți deveni o victimă a acestui software nu numai vizitând site-uri porno.
Există programe malware precum CryptoLocker.
El criptează literalmente unele obiecte și solicită plata pentru deschiderea accesului la ele. Acest tip de malware este cel mai periculos.
phishing
Phishing (ing. phishing, de la pescuit - pescuit, pescuit - un tip de fraudă pe internet, al cărei scop este de a obține acces la datele confidențiale ale utilizatorilor - login-uri și parole.
Acest lucru se realizează prin trimiterea de e-mailuri în masă în numele unor mărci populare, precum și de mesaje personale în cadrul diferitelor servicii, de exemplu, în numele băncilor sau în cadrul rețelelor sociale. retelelor.
După ce utilizatorul ajunge pe site-ul fals, escrocii încearcă să folosească diverse tehnici psihologice pentru a forța utilizatorul să-și introducă datele, parola de autentificare, pe care o folosește pentru a accesa site-ul, pe pagina falsă, acest lucru le permite escrocilor să aibă acces la conturi și conturi bancare.
Spam
Spamul este trimiterea prin poștă de reclame comerciale sau de altă natură către persoane care nu și-au exprimat dorința de a o primi.
În sensul general acceptat, termenul „spam” în rusă a fost folosit pentru prima dată în legătură cu trimiterea de e-mailuri.
Mesajele nesolicitate din sistemele de mesagerie instantanee (de exemplu, ICQ) se numesc SPIM (engleză) rusă. (Engleză: Spam peste IM).
Ponderea spam-ului în traficul global de e-mail variază între 60% și 80% (extras preluat de pe Wikipedia).
Concluzie
Iată aproape toate cele mai „populare” tipuri de viruși malware.
Sper că vă puteți reduce la minimum întâlnirile cu ei, iar unele pe care nu le veți întâlni niciodată. Puteți citi despre cum să vă protejați computerul și datele utilizatorului.
Rezultate
De ce se numește software-ul antivirus așa? Poate datorită faptului că un număr mare de oameni sunt convinși că „virus” este sinonim pentru software rău intenționat.
Antivirusurile, după cum știți, protejează nu numai de viruși, ci și de alte programe nedorite și, de asemenea, pentru prevenire - prevenirea infecțiilor. Asta e tot deocamdată, ai grijă că aceasta este una dintre componentele principale ale protecției computerului tău.
Video interesant: 10 viruși informatici distructivi.
roboții
Abrevierea cuvântului Robot(robot). Boții sunt programe concepute pentru a automatiza sarcini.
Rețele bot
Un botnet este un grup de computere infectate cu programe bot, controlate de la un singur Centru de control.
Farsele
O farsă este o dezinformare intenționată trimisă prin e-mail și răspândită de către o țintă nebănuită sau un public neinformat. Farsele urmăresc de obicei să provoace utilizatorii să facă lucruri care sunt de fapt neînțelepte. Farsele rău intenționate pot, de exemplu, să determine un utilizator să ștergă fișiere importante ale sistemului de operare, declarând aceste fișiere ca fiind viruși periculoși.
În multe cazuri, farsele se leagă de instituții și companii credibile pentru a atrage atenția cititorilor. De exemplu, ei folosesc expresii precum Microsoft avertizează că... sau relatează CNN... Aceste mesaje avertizează adesea asupra consecințelor dăunătoare sau chiar catastrofale. Astfel de avertismente au o caracteristică comună - încurajează utilizatorii să trimită aceste mesaje tuturor celor pe care îi cunosc, ceea ce crește ciclul de viață al farsei. 99,9% dintre mesajele de acest fel sunt false.
Farsele nu se pot răspândi de la sine; singura modalitate de a evita să vă îndrăgostiți de ele este să verificați acuratețea informațiilor primite înainte de a lua orice acțiune pe care o necesită.
Fraudă
Într-un sens larg, frauda înșală utilizatorii de computere pentru câștiguri financiare sau furturi. Unul dintre cele mai comune tipuri de escrocherii sunt faxurile sau e-mailurile neautorizate din Nigeria sau din alte țări din Africa de Vest. Par propuneri de afaceri rezonabile, dar necesită plăți în avans de la destinatar. Aceste oferte sunt frauduloase și orice plăți efectuate de victimele acestor escrocherii sunt furate imediat. Alte forme comune de fraudă includ atacuri de tip phishing prin e-mail și site-uri web. Scopul lor este să obțină acces la date sensibile precum numere de cont bancar, coduri PIN etc. Pentru a atinge acest obiectiv, utilizatorului i se trimite un e-mail de la o persoană care se prezintă drept persoană de încredere sau partener de afaceri (instituție financiară, companie de asigurări) .
E-mailul pare a fi autentic și conține elemente grafice și conținut care ar fi putut proveni din sursa despre care pretinde că este expeditorul mesajului. Utilizatorului i se cere să introducă informații personale, cum ar fi numere de cont bancar sau nume de utilizator și parole. Astfel de date, dacă sunt furnizate, pot fi interceptate și utilizate în alte scopuri.
Trebuie remarcat faptul că băncile, companiile de asigurări și alte companii legitime nu cer niciodată nume de utilizator și parole în mesajele de e-mail nesolicitate.
Aplicații potențial periculoase
Aplicații periculoase
Aplicațiile periculoase sunt programe legale care, deși sunt instalate personal de către utilizator, pot compromite securitatea computerului. Exemplele includ interceptoare comerciale de apăsare a tastei sau capturi de ecran, instrumente de acces la distanță, declanșatoare de parole și programe de testare a securității.
Programe malware
Termen Programe malware(malware) - versiune prescurtată a termenului general SOFTWARE rău intenționat, sens malware. Virușii, caii troieni, viermii și roboții se încadrează în anumite categorii de malware.
Funcții suplimentare precum captarea datelor, ștergerea fișierelor, suprascrierea discului, suprascrierea BIOS etc., care pot fi incluse în viruși, viermi sau cai troieni.
phishing
Termenul provine din cuvânt pescuit(pescuit). Atacurile de tip phishing sunt trimiterea de e-mailuri fabricate sub masca diferitelor forme de activitate socială, al căror scop este obținerea în mod fraudulos de informații personale sensibile, cum ar fi informații despre cardul de credit sau parole.
Rootkit-uri
Rootkit- un set de instrumente concepute pentru controlul secret asupra unui computer.
Spyware
Spyware folosește Internetul pentru a colecta informații confidențiale despre utilizator fără știrea acestuia. Unele programe spion colectează informații despre aplicațiile instalate pe computerul dvs. și despre site-urile web pe care le vizitați. Alte programe de acest fel sunt create cu intenții mult mai periculoase - colectează date financiare sau personale ale utilizatorilor pentru a le folosi în scopuri egoiste și frauduloase.
troieni
Caii troieni sunt programe rău intenționate care, spre deosebire de viruși și viermi, nu se pot replica și infecta fișierele. Ele se găsesc de obicei sub formă de fișiere executabile ( .EXE, .COM) și nu conțin altceva decât codul troian în sine. Prin urmare, singura modalitate de a le trata este să le eliminați. Programele troiene sunt dotate cu diverse funcții - de la interceptarea introducerii de la tastatură (înregistrarea și transmiterea fiecărei apăsări de tastă) până la ștergerea fișierelor (sau formatarea unui disc). Unii dintre ei ( backdoor - programe) sunt destinate unui scop special - instalează așa-numita „ușă din spate” ( Ușa din spate).
Viruși
Un virus este un program care se activează prin copierea în obiecte executabile. Virușii pot pătrunde în computerul dvs. de la alte computere infectate, prin medii de stocare (dischete, CD-uri etc.) sau printr-o rețea (locală sau Internet). Diferitele tipuri de viruși și descrierile acestora sunt enumerate mai jos.
- Fișieră viruși Virușii care infectează fișierele atacă programele executabile, în special toate fișierele cu extensii EXEȘi COM.
- Viruși de script Virușii script sunt un tip de virus de fișiere. Sunt scrise în diferite limbaje de scripting ( VBS, JavaScript, BĂŢ, PHP etc.). Acești viruși fie infectează alte scripturi (de exemplu, fișiere de comandă și servicii Windows sau Linux), fie fac parte din viruși multicomponent. Virușii de scripturi pot infecta fișiere de alte formate care permit executarea de scripturi, de exemplu, HTML.
- Porniți viruși Aceștia atacă sectoarele de boot (dischetă sau hard disk) și își instalează propriile rutine care sunt încărcate la pornirea computerului.
- Viruși macro
O altă opțiune pentru clasificarea virușilor este după modul lor de acțiune. În timp ce virușii cu acțiune directă își îndeplinesc funcția imediat după activarea obiectului infectat, virușii rezidenți sunt stocați și funcționează în memoria computerului.
Viermii sunt programe independente care „reproduc” copii ale lor prin intermediul rețelei. Spre deosebire de viruși (care necesită un fișier infectat pentru a se răspândi, în care acești viruși se reproduc ei înșiși), viermii se răspândesc activ, trimițând copii ale ei înșiși printr-o rețea locală și internet, prin comunicații prin e-mail sau prin vulnerabilități în sistemele de operare.
În același timp, acestea pot conține umplutură suplimentară - programe rău intenționate (de exemplu, se pot instala backdoor - programe, care sunt discutate mai jos), deși nu numai viermii au această caracteristică. Viermii pot provoca un rău mare; deseori înfundă canalele de comunicare Atacurile DoS (Refuzarea serviciului- refuzul serviciului). Prin internet, viermii se pot răspândi în întreaga lume în câteva minute.
Backdoor - programe
Programe backdoor (Ușa din spate) sunt aplicații client-server care permit dezvoltatorilor unor astfel de programe acces de la distanță la computerul dvs. Spre deosebire de programele obișnuite (legale) cu funcții similare, ușa din spate- programele stabilesc accesul fără acordul proprietarului computerului client.
Titlu pentru h1: Viruși cunoscuți și clasificarea lor
Introducere
Programul rău intenționat este un program de calculator sau un cod portabil conceput pentru a amenința informațiile stocate într-un sistem informatic sau pentru a utiliza greșit în secret resursele sistemului sau pentru a interfera în alt mod cu funcționarea normală a unui sistem informatic.
Software-ul rău intenționat include viermi de rețea, viruși de fișiere clasici, cai troieni, utilitare de hacking și alte programe care provoacă daune în mod deliberat computerului pe care sunt executați sau altor computere din rețea.
Indiferent de tip, malware-ul este capabil să provoace daune semnificative prin implementarea oricărei amenințări la adresa informațiilor - amenințări de încălcare a integrității, confidențialității și disponibilității.
Locul în care malware-ul se răspândește la nivel global este, desigur, Internetul.
Internetul, fără îndoială, este un lucru necesar în timpul nostru, pentru unii este pur și simplu necesar. Într-o perioadă scurtă de timp, puteți găsi informațiile de care aveți nevoie, să vă familiarizați cu ultimele știri și, de asemenea, să comunicați cu multe persoane, totul fără a părăsi casa, biroul, etc. Dar nu uita că prin această „țeavă groasă” hackerii pot pătrunde cu ușurință în computerul tău și pot obține acces la informațiile tale personale.
În timp ce furnizorii de hardware și software și oficialii guvernamentali se prezintă drept protectori ai informațiilor personale care nu ar trebui să fie modificate de către alții, există îngrijorări serioase că călătoriile noastre pe internet vor fi supuse privirilor indiscrete, anonimatul și securitatea negarantate. Hackerii pot citi cu ușurință mesajele de e-mail, iar serverele Web înregistrează totul, inclusiv chiar și lista paginilor Web vizualizate.
1. Evoluția sistemelor virale
Primele programe viruși
1949 Un om de știință american de origine maghiară, John von Naumann, a dezvoltat o teorie matematică pentru crearea de programe cu auto-replicare. Aceasta a fost prima teorie despre crearea virușilor informatici, care a trezit un interes foarte limitat în rândul comunității științifice.
La începutul anilor '60, inginerii de la compania americană Bell Telephone Laboratories - V.A. Vysotsky, G.D. McIlroy și Robert Morris au creat jocul Darwin. Jocul presupunea prezența în memoria computerului a unui așa-zis supervizor, care determina regulile și ordinea luptei dintre programele rivale create de jucători. Programele aveau funcții de explorare, reproducere și distrugere a spațiului. Scopul jocului era de a șterge toate copiile programului inamicului și de a captura câmpul de luptă.
Sfârșitul anilor 60 – începutul anilor 70. Apariția primilor viruși. În unele cazuri, acestea au fost erori ale programelor care au făcut ca programele să se copieze singure, blocând hard disk-urile computerelor și reducându-le productivitatea, dar în majoritatea cazurilor se crede că virușii au fost proiectați în mod deliberat pentru a distruge. Probabil prima victimă a unui virus real, scris de un programator pentru divertisment, a fost computerul Univax 1108. Virusul a fost numit Pervading Animal și a infectat un singur computer - pe care a fost creat.
Malware astăzi
Problema malware-ului - adware și spyware - merită o atenție sporită ca fiind una dintre cele mai importante probleme cu care se confruntă utilizatorii moderni de computere în fiecare zi. Efectul lor dăunător este că subminează principiul fiabilității computerului și încalcă confidențialitatea, încalcă confidențialitatea și rupe relația dintre mecanismele protejate ale computerului, printr-o combinație de acțiuni de spionaj. Astfel de programe apar adesea fără știrea destinatarului și, chiar dacă sunt detectate, sunt greu de scăpat de ele. O scădere vizibilă a performanței, modificările neregulate ale setărilor utilizatorului și apariția de noi bare de instrumente sau suplimente dubioase sunt doar câteva dintre consecințele teribile ale unei infecții cu programe spyware sau adware. Programele spion și alte programe rău intenționate se pot adapta și la moduri mai subtile de funcționare a computerului și pot pătrunde adânc în mecanismele complexe ale sistemului de operare, astfel încât să complice foarte mult detectarea și distrugerea acestora.
Performanța redusă este probabil cel mai vizibil efect al malware-ului, deoarece afectează direct performanța computerului într-o asemenea măsură încât chiar și un neprofesionist o poate detecta. Dacă utilizatorii nu sunt atât de atenți atunci când ferestrele de publicitate apar din când în când, chiar dacă computerul nu este conectat la Internet, atunci o scădere a capacității de răspuns a sistemului de operare, deoarece fluxurile de cod rău intenționat concurează cu sistemul și programele utile , indică clar apariția problemelor. Setările programului se schimbă, funcții noi sunt adăugate în mod misterios, procese neobișnuite apar în managerul de activități (uneori sunt o duzină de ele) sau programele se comportă ca și cum altcineva le folosește și tu ai pierdut controlul asupra lor. Efectele secundare ale programelor malware (fie ele adware sau spyware) duc la consecințe grave și, totuși, mulți utilizatori continuă să se comporte neglijent, deschizând ușa larg către computerul lor.
Pe internetul modern, în medie, fiecare a treizecea scrisoare este infectată cu un vierme de corespondență, aproximativ 70% din toată corespondența este nedorită. Odată cu creșterea internetului, numărul de victime potențiale ale scriitorilor de viruși crește; lansarea de noi sisteme de operare implică o extindere a gamei de posibile moduri de a pătrunde în sistem și opțiuni pentru posibile încărcări rău intenționate pentru viruși. Un utilizator modern de computer nu se poate simți în siguranță în fața amenințării de a deveni obiectul unei glume crude a cuiva - de exemplu, distrugerea informațiilor de pe un hard disk - rezultatele unei munci lungi și minuțioase sau furtul unei parole pentru sistem de mail. În același mod, este neplăcut să te regăsești victima unei trimiteri în masă a fișierelor confidențiale sau a unui link către un site porno. Pe lângă furtul deja obișnuit de numere de card de credit, cazurile de furt de date personale ale jucătorilor diferitelor jocuri online - Ultima Online, Legend of Mir, Lineage, Gamania - au devenit mai frecvente. În Rusia, au existat și cazuri cu jocul „Fight Club”, în care costul real al unor articole la licitații ajunge la mii de dolari SUA. S-au dezvoltat și tehnologiile de virus pentru dispozitivele mobile. Nu numai dispozitivele Bluetooth, ci și mesajele MMS obișnuite (vierme ComWar) sunt folosite ca rută de penetrare.
2. Tipuri de malware
2.1 Virus informatic
Virus de calculator– un tip de program de calculator, a cărui trăsătură distinctivă este capacitatea de reproducere (autoreplicare). În plus, virușii pot deteriora sau distruge complet toate fișierele și datele controlate de utilizatorul în numele căruia a fost lansat programul infectat, precum și deteriora sau chiar distruge sistemul de operare cu toate fișierele în ansamblu.
Nespecialiștii clasifică uneori alte tipuri de programe rău intenționate ca viruși informatici, cum ar fi troieni, programe spyware și chiar spam. (Spam) este trimiterea de mesaje comerciale, politice și de altă natură publicitare sau de altă natură către persoane care nu și-au exprimat dorința de a le primi. Legalitatea trimiterii în masă a anumitor tipuri de mesaje care nu necesită acordul destinatarilor poate fi consacrat în legislația țării. De exemplu, aceasta poate viza mesaje despre dezastre naturale iminente, mobilizarea în masă a cetățenilor etc. În sensul general acceptat, termenul „spam” în limba rusă a fost folosit pentru prima dată în legătură cu trimiterea de e-mailuri) Zeci se cunosc mii de viruși informatici care se răspândesc prin internet în întreaga lume, organizând epidemii virale.
Virușii se răspândesc prin inserarea în codul executabil al altor programe sau prin înlocuirea altor programe. De ceva vreme chiar s-a crezut că, fiind un program, un virus ar putea infecta doar un program - orice modificare a unui program nu este o infecție, ci pur și simplu coruperea datelor. S-a înțeles că astfel de copii ale virusului nu vor câștiga controlul, fiind informații nefolosite de procesor ca instrucțiuni. Deci, de exemplu, textul neformatat nu ar putea fi purtător de virus.
Cu toate acestea, mai târziu, atacatorii și-au dat seama că nu numai codul executabil care conține codul mașinii procesorului poate prezenta un comportament viral. Virușii au fost scrisi în limba fișierelor batch. Apoi au apărut macrovirusuri, injectându-se prin macro-uri în documente din programe precum Microsoft Word și Excel.
Un timp mai târziu, hackerii au creat viruși care exploatează vulnerabilitățile din software-ul popular (de exemplu, Adobe Photoshop, Internet Explorer, Outlook), care procesează în general date obișnuite. Virușii au început să se răspândească prin introducerea de cod special în secvențele de date (de exemplu, imagini, texte etc.) care exploatează vulnerabilitățile software.
2.2 Troian
Efecte răuvoitoare
Un troian (de asemenea - troian, troian, troian horse, troy) este un program rău intenționat care pătrunde într-un computer sub masca unuia inofensiv - un codec, screensaver, software de hacker etc.
Caii troieni nu au propriul mecanism de propagare, iar acesta diferă de viruși, care se răspândesc prin atașarea de software sau documente inofensive, și de viermi, care se reproduc în rețea. Cu toate acestea, un program troian poate transporta un corp viral - atunci persoana care a lansat troianul se transformă într-o sursă de „infecție”.
Programele troiene sunt extrem de ușor de scris: cele mai simple dintre ele constau din câteva zeci de linii de cod în Visual Basic sau C++.
Denumirea „program troian” provine de la denumirea „cal troian” - un cal de lemn, conform legendei, dat de grecii antici locuitorilor din Troia, în interiorul căruia se ascundeau războinici care mai târziu au deschis porțile orașului cuceritorilor. Acest nume, în primul rând, reflectă secretul și potențiala înșelăciune a adevăratelor intenții ale dezvoltatorului programului.
Un program troian, atunci când este lansat pe un computer, poate:
· interferează cu munca utilizatorului (în glumă, din greșeală sau pentru a atinge orice alt scop);
· spionează utilizatorul;
· utilizați resursele computerului pentru orice activități ilegale (și uneori care provoacă daune directe) etc.
Deghizarea troiană
Pentru a provoca utilizatorul să lanseze un troian, fișierul de program (numele său, pictograma programului) este numit un nume de serviciu, deghizat ca alt program (de exemplu, instalarea unui alt program), un fișier de alt tip sau pur și simplu dat un nume atrăgător, icoană etc. Un atacator poate recompila un program existent, adăugând cod rău intenționat la codul său sursă și apoi îl poate transforma ca original sau îl poate înlocui.
Pentru a îndeplini cu succes aceste funcții, troianul poate, într-o măsură sau alta, să imite (sau chiar să înlocuiască complet) sarcina sau fișierul de date în care se maschează (program de instalare, program de aplicație, joc, document de aplicație, imagine). Funcții similare rău intenționate și de camuflaj sunt folosite și de virușii informatici, dar spre deosebire de aceștia, programele troiene nu se pot răspândi de la sine.
Răspândirea
Programele troiene sunt plasate de către atacator pe resurse deschise (servere de fișiere, unități de scriere ale computerului în sine), medii de stocare sau trimise prin servicii de mesagerie (de exemplu, e-mail) cu așteptarea că vor fi lansate pe un anumit, membru al unui anumit cerc sau „calculator țintă” arbitrar.
Uneori, utilizarea troienilor este doar o parte a unui atac planificat în mai multe etape asupra anumitor computere, rețele sau resurse (inclusiv terțe părți).
Metode de îndepărtare
Troienii vin în multe tipuri și forme, așa că nu există o protecție absolut sigură împotriva lor.
Pentru a detecta și elimina troienii, trebuie să utilizați programe antivirus. Dacă antivirusul raportează că atunci când detectează un troian nu îl poate elimina, atunci puteți încerca să încărcați sistemul de operare dintr-o sursă alternativă și să repetați scanarea antivirus. Dacă pe sistem este detectat un troian, acesta poate fi eliminat și manual (se recomandă modul sigur).
Este extrem de important să actualizați în mod regulat baza de date antivirus a antivirusului instalat pe computer pentru a detecta troieni și alte programe malware, deoarece în fiecare zi apar multe programe noi rău intenționate.
2.3 Spyware
Definiție
Spyware (spyware) este un program care este instalat în secret pe un computer pentru a controla total sau parțial funcționarea computerului și a utilizatorului fără acordul acestuia din urmă.
În prezent, există multe definiții și interpretări ale termenului de spyware. Coaliția Anti-Spyware, care include mulți producători importanți de software anti-spyware și anti-virus, îl definește ca un produs software de monitorizare instalat și utilizat fără notificarea corespunzătoare a utilizatorului, consimțământul și controlul acestuia de către utilizator, adică neautorizat. instalat.
Caracteristici de funcționare
Programele spion pot efectua o gamă largă de sarcini, de exemplu:
· colectează informații despre obiceiurile de utilizare a internetului și site-urile cel mai frecvent vizitate (program de urmărire);
· amintiți-vă apăsările de pe tastatură (keylogger) și înregistrați capturi de ecran ale ecranului (screen scraper) și apoi trimiteți informații către creatorul programului spyware;
· control neautorizat și de la distanță al unui computer (software de control de la distanță) – backdoors, botnet, droneware;
· instalați programe suplimentare pe computerul utilizatorului;
· utilizat pentru analiza neautorizată a stării sistemelor de securitate (software de analiză de securitate) - scanere de porturi și vulnerabilități și crackere de parole;
· modificarea parametrilor sistemului de operare (software de modificare a sistemului) - rootkit-uri, interceptori de control (hijackers), etc. - având ca rezultat scăderea vitezei conexiunii la Internet sau pierderea conexiunii ca atare, deschiderea altor pagini de start sau ștergerea anumitor programe;
· redirecționează activitatea browserului, care implică vizitarea orbește a site-urilor web cu riscul de infectare cu virus.
Utilizări legale ale „tehnologiilor potențial nedorite”
· Software-ul de urmărire (programele de urmărire) sunt utilizate pe scară largă și complet legal pentru monitorizarea computerelor personale.
· Adware-ul poate fi inclus în mod deschis în software-ul gratuit și shareware, iar utilizatorul este de acord să vizualizeze reclame pentru a avea o oportunitate suplimentară (de exemplu, pentru a utiliza acest program gratuit). În acest caz, prezența unui program de afișare a reclamelor trebuie menționată în mod explicit în acordul cu utilizatorul final (EULA).
· Programele de monitorizare și control de la distanță pot fi utilizate pentru asistență tehnică de la distanță sau pentru acces la resursele proprii care se află pe un computer la distanță.
· Dialerele (dialerele) pot oferi posibilitatea de a obține acces la resursele necesare utilizatorului (de exemplu, apelarea la un furnizor de Internet pentru a se conecta la Internet).
· Programele pentru modificarea sistemului pot fi folosite și pentru personalizarea dorită de utilizator.
· Programele de descărcare automată pot fi folosite pentru a descărca automat actualizări ale aplicațiilor și actualizări ale sistemului de operare.
· Programele de analiză a stării unui sistem de securitate sunt folosite pentru studiul securității sistemelor informatice și în alte scopuri complet legale.
· Tehnologiile de urmărire pasivă pot fi utile în personalizarea paginilor web pe care le vizitează un utilizator.
Istorie și dezvoltare
Conform datelor din 2005 de la AOL și Alianța Națională pentru Securitate Cibernetică, 61% dintre computerele care au răspuns conțineau o formă de spyware, dintre care 92% dintre utilizatori nu cunoșteau prezența programelor spion pe mașinile lor și 91% au raportat că nu au autorizat. instalarea de spyware.
Până în 2006, programele spion deveniseră una dintre amenințările predominante de securitate la adresa sistemelor informatice care foloseau Windows. Calculatoarele care folosesc Internet Explorer ca browser principal sunt parțial vulnerabile nu pentru că Internet Explorer este cel mai utilizat, ci pentru că integrarea sa strânsă cu Windows permite programelor spion să obțină acces la părți cheie ale sistemului de operare.
Înainte de lansarea Internet Explorer 7, browserul prezenta automat o fereastră de instalare pentru orice componentă ActiveX pe care un site web dorea să o instaleze. Combinația dintre ignoranța naivă a utilizatorilor față de programele spion și presupunerea Internet Explorer că toate componentele ActiveX sunt inofensive a contribuit la proliferarea programelor spion. Multe componente spyware exploatează, de asemenea, defecte în JavaScript, Internet Explorer și Windows pentru a se instala singure fără știrea și/sau permisiunea utilizatorului.
Registrul Windows conține multe secțiuni care, după modificarea valorilor cheilor, permit programului să se execute automat la pornirea sistemului de operare. Programele spion pot folosi acest model pentru a ocoli încercările de dezinstalare și eliminare.
Spyware-ul se atașează de obicei din fiecare locație din registry care permite execuția. Odată rulat, spyware-ul verifică periodic dacă unul dintre aceste link-uri a fost șters. Dacă da, atunci este restaurat automat. Acest lucru asigură că programele spion vor rula în timpul pornirii sistemului de operare, chiar dacă unele (sau majoritatea) intrărilor din registrul de pornire sunt eliminate.
Spyware, viruși și viermi de rețea
Spre deosebire de viruși și viermi de rețea, spyware-ul de obicei nu se reproduce singur. La fel ca mulți viruși moderni, programele spion sunt introduse într-un computer în primul rând în scopuri comerciale. Manifestările tipice includ afișarea de reclame pop-up, furtul de informații personale (inclusiv informații financiare, cum ar fi numerele de card de credit), urmărirea obiceiurilor de navigare pe site-uri sau redirecționarea solicitărilor de browser către site-uri de publicitate sau pornografie.
Înșelătorie telefonică
Creatorii de programe spion pot comite fraude pe liniile telefonice folosind programe de tip dialer. Dialerul poate reconfigura modemul pentru a apela numere de telefon de mare valoare în locul ISP-ului obișnuit. Conexiunile la aceste numere de încredere vin la tarife internaționale sau intercontinentale, rezultând facturi de telefon exorbitant de mari. Dialerul nu este eficient pe computerele fără modem sau care nu sunt conectate la o linie telefonică.
Metode de tratament și prevenire
Dacă amenințarea spyware devine mai mult decât enervantă, există o serie de metode pentru a le combate. Acestea includ programe concepute pentru a elimina sau bloca introducerea de spyware, precum și diverse sfaturi pentru utilizatori menite să reducă probabilitatea ca spyware să intre în sistem.
Cu toate acestea, spyware-ul rămâne o problemă costisitoare. Când un număr semnificativ de elemente spyware au infectat sistemul de operare, singurul remediu este salvarea fișierelor de date ale utilizatorului și reinstalarea completă a sistemului de operare.
Programe antispyware
Programe precum Ad-Aware de la Lavasoft (gratuit pentru utilizare necomercială, costuri suplimentare pentru servicii) și Spyware Doctor de la PC Tools (scanare gratuită, eliminare plătită a programelor spion) au câștigat rapid popularitate ca instrumente eficiente de eliminare și, în unele cazuri, ca instrumente de descurajare a programelor spion. În 2004, Microsoft a achiziționat GIANT AntiSpyware, redenumindu-l Windows AntiSpyware beta și lansându-l ca descărcare gratuită pentru utilizatorii înregistrați de Windows XP și Windows Server 2003. În 2006, Microsoft a redenumit versiunea beta Windows Defender, care a fost lansată ca descărcare gratuită (pentru înregistrați utilizatori). utilizatori) din octombrie 2006 și este inclus ca instrument standard în Windows Vista.
2.4 Viermi de rețea
Vierme de rețea– un tip de programe de calculator cu auto-reproducere distribuite în rețele de calculatoare locale și globale. Viermele este un program independent.
Unele dintre primele experimente privind utilizarea viermilor de computer în calcularea distribuită au fost efectuate la Centrul de Cercetare Xerox Palo Alto de către John Shoch și Jon Hupp în 1978. Termenul a fost influențat de romanele științifico-fantastice ale lui David Gerrold When HARLEY Turned year” și John Brunner. „Pe valul de șoc”
Unul dintre cei mai faimoși viermi de computer este viermele Morris, scris de Robert Morris Jr., care era student la Universitatea Cornell la acea vreme. Răspândirea viermelui a început pe 2 noiembrie 1988, după care viermele a infectat rapid un număr mare de computere conectate la Internet.
Mecanisme de distribuție
Viermii pot folosi diverse mecanisme („vectori”) pentru propagare. Unii viermi necesită o anumită acțiune a utilizatorului pentru a se răspândi (de exemplu, deschiderea unui mesaj infectat într-un client de e-mail). Alți viermi se pot răspândi în mod autonom, selectând și atacând computerele într-un mod complet automat. Uneori există viermi cu o gamă întreagă de vectori de propagare diferiți, strategii de selecție a victimelor și chiar exploatări pentru diferite sisteme de operare.
Structura
Adesea, așa-numiții viermi rezidenți în RAM sunt izolați, care pot infecta un program care rulează și pot locui în RAM, fără a afecta hard disk-urile. Puteți scăpa de astfel de viermi repornind computerul (și, în consecință, resetarea memoriei RAM). Astfel de viermi constau în principal dintr-o parte „infecțioasă”: un exploit (shellcode) și o sarcină utilă mică (corpul viermelui însuși), care este situat în întregime în RAM. Specificul unor astfel de viermi este că nu sunt încărcați printr-un încărcător ca toate fișierele executabile obișnuite, ceea ce înseamnă că se pot baza doar pe biblioteci dinamice care au fost deja încărcate în memorie de către alte programe.
Există și viermi care, după infectarea cu succes a memoriei, salvează codul pe hard disk și iau măsuri pentru a rula ulterior acest cod (de exemplu, prin scrierea cheilor corespunzătoare în registrul Windows). Astfel de viermi pot fi scăpați doar de un antivirus sau de instrumente similare. Adesea, partea infecțioasă a unor astfel de viermi (exploat, shellcode) conține o sarcină utilă mică, care este încărcată în RAM și poate „descărca” viermele în sine direct prin rețea sub forma unui fișier separat. Pentru a face acest lucru, unii viermi pot conține un simplu client TFTP în partea infecțioasă. Corpul viermelui încărcat în acest mod (de obicei un fișier executabil separat) este acum responsabil pentru scanarea și răspândirea ulterioară din sistemul infectat și poate conține, de asemenea, o sarcină utilă mai serioasă, cu drepturi depline, al cărei scop ar putea fi, pt. de exemplu, provocând anumite vătămări (de exemplu, atacuri DoS).
Majoritatea viermilor de e-mail sunt distribuiți ca un singur fișier. Nu au nevoie de o parte separată de „infecție”, deoarece, de obicei, utilizatorul victimă, folosind un client de e-mail, descarcă și lansează voluntar întregul vierme.
2.5 Rootkit-uri
Rootkit– un program sau un set de programe care utilizează tehnologii pentru ascunderea obiectelor de sistem (fișiere, procese, drivere, servicii, chei de registry, porturi deschise, conexiuni etc.) prin ocolirea mecanismelor de sistem.
Termenul rootkit provine istoric din lumea Unix, unde termenul se referă la un set de utilități pe care un hacker le instalează pe un computer piratat după ce a obținut accesul inițial. Acestea sunt, de regulă, instrumente de hacker (sniffer, scanere) și programe troiene care înlocuiesc principalele utilitare Unix. Un rootkit permite unui hacker să pună un loc într-un sistem compromis și să ascundă urmele activităților sale.
În Windows, termenul rootkit este de obicei considerat a fi un program care se injectează într-un sistem și interceptează funcțiile sistemului sau înlocuiește bibliotecile de sistem. Interceptarea și modificarea funcțiilor API de nivel scăzut, în primul rând, permite unui astfel de program să-și mascheze suficient prezența în sistem, protejându-l de detectarea de către utilizator și de software-ul antivirus. În plus, multe rootkit-uri pot masca prezența în sistem a oricăror procese descrise în configurația sa, folderele și fișierele de pe disc sau cheile din registry. Multe rootkit-uri își instalează propriile drivere și servicii în sistem (în mod natural sunt și „invizibile”).
Recent, amenințarea rootkit-urilor a devenit din ce în ce mai relevantă pe măsură ce dezvoltatorii de viruși, troieni și spyware încep să încorporeze tehnologiile rootkit-urilor în malware-ul lor. Un exemplu clasic este programul Trojan-Spy. Win32. Qukart, care își maschează prezența în sistem folosind tehnologia rootkit. Mecanismul său RootKit funcționează excelent pe Windows 95, 98, ME, 2000 și XP.
Clasificarea rootkit-urilor
În mod convențional, toate tehnologiile rootkit pot fi împărțite în două categorii:
· Rootkit-uri care funcționează în modul utilizator (modul utilizator)
· Rootkit-uri care rulează în modul kernel (mod kernel)
De asemenea, rootkit-urile pot fi clasificate în funcție de principiul lor de funcționare și persistență. Pe baza principiului de funcționare:
· Modificarea algoritmilor pentru efectuarea funcţiilor sistemului.
· Modificarea structurilor de date ale sistemului.
3. Semne că computerul dumneavoastră este infectat cu un virus. Măsuri de luat dacă se detectează o infecție
Prezența virușilor pe un computer este dificil de detectat, deoarece aceștia sunt ascunși printre fișierele obișnuite. Acest articol descrie mai detaliat semnele unei infecții ale computerului, precum și metodele de recuperare a datelor după un atac de virus și măsurile pentru a preveni deteriorarea acestora de malware.
Semne de infecție:
· afișarea mesajelor sau imaginilor neașteptate pe ecran;
· darea de semnale sonore neașteptate;
· deschiderea și închiderea neașteptată a tăvii dispozitivului CD-ROM;
· lansarea arbitrară, fără participarea dumneavoastră, a oricăror programe pe computerul dumneavoastră;
· dacă există un firewall pe computer, vor apărea avertismente despre o încercare a oricăruia dintre programele dumneavoastră de calculator de a accesa Internetul, deși nu ați inițiat acest lucru în niciun fel.
Dacă observați că se întâmplă așa ceva cu computerul dvs., este foarte probabil ca computerul să fie infectat cu un virus.
În plus, există câteva semne caracteristice de a fi infectat cu un virus prin e-mail:
· prietenii sau cunoștințele îți spun despre mesaje de la tine pe care nu le-ai trimis;
· Există un număr mare de mesaje în căsuța dvs. poștală fără adresă de retur sau antet.
Trebuie remarcat faptul că astfel de simptome nu sunt întotdeauna cauzate de prezența virușilor. Uneori pot fi o consecință a altor motive. De exemplu, în cazul e-mailului, mesajele infectate pot fi trimise cu adresa dvs. de retur, dar nu de pe computer.
Există, de asemenea, semne indirecte că computerul dvs. este infectat:
Înghețări și blocări frecvente în computer;
· Funcționarea lentă a computerului la lansarea programelor;
· incapacitatea de a încărca sistemul de operare;
· dispariția fișierelor și directoarelor sau denaturarea conținutului acestora;
· acces frecvent la hard disk (lumina de pe unitatea de sistem clipește frecvent);
· browserul de Internet se blochează sau se comportă neașteptat (de exemplu, fereastra programului nu poate fi închisă).
În 90% din cazuri, prezența simptomelor indirecte este cauzată de o defecțiune hardware sau software. În ciuda faptului că este puțin probabil ca astfel de simptome să indice o infecție, dacă apar, se recomandă să efectuați o scanare completă a computerului dvs. cu un program antivirus instalat pe acesta.
Măsuri de luat dacă este detectată o infecție:
1. Deconectați computerul de la Internet (de la rețeaua locală).
2. Dacă simptomul infecției este că nu puteți porni de pe hard disk-ul computerului (calculatorul dă o eroare când îl porniți), încercați să porniți în modul de protecție împotriva erorilor sau de pe discul de pornire de urgență Windows pe care l-ați creat la instalarea sistemului de operare. sistem pe computer.
3. Înainte de a lua orice acțiune, salvați rezultatele muncii dvs. pe un suport extern (dischetă, CD, unitate flash etc.).
4. Instalați un antivirus dacă nu aveți niciun program antivirus instalat pe computer.
5. Obțineți cele mai recente actualizări ale bazelor de date antivirus. Dacă este posibil, pentru a le primi, accesați Internetul nu de pe propriul computer, ci de la un computer neinfectat al prietenilor, un Internet cafe sau de la serviciu. Este mai bine să utilizați un alt computer, deoarece atunci când vă conectați la Internet de pe un computer infectat, există șansa ca virusul să trimită informații importante atacatorilor sau să răspândească virusul la adresele din agenda dvs. De aceea, dacă bănuiți o infecție, cel mai bine este să vă deconectați imediat de la Internet.
6. Rulați o scanare completă a computerului.
4. Metode anti-malware
virus troian infecție computer
Nu există protecție 100% împotriva tuturor programelor malware: nimeni nu este imun la exploit-uri precum Sasser sau Conficker. Pentru a reduce riscul pierderilor din cauza programelor malware, vă recomandăm:
· utilizați sisteme de operare moderne care au un nivel serios de protecție împotriva programelor malware;
· instalați patch-uri în timp util; dacă există un mod de actualizare automată, activați-l;
· lucrează constant pe un computer personal exclusiv cu drepturi de utilizator, și nu ca administrator, ceea ce nu va permite instalarea majorității programelor rău intenționate pe un computer personal;
· utilizați produse software specializate care utilizează așa-numitele analizoare euristice (comportamentale) pentru a contracara malware-ul, adică cele care nu necesită o bază de semnătură;
· utilizați produse software antivirus de la producători cunoscuți, cu actualizarea automată a bazelor de date de semnături;
· utilizați un firewall personal care controlează accesul la Internet de pe un computer personal pe baza politicilor stabilite de utilizator;
· restricționarea accesului fizic la computer al persoanelor neautorizate;
· utilizați medii externe numai din surse de încredere;
· nu deschideți fișierele de calculator primite din surse nesigure;
· dezactivați executarea automată de pe mediile amovibile, ceea ce nu va permite ca codurile care se află pe acesta să ruleze fără știrea utilizatorului (pentru Windows aveți nevoie de gpedit.msc->Șabloane administrative (Configurație utilizator)->Sistem->Dezactivați Rulare automată->Activat „on toate unitățile” ).
Apărarea modernă împotriva diferitelor forme de malware include o varietate de componente software și metode pentru detectarea aplicațiilor „bune” și „rele”. Astăzi, furnizorii de antivirus integrează scanere în programele lor pentru a detecta programele spion și alte coduri rău intenționate, astfel încât totul este făcut pentru a proteja utilizatorul final. Cu toate acestea, niciun pachet anti-spyware nu este perfect. Un produs poate fi prea aproape de programe, blocându-le la cea mai mică suspiciune, inclusiv „curățarea” utilităților utile pe care le utilizați în mod regulat. Un alt produs este mai prietenos cu software-ul, dar poate permite trecerea unor programe spyware. Deci, din păcate, nu există panaceu.
Spre deosebire de pachetele antivirus, care în mod regulat au un punctaj de eficiență de 100% la detectarea virușilor în testele profesionale efectuate de experți, cum ar fi Virus Bulletin, niciun pachet anti-adware nu obține scoruri peste 90% și multe alte produse măsoară între 70% și 80%.
Aceasta explică de ce utilizarea, de exemplu, a unui program antivirus și a unui program antispyware simultan este cea mai bună modalitate de a vă proteja complet sistemul de pericolele care pot veni în mod neașteptat. Practica arată că un pachet ar trebui să fie folosit ca „blocator” permanent, care este încărcat de fiecare dată când computerul este pornit (de exemplu, AVP 6.0), în timp ce un alt pachet (sau mai multe) ar trebui să fie rulat cel puțin o dată pe săptămână pentru a oferi suplimentar scanare (de ex. Ad-Aware). Astfel, ceea ce un pachet ratează, altul poate detecta.
5. Clasificarea programelor antivirus
Tipuri de programe antivirus
Evgeny Kaspersky în 1992 a folosit următoarea clasificare a antivirusurilor în funcție de principiul lor de funcționare (determinarea funcționalității):
· Scanere(versiune învechită - „polifage”) - determină prezența unui virus folosind o bază de date de semnături care stochează semnăturile (sau sumele lor de verificare) ale virușilor. Eficacitatea lor este determinată de relevanța bazei de date de virus și de prezența unui analizor euristic (vezi: Scanare euristică).
· Auditorii(o clasă apropiată de IDS) – își amintesc starea sistemului de fișiere, ceea ce face posibilă analiza schimbărilor în viitor.
· Paznicii(monitoare) – monitorizează operațiunile potențial periculoase, emitând utilizatorului o cerere corespunzătoare de a permite/interzice operarea.
· Vaccinuri– modificați fișierul grefat în așa fel încât virusul împotriva căruia i se administrează grefa să considere deja fișierul infectat. În condițiile moderne (2007), când numărul de viruși posibili este măsurat în sute de mii, această abordare nu este aplicabilă.
Antivirusurile moderne combină toate funcțiile de mai sus.
Antivirusurile pot fi, de asemenea, împărțite în:
Produse pentru utilizatorii casnici:
· De fapt antivirusuri;
· La clasicul antivirus se adaugă produse combinate (de exemplu, antispam, firewall, anti-rootkit etc.);
Produse corporative:
· Antivirusuri de server;
· Antivirusuri pe stațiile de lucru („endpoint”).
Instrumente moderne de protecție antivirus și principalele lor caracteristici funcționale
BitDefender Antivirus Plus v10.
Caracteristici funcționale principale:
· Funcția Euristică în Mediu Virtual – emularea unei mașini virtuale, cu ajutorul căreia obiectele potențial periculoase sunt scanate folosind algoritmi euristici;
· verificarea automată a datelor transmise prin protocolul POP3, suport pentru cei mai populari clienți de email (MS Exchange, MS Outlook, MS Outlook Express, Netscape, Eudora, Lotus Notes, Pegasus, The Bat și altele);
· protecție împotriva răspândirii virușilor prin rețelele de partajare a fișierelor Peer-2-Peer;
· crearea unei liste personale de spam pentru utilizator.
Procesor Intel Pentium II 350 MHz, 128 MB RAM, 60 MB spațiu liber pe hard disk, Windows 98/NT/Me/2000/XP.
Eset NOD32 2.5
· analiză euristică pentru detectarea amenințărilor necunoscute;
· Tehnologia ThreatSense – analiza fișierelor pentru a detecta viruși, spyware, publicitate nesolicitată (adware), atacuri de phishing și alte amenințări;
· verificarea și eliminarea virușilor din fișierele blocate la scriere (de exemplu, DLL-uri protejate de sistemul de securitate Windows);
· verificarea protocoalelor HTTP, POP3 și PMTP.
Cerinte Minime de Sistem: Procesor Intel Pentium, 32 MB RAM, 30 MB spațiu liber pe hard disk, Windows 95/98/NT/Me/2000/XP.
Kaspersky Anti-Virus 6.0
Caracteristici funcționale principale:
· verificarea traficului la nivel de protocol POP3, IMAP și NNTP pentru mesajele primite și SMTP pentru mesajele trimise, pluginuri speciale pentru Microsoft Outlook, Microsoft Outlook Express și The Bat!;
· avertizarea utilizatorului dacă sunt detectate modificări atât în procesele normale, cât și atunci când sunt detectate procese ascunse, periculoase și suspecte;
· controlul modificărilor aduse registrului de sistem;
· blocarea macrocomenzilor periculoase Visual Basic pentru aplicații din documentele Microsoft Office.
Cerinte Minime de Sistem: Procesor Intel Pentium 133 MHz, 32 MB RAM, 50 MB spațiu liber pe hard disk, Microsoft Windows 98/NT/2000/Me/XP.
McAfee VirusScan Pro 10 (2006)
Caracteristici funcționale principale:
· protecție împotriva virușilor, virușilor macro, troienilor, viermilor de internet, spyware, adware, ActiveX și controale Java rău intenționate;
· verificarea automată a e-mailurilor de intrare (POP3) și de ieșire (SMTP);
· Tehnologii ScriptStopper și WormStopper pentru a bloca activitatea rău intenționată a scripturilor și a viermilor.
Cerinte Minime de Sistem: Procesor Intel Pentium 133 MHz, 64 MB RAM, 40 MB spațiu liber pe hard disk, Windows 98/Me/2000/XP.
Dr. Web 4.33a
Caracteristici funcționale principale:
· protecție împotriva viermilor, virușilor, troienilor, virușilor polimorfi, virușilor macro, spyware, dialers, adware, utilitare hacker și scripturi rău intenționate;
· actualizarea bazelor de date antivirus de până la mai multe ori pe oră, dimensiunea fiecărei actualizări este de până la 15 KB;
· verificarea memoriei de sistem a computerului pentru a detecta viruși care nu există sub formă de fișiere (de exemplu, CodeRed sau Slammer);
· un analizor euristic care vă permite să neutralizați amenințările necunoscute înainte ca actualizările corespunzătoare ale bazei de date viruși să fie lansate.
Cerinte Minime de Sistem: Disponibilitatea Windows 95/98/NT/Me/2000/XP. Cerințele hardware corespund celor menționate pentru sistemul de operare specificat.
Concluzie
Dacă nu ați mai întâlnit niciodată viruși de computer, cu siguranță îi veți întâlni. A fost o perioadă în care software-ul antivirus tocmai apărea, iar virușii erau deja în plin efect, provocând pierderi de milioane de dolari în fiecare zi. Astăzi, desigur, virușii ne pot face viața insuportabilă, dar în majoritatea cazurilor chiar și utilizatorul obișnuit își poate curăța computerul de malware. Dar acum câțiva ani a trebuit să formatați complet hard disk-ul și să o luați de la capăt. Dar chiar și acest lucru nu a dus întotdeauna la rezultatul dorit.
Rețineți: pentru a vă proteja computerul, aveți nevoie de un program antivirus instalat și actualizat. Nu vă îndrăgostiți de trucurile escrocilor, ignorați spam-ul și aveți grijă când instalați programe fără licență pe computer.
Lista surselor
1. ITipedia http://www.itpedia.ru/index.php/
2. Wikipedia (enciclopedie liberă) http://ru.wikipedia.org/wiki/
3. articol http://roox.net.ru/infosec/04/
4. articol http://www.thg.ru/software/malware_spyware_faq/index.html
5. articol http://www.oxpaha.ru/publisher_234_28501
CONCEPTUL ȘI TIPURI DE MALWARE
Primele rapoarte despre programe dăunătoare introduse în mod deliberat și ascuns în software-ul diferitelor sisteme informatice au apărut la începutul anilor 80. Denumirea de „virusuri informatice” provine din similitudinea cu un prototip biologic, în ceea ce privește capacitatea de a se reproduce independent. În noua zonă informatică au fost transferați și alți termeni medicali și biologici, de exemplu, cum ar fi mutația, tulpina, vaccinul etc. Un mesaj despre programe care, atunci când apar anumite condiții, încep să producă acțiuni dăunătoare, de exemplu, după o un anumit număr de porniri distrug datele stocate în informațiile de sistem, dar nu au capacitatea de a se auto-replica caracteristice virușilor, apărute mult mai devreme
1.Luca. O condiție care facilitează implementarea multor tipuri de amenințări la securitatea informațiilor în tehnologiile informaționale este prezența „capcanelor”. Trapa este de obicei introdusă în program în etapa de depanare pentru a facilita munca: acest modul poate fi apelat în diferite locuri, ceea ce vă permite să depanați în mod independent părți individuale ale programului. Prezența unei trape vă permite să apelați programul într-un mod nestandard, ceea ce poate afecta starea sistemului de securitate. Trapele pot rămâne în program din mai multe motive. Detectarea trapelor este rezultatul unei căutări aleatorii și laborioase. Există o singură protecție împotriva hașurilor - pentru a preveni apariția lor în program, iar atunci când se acceptă produse software dezvoltate de alți producători, codul sursă al programelor trebuie analizat pentru a detecta hașurile.
2. Bombe logice sunt folosite pentru a denatura sau distruge informații; mai rar, sunt folosite pentru a comite furturi sau fraude. O bombă logică este uneori inserată în timpul dezvoltării programului și este declanșată atunci când este îndeplinită o anumită condiție (ora, data, cuvântul cod). Manipularea bombelor logice este, de asemenea, ceva ce fac și angajații nemulțumiți care intenționează să părăsească organizația, dar aceștia pot fi și consultanți, angajați cu anumite convingeri politice etc. Un exemplu real de bombă logică: un programator, anticipând concedierea sa, intră în programul de salarizare anumite modificări care intră în vigoare atunci când numele său dispare din setul de date de personal al companiei.
3. Cal troian- un program care efectuează, pe lângă acțiunile principale, adică proiectate și documentate, acțiuni suplimentare nedescrise în documentație. Analogia cu calul troian antic grecesc este justificată - în ambele cazuri, o amenințare se ascunde într-o coajă nebănuită. Un cal troian este un bloc suplimentar de comenzi introduse într-un fel sau altul în programul original inofensiv, care este apoi transferat (donat, vândut) utilizatorilor IT. Acest bloc de comenzi poate fi declanșat atunci când apare o anumită condiție (data, oră, prin comandă externă etc.). Un cal troian acționează de obicei în autoritatea unui utilizator, dar în interesul altui utilizator sau chiar al unui străin, a cărui identitate este uneori imposibil de stabilit. Un cal troian poate efectua cele mai periculoase acțiuni dacă utilizatorul care l-a lansat are un set extins de privilegii. În acest caz, un atacator care a creat și introdus un cal troian și nu are el însuși aceste privilegii poate îndeplini funcții privilegiate neautorizate folosind mâinile greșite. O modalitate radicală de a vă proteja împotriva acestei amenințări este crearea unui mediu închis pentru utilizarea programelor.
4. Vierme- un program care se răspândește prin rețea și nu lasă o copie a lui însuși pe un mediu magnetic.
Viermele folosește mecanisme de suport de rețea pentru a determina ce gazdă poate fi infectată. Apoi, folosind aceleași mecanisme, își transferă corpul sau o parte din el în acest nod și fie activează, fie așteaptă condiții adecvate pentru aceasta. Un mediu potrivit pentru răspândirea unui vierme este o rețea în care toți utilizatorii sunt considerați prietenoși și au încredere unul în celălalt și nu există mecanisme de protecție. Cel mai bun mod de a vă proteja împotriva unui vierme este să luați măsuri de precauție împotriva accesului neautorizat la rețea
5. Password Grabber- Acestea sunt programe special concepute pentru a fura parole. Când un utilizator încearcă să acceseze stația de lucru, informațiile necesare pentru a încheia sesiunea de lucru sunt afișate pe ecran. Când încearcă să se autentifice, utilizatorul introduce un nume și o parolă, care sunt trimise proprietarului invadatorului, după care este afișat un mesaj de eroare și intrarea și controlul sunt returnate sistemului de operare. Un utilizator care crede că a făcut o greșeală la tastarea parolei se conectează din nou și obține acces la sistem. Cu toate acestea, numele și parola sunt deja cunoscute de proprietarul programului invader. Interceptarea parolei este posibilă și în alte moduri. Pentru a preveni această amenințare, înainte de a vă conecta la sistem, trebuie să vă asigurați că vă introduceți numele și parola în programul de introducere a sistemului și nu în altul. În plus, trebuie să respectați cu strictețe regulile de utilizare a parolelor și de lucru cu sistemul. Cele mai multe încălcări apar nu din cauza atacurilor inteligente, ci din cauza neglijenței simple. Respectarea regulilor special dezvoltate pentru utilizarea parolelor este o condiție necesară pentru o protecție fiabilă.
7. Virus informatic Se obișnuiește să se facă referire la un program special scris, de obicei mic, care este capabil să se atașeze spontan la alte programe (adică să le infecteze), să creeze copii ale lui însuși (nu neapărat complet identice cu originalul) și să le introducă în fișiere, zone de sistem a unui computer personal și a altor computere combinate cu acesta pentru a perturba funcționarea normală a programelor, a deteriora fișierele și directoarele și pentru a crea diverse interferențe atunci când lucrați la un computer.
TIPURI DE VIRUSURI INFORMATICE, CLASIFICAREA LOR
Modul în care funcționează majoritatea virușilor este prin modificarea fișierelor de sistem ale computerului, astfel încât virusul să își înceapă activitatea de fiecare dată când computerul personal este pornit. Unii viruși infectează fișierele de pornire a sistemului, alții se specializează în diferite fișiere de program. Ori de câte ori un utilizator copiază fișiere pe mediul de stocare al unei mașini sau trimite fișiere infectate printr-o rețea, copia transferată a virusului încearcă să se instaleze pe noua unitate. Toate acțiunile virusului pot fi efectuate destul de rapid și fără a emite niciun mesaj, astfel încât utilizatorul de multe ori nu observă că computerul său este infectat și nu are timp să ia măsurile adecvate. Pentru a analiza efectele virușilor informatici, conceptul ciclu de viață virus, care include patru etape principale:
1. Implementare
2. Perioada de incubație (în primul rând pentru a ascunde sursa de penetrare)
3. Reproducere (autopropagare)
4. Distrugerea (denaturarea și/sau distrugerea informațiilor)
Țintele virușilor informatici pot fi împărțite în două grupuri:
1. Pentru a-și prelungi existența, virușii infectează alte programe, și nu toate, ci cele care sunt cel mai des folosite și/sau au o prioritate ridicată în informare
2. Virușii acționează cel mai adesea cu scopuri distructive asupra datelor și mai rar asupra programelor.
Metodele de manifestare a virușilor informatici includ:
Încetinirea computerului personal, inclusiv înghețarea și oprirea;
Modificarea datelor din fișierele corespunzătoare;
Imposibilitatea de a încărca sistemul de operare;
Încetarea funcționării sau funcționarea incorectă a unui program utilizator care funcționa anterior cu succes;
Creșterea numărului de fișiere de pe disc;
Modificarea dimensiunilor fișierelor;
Funcționare defectuoasă a sistemului de operare, care necesită repornire periodică;
Apariția periodică a mesajelor necorespunzătoare pe ecranul monitorului;
Apariția efectelor sonore;
Reducerea cantității de RAM liberă;
O creștere vizibilă a timpului de acces la hard disk;
Modificarea datei și orei creării fișierului;
Distrugerea structurii fișierelor (dispariția fișierelor, coruperea directoarelor);
Ledul de avertizare al unității de disc se aprinde atunci când nu există acces de utilizator la ea;
Formatarea unui disc fără comanda utilizatorului etc.
Virușii pot fi clasificați în funcție de următoarele caracteristici:
1. După tipul de habitat Virușii sunt clasificați în următoarele tipuri:
· cizme sunt încorporate în sectorul de boot al discului sau în sectorul care conține programul de pornire a discului de sistem;
· fişier sunt încorporate în principal în fișiere executabile cu extensii .COMȘi .EXE;
· sistemică pătrunde în modulele de sistem și driverele de dispozitive periferice, tabele de alocare a fișierelor și tabele de partiții;
· reţea virușii trăiesc în rețelele de calculatoare;
· fișier-boot Acestea afectează sectoarele de pornire ale discurilor și fișierele programului aplicației.
2. După gradul de impact asupra resurselor sistemelor și rețelelor informatice iasă în evidență :
inofensiv virusuri , care nu au un efect distructiv asupra funcționării unui computer personal, dar pot supraîncărca RAM ca urmare a reproducerii lor;
nepericuloase virușii nu distrug fișierele, ci reduc memoria liberă a discului, afișează efecte grafice pe ecran, creează efecte sonore etc.;
periculos virușii duc adesea la diverse perturbări grave în funcționarea unui computer personal și a întregii tehnologii informaționale;
distructiv duce la ștergerea informațiilor, întreruperea completă sau parțială a programelor de aplicație... etc.
3. După metoda de infectare a habitatului virușii sunt împărțiți în următoarele grupe:
viruși rezidenți Când un computer este infectat, își lasă partea rezidentă în RAM, care apoi interceptează apelurile sistemului de operare către alte obiecte infectate, le infiltrează și își desfășoară acțiunile distructive până când computerul este oprit sau repornit. Program rezident este un program care se află permanent în memoria RAM a unui computer personal.
viruși nerezidenți nu infectează memoria RAM a unui computer personal și sunt active pentru o perioadă limitată de timp.
4. Caracteristica algoritmică a construirii virușilor influenţează manifestarea şi funcţionarea acestora. Se disting următoarele tipuri de viruși:
§ replicator, datorită reproducerii lor rapide, duc la depășirea memoriei principale, în timp ce distrugerea programelor replicatoare devine mai dificilă dacă programele reproduse nu sunt copii exacte ale originalului;
§ mutantîn timp se schimbă și se autoproduc. În același timp, autoreproducându-se, recreează copii clar diferite de original;
§ viruși ascunși (invizibili) interceptați apelurile de la sistemul de operare către fișiere infectate și sectoare de disc și înlocuiți obiectele neinfectate în locul lor. Atunci când accesează fișiere, astfel de viruși folosesc algoritmi destul de originali care le permit să „înșele” monitoare antivirus rezidente;
§ macrovirusuri utilizați capabilitățile limbilor macro încorporate în programele de procesare a datelor de birou (editore de text, foi de calcul etc.).