Приклади впливу макро і скрипт вірусів. Скрипт-віруси

Слід зазначити також скрипт-віруси, які є підгрупою файлових вірусів. Дані віруси, написані на різних скрипт-мовами (VBS, JS, BAT, PHP і т.д.). Вони або заражають інші скрипт-програми (командні і службові файли MS Windows або Linux), або є частинами багатокомпонентних вірусів. Також, дані віруси можуть заражати файли інших форматів (наприклад, HTML), якщо в них можливе виконання скриптів.

Троянські програми.

Троянські програми розрізняються між собою по тим діям, які вони виробляють на зараженому комп'ютері.

Backdoor - троянські утиліти віддаленого адміністрування

Троянські програми цього класу є утилітами віддаленого адміністрування комп'ютерів в мережі. За своєю функціональністю вони багато в чому нагадують різні системи адміністрування, що розробляються та розповсюджуються фірмами-виробниками програмних продуктів.

Єдина особливість цих програм змушує класифікувати їх як шкідливі троянські програми: відсутність попередження про інсталяції та запуску. При запуску "троянець" встановлює себе в системі і потім стежить за нею, при цьому користувачеві не видається жодних повідомлень про дії троянця в системі. Більш того, посилання на "троянця" може бути відсутнім в списку активних додатків. В результаті "користувач" цієї троянської програми може і не знати про її присутності в системі, в той час як його комп'ютер відкритий для віддаленого управління.

Утиліти прихованого управління дозволяють робити з комп'ютером все, що в них заклав автор: приймати чи відсилати файли, запускати і знищувати їх, виводити повідомлення, стирати інформацію, перезавантажувати комп'ютер і т.д. В результаті ці троянці можуть бути використані для виявлення і передачі конфіденційної інформації, для запуску вірусів, знищення даних і т.п. - уражені комп'ютери виявляються відкритими для злочинних дій хакерів.

Таким чином, троянські програми даного типу є одним з найнебезпечніших видів шкідливого програмного забезпечення, Оскільки в них закладена можливість найрізноманітніших злочинних дій, властивих іншим видам троянських програм.

Окремо слід відзначити групу бекдор, здатних поширюватися по мережі і впроваджуватися в інші комп'ютери, як це роблять комп'ютерні хробаки. Відрізняє такі "троянці" від черв'яків той факт, що вони поширюються по мережі не мимовільно (як черв'яки), а тільки по спеціальній команді "господаря", керуючого даної копією троянської програми.

Trojan-PSW - крадіжка паролів

Дане сімейство об'єднує троянські програми, "крадуть" різну інформацію з зараженого комп'ютера, зазвичай - системні паролі (PSW - Password-Stealing-Ware). При запуску PSW-троянці шукають сіcтемние файли, що зберігають різну конфіденційну інформацію (Зазвичай номери телефонів і паролі доступу до інтернету) і відсилають її за вказаною в коді "троянця" електронну адресу або адресами.

Існують PSW-троянці, які повідомляють і іншу інформацію про зараженому комп'ютері, наприклад, інформацію про систему (розмір пам'яті і дискового простору, версія операційної системи), Тип використовуваного поштового клієнта, IP-адреса і т.п. Деякі троянці даного типу "крадуть" реєстраційну інформацію до різного програмного забезпечення, коди доступу до мережевих ігор та інше.

Trojan-AOL - сімейство троянських програм, "крадуть" коди доступу до мережі AOL (America Online). Виділено в особливу групу з причини своєї численності.

Trojan-Clicker - інтернет-клікери

Сімейство троянських програм, основна функція яких - організація несанкціонованих звернень до інтернет-ресурсів (зазвичай до веб-сторінок). Досягається це або посилкою відповідних команд браузеру, або заміною системних файлів, В яких вказані "стандартні" адреси інтернет-ресурсів (наприклад, файл hosts в MS Windows).

У зловмисника можуть бути наступні цілі для подібних дій:

збільшення відвідуваності будь-яких сайтів з метою збільшення показів реклами;

організація DoS-атаки (Denial of Service) на якийсь сервер;

залучення потенційних жертв для зараження вірусами або троянськими програмами.

Trojan-Downloader - доставка інших шкідливих програм

Троянські програми цього класу призначені для завантаження і установки на комп'ютер-жертву нових версій шкідливих програм, установки "троянців" або рекламних систем. Завантажені з інтернету програми потім або запускаються на виконання, або реєструються "троянцем" на автозавантаження відповідно до можливостей операційної системи. Дані дії при цьому відбуваються без відома користувача.

Інформація про імена і розташуванні завантажуваних програм міститься в коді і даних троянця або викачується троянцем з "керуючого" інтернет-ресурсу (зазвичай з веб-сторінки).

Trojan-Dropper - інсталятори інших шкідливих програм

Троянські програми цього класу написані з метою прихованої інсталяції інших програм і практично завжди використовуються для "підсовування" на комп'ютер-жертву вірусів або інших троянських програм.

Дані троянці зазвичай без будь-яких повідомлень (або з помилковими повідомленнями про помилку в архіві або невірній версії операційної системи) скидають на диск в будь-якої каталог (в корінь диска C :, в тимчасовий каталог, в каталоги Windows) інші файли і запускають їх на виконання.

Зазвичай структура таких програм наступна:

основний код

"Основний код" виділяє зі свого файлу інші компоненти (файл 1, файл 2 ,.), записує їх на диск і відкриває їх (запускає на виконання).

Зазвичай один (або більше) компонентів є троянськими програмами, і як мінімум один компонент є "обманкою": програмою-жартом, грою, картинкою або чимось подібним. "Обманка" повинна відволікти увагу користувача і / або продемонструвати те, що запускається файл дійсно робить щось "корисне", в той час як троянська компонента інсталюється в систему.

В результаті використання програм даного класу хакери досягають двох цілей:

скритна інсталяція троянських програм і / або вірусів;

захист від антивірусних програм, оскільки не всі з них в змозі перевірити всі компоненти всередині файлів цього типу.

Trojan-Proxy - троянські проксі-сервера

Сімейство троянських програм, таємно здійснюють анонімний доступ до різних інтернет-ресурсів. Зазвичай використовуються для розсилки спаму.

Trojan-Spy - шпигунські програми

Дані троянці здійснюють електронне шпигунство за користувачем зараженого комп'ютера: вводиться з клавіатури інформація, знімки екрану, список активних додатків і дії користувача з ними зберігаються в який-небудь файл на диску і періодично відправляються зловмисникові.

Троянські програми цього типу часто використовуються для крадіжки інформації користувачів різних систем онлайнових платежів і банківських систем.

Trojan - інші троянські програми

До даних троянцам відносяться ті з них, які здійснюють інші дії, що підпадають під визначення троянських програм, тобто руйнування або зловмисна модифікація даних, порушення працездатності комп'ютера та інше.

У цю групу також присутні "багатоцільові" троянські програми, наприклад, ті з них, які одночасно шпигують за користувачем і надають proxy-сервіс віддаленому зловмисникові.

Rootkit - приховування присутності в операційній системі

Поняття rootkit прийшло до нас з UNIX. Спочатку це поняття використовувалося для позначення набору інструментів, що застосовуються для отримання прав root.

Так як інструменти типу rootkit на сьогоднішній день "прижилися" і на інших ОС (в тому числі, на Windows), то слід визнати подібне визначення rootkit морально застарілим і не відповідає реальному стану справ.

Таким чином, rootkit - програмний код або техніка, спрямована на приховування присутності в системі заданих об'єктів (процесів, файлів, ключів реєстру і т.д.).

Для поведінки Rootkit в класифікації "Лабораторії Касперського" діють правила поглинання: Rootkit - наймолодше поведінку серед шкідливих програм. Тобто, якщо Rootkit-програма має троянську складову, то вона детектується як Trojan.

ArcBomb - "бомби" в архівах

Являють собою архіви, спеціально оформлені таким чином, щоб викликати нештатное поведінку архіваторів при спробі розпакувати дані - зависання або істотне уповільнення роботи комп'ютера або заповнення диска великою кількістю "порожніх" даних. Особливо небезпечні "архівні бомби" для файлових і поштових серверів, якщо на сервері використовується будь-яка система автоматичної обробки вхідної інформації - "архівна бомба" може просто зупинити роботу сервера.

Зустрічаються три типи подібних "бомб": некоректний заголовок архіву, повторювані дані і однакові файли в архіві.

Некоректний заголовок архіву або зіпсовані дані в архіві можуть привести до збою в роботі конкретного архіватора або алгоритму розархівування при розборі вмісту архіву.

Значних розмірів файл, який містить дані, що повторюються, дозволяє заархівувати такий файл в архів невеликого розміру (Наприклад, 5ГБ даних упаковуються в 200Кб RAR або в 480КБ ZIP-архів).

Величезна кількість однакових файлів в архіві також практично не позначається на розмірі архіву при використанні спеціальних методів (наприклад, існують прийоми упаковки 10100 однакових файлів в 30Кб RAR або 230КБ ZIP-архів).

Trojan-Notifier - оповіщення про успішну атаку

Троянці даного типу призначені для повідомлення своєму "хазяїну" про зараженому комп'ютері. При цьому на адресу "господаря" відправляється інформація про комп'ютер, наприклад, IP-адреса комп'ютера, номер відкритого порту, адреса електронної пошти і т.п. відсилання здійснюється різними способами: Електронним листом, спеціально оформленим зверненням до веб-сторінці "господаря", ICQ-повідомленням.

Дані троянські програми використовуються в багатокомпонентних троянських наборах для сповіщення свого "господаря" про успішну інсталяції троянських компонент в систему, що атакується.

Вірус - програма, здатна створювати свої копії (необов'язково збігаються з оригіналом) і впроваджувати їх у файли, системні області комп'ютера, комп'ютерних мереж, а також здійснювати інші деструктивні дії. При цьому копії зберігають здатність подальшого поширення. Комп'ютерний вірус відноситься до шкідливих програм.

Шкідлива програма - комп'ютерна програма або переносний код, призначений для реалізації загроз інформації, що зберігається в КС, або для прихованого нецільового використання ресурсів КС, або іншого впливу, що перешкоджає нормальному функціонуванню КС. До шкідливим програмам ставляться комп'ютерні віруси, Трояни, мережеві черв'яки і ін.

2. Життєвий цикл вірусу.

Оскільки відмінною рисою вірусів у традиційному сенсі є здатність до розмноження в рамках одного комп'ютера, розподіл вірусів на типи відбувається у відповідності зі способами розмноження.

Сам процес розмноження може бути умовно розділений на кілька стадій:

- Проникнення на комп'ютер

- Активація вірусу

- Пошук об'єктів для зараження

- Підготовка вірусних копій

- Впровадження вірусних копій

Особливості реалізації кожної стадії породжують атрибути, набір яких фактично і визначає клас вірусу.

3. Макровіруси. Скрипт-віруси. Наведіть приклади.

Макровіруси - віруси, написані мовою макрокоманд і виконують у середовищі якого-небудь додатка. У переважній більшості випадків мова йде про макроси в документах Microsoft Office.

Приклади. Одними з найбільш руйнівних макровірусів є представники сімейства Macro.Word97.Thus. Ці віруси містять три процедури Document_Open, Document_Close і Document_New, якими підмінює стандартні макроси, що виконуються при відкритті, закритті та створенні документа, тим самим забезпечуючи зараження інших документів. 13 грудня спрацьовує деструктивна функція вірусу - він видаляє всі файли на диску C :, включаючи каталоги і підкаталоги. Модифікація Macro.Word97.Thus.aa крім зазначених дій при відкритті кожного зараженого документа вибирає на локальному диску випадковий файл і шифрує перші 32 байта цього файлу, поступово приводячи систему в неробочий стан.

Скрипт-віруси - віруси, що виконують у середовищі певної командної оболонки: раніше - bat-файли в командній оболонці DOS, зараз частіше VBS і JS - скрипти в командній оболонці Windows Scripting Host (WSH).

Приклади. Virus.VBS.Sling написаний на мові VBScript (Visual Basic Script). При запуску він шукає файли з расшіреніямі.VBS ілі.VBE і заражає їх. При настанні 16-го червня або липня вірус при запуску видаляє всі файли з расшіреніямі.VBS і.VBE, включаючи самого себе.

Virus.WinHLP.Pluma.a - вірус, що заражає файли допомоги Windows. При відкритті зараженого файлу допомоги виконується вірусний скрипт, Який використовуючи нетривіальний метод (по суті, уразливість в обробці скриптів) запускає на виконання вже як звичайний файл Windows певний рядок коду, що містить в скрипті. Запущений код здійснює пошук файлів довідки на диску і впроваджує в їх область System скрипт автозапуску.

Історія появи вирусописательстве надзвичайно цікава - вона ще чекає свого прискіпливого дослідника! До сих пір немає єдиної думки щодо моменту, який можна було б вважати офіційним днем \u200b\u200bпояви вірусу, як не існувало і критеріїв, під які можна було б підвести ту чи іншу ПО і відрізнити дослідні експерименти від цілеспрямовано написаної програми з шкідливими функціями.

У 1949 році Джон фон Нейман (John von Naumann), видатний американський математик угорського походження, який зробив важливий внесок у квантову фізику, квантову логіку, функціональний аналіз, теорію множин, інформатику, економіку та інші галузі науки, розробив математичну теорію створення самовідтворюються програм. Це була перша спроба створити теорію такого явища, але вона не викликала великого інтересу у наукового співтовариства, так як не мала видимого прикладного значення.

Немає згоди і з приводу походження назви "комп'ютерний вірус". За однією з версій це трапилося 10 листопада 1983 року, коли аспірант Університету Південної Каліфорнії (University of Southern California) Фред Коен (Fred Cohen) під час семінару з безпеки в Лехайскогоуніверситету (Пенсільванія, США) продемонстрував на системі VAX 11/750 програму, здатну впроваджуватися в інші програмні об'єкти. Цю програму можна з повним правом вважати одним з перших прототипів комп'ютерного вірусу.

Коен впровадив написаний ним код в одну з Unix-команд, і протягом п'яти хвилин після запуску її на обчислювальній машині отримав контроль над системою. У чотирьох інших демонстраціях повного доступу вдавалося домогтися за півгодини, залишивши поваленими всі існуючі в той час захисні механізми.

Існує версія, що терміном "вірус" назвав копіює саму себе програму науковий керівник Фреда, один з творців криптографічного алгоритму RSA Леонард Едлеман (Leonard Adleman).

Роком пізніше, на 7-й конференції з безпеки інформації, Ф.Коен дає наукове визначення терміну "комп'ютерний вірус", як програмою, здатної "заражати" інші програми за допомогою їх модифікації з метою впровадження своїх копій і виконання заданих дій. Відзначимо, що Ф.Коен безумовно не був новатором в цій області. Теоретичні міркування про що розповсюджуються копіюванням з комп'ютера на комп'ютер програмах і практична реалізація успішно здійснювалися і раніше. Однак саме презентація Ф.Коена змусила фахівців серйозно заговорити про потенційний збиток від навмисних атак. Всього через п'ятнадцять років поширення шкідливого програмного забезпечення набуло загрозливих масштабів, радикально знизити які не представляється можливим.

У певному сенсі випередив Ф. Коена 15-річний школяр з Пенсильванії Рік Скрента (Rich Skrenta). Його улюбленим заняттям було подшучивание над товаришами шляхом модифікацій коду ігор для Apple II, які приводили до раптового вимкнення комп'ютерів або виконували інші дії. У 1982 році він написав Elk Cloner - самовоспроизводящийся завантажувальний вірус, інфікованих Apple II через гнучкий магнітний диск. Під час кожної 50-ї перезавантаження ПК з'являлося повідомлення зі словами: "Він заволодіє вашими дисками, він заволодіє вашими чіпами. Так, це Cloner! Він прилипне до вас як клей, він вселиться в пам'ять. Cloner вітає вас!"

Програма Р.Скрента не вийшла далеко за межі кола його друзів. Лаври дістались "шедевру" програмістської думки, що з'явився кількома роками пізніше. Програму Brain ( "Мозок") створили в 1988 році двоє братів - вихідців з Пакистану, яким приписується інфікування ПК через створені ними нелегальні копії програми для моніторингу роботи серця. Вірус містив повідомлення про авторське право з іменами і телефонами братів, тому користувачі заражених машин могли звернутися до безпосередньо до вірусописьменниками за "вакциною". За першою версією Brain ішла безліч модифікацій, які переслідували суто комерційний інтерес.

У 1988 році аспірант Корнельського університету (Cornell University) Роберт Теппо Морріс молодший (Robert Tappan Morris Jr.), який доводився сином головному науковому співробітнику Агентства національної безпеки США (National Security Agency), випустив у світ перший широко поширився комп'ютерний черв'як, хоча експериментальні роботи в цій галузі проводилися з кінця 1970-х років. Цей тип програм найчастіше не виробляє ніяких деструктивних маніпуляцій з файлами користувача і має на меті якомога швидше і широке поширення, знижуючи ефективність роботи мереж.

За деякими оцінками, від 5% до 10% підключених в той час до Мережі машин, здебільшого належали університетам і дослідницьким організаціям, були атаковані ім. Черв'як використовував вразливості кількох програмах, в тому числі Sendmail. Р.Т.Морріс став першою людиною, засудженою за звинуваченням у злочинах в комп'ютерній сфері, і отримав 3 роки умовно. Однак це не завадило йому згодом стати професором Массачусетського технологічного інституту (MIT).

Наступний великий крок шкідливе ПО вчинила в 90-х роках із зростанням попиту на персональні комп'ютери і кількості користувачів електронної пошти. Електронні комунікації надали набагато більш ефективний шлях інфікування ПК, ніж через носії інформації. Зразком швидкості распростанение став вірус Melissa в 1999 році, що впровадили в 250 тис. Систем. Однак він був нешкідливий, за винятком того, що кожен раз при збігу часу і дати - наприклад, 5:20 і 20 травня - на екрані виникала цитата з The Simpsons.

Роком пізніше з'явився Love Bug, відомий також як LoveLetter. За короткий час вірус облетів весь світ! Він був написаний філіппінським студентом і приходив в електронному повідомленні з темою "I Love You". Як тільки користувач намагався відкрити вкладення, вірус через Microsoft Outlook пересилав себе за всіма адресами в списку контактів. Потім скачував троянську програму для збору цікавить філіппінця інформації. LoveLetter атакував близько 55 мільйонів ПК і заразив від 2,5 до 3 мільйонів. Розмір заподіяної ним шкоди оцінювався в 10 мільярдів, але студент уникнув покарання, оскільки Філіппіни не мали в той час законодавчої бази для боротьби з кіберзлочинцями [Борн Денис, http://www.wired.com].

Лавиноподібне поширенням вірусів стало великою проблемою для більшості компаній і державних установ. В даний час відомо понад мільйон комп'ютерних вірусів і кожен місяць з'являється більше 3000 нових різновидів [ "Енциклопедія Вірусів", http://www.viruslist.com/ru/viruses/encyclopedia.].

Комп'ютерний вірус - це спеціально написана програма, яка може "приписувати" себе до інших програм, тобто "Заражати їх", з метою виконання різних небажаних дій на комп'ютері, в обчислювальної або інформаційній системі і в мережі.

Коли така програма починає роботу, то спочатку, як правило, управління отримує вірус. Вірус може діяти самостійно, виконуючи певні шкідливі дії (змінює файли або таблицю розміщення файлів на диску, засмічує оперативну пам'ять, Змінює адресацію звернень до зовнішніх пристроїв, генерує шкідливий додаток, краде паролі і дані і т.д.), або "заражає" інші програми. Заражені програми можуть бути перенесені на інший комп'ютер за допомогою дискет або локальної мережі.

Форми організації вірусних атак вельми різноманітні, але в цілому практично їх можна "розкидати" по наступним категоріям:

• віддалене проникнення в комп'ютер - програми, які отримують неавторизований доступ до іншого комп'ютера через Internet (або локальну мережу);
• локальне проникнення в комп'ютер - програми, які отримують неавторизований доступ до комп'ютера, на якому вони згодом будуть робити
• віддалене блокування комп'ютера - програми, які через Internet (або мережа) блокують роботу всього віддаленого комп'ютера або окремої програми на ньому;
• локальне блокування комп'ютера - програми, які блокують роботу комп'ютера, на якому вони працюють;
• мережеві сканери - програми, які здійснюють збір інформації про мережу, щоб визначити, які з комп'ютерів і програм, що працюють на них, потенційно уразливі до атак;
• сканери вразливих місць програм - програми, перевіряють великі групи комп'ютерів в Інтернет у пошуках комп'ютерів, уразливих до того або іншого конкретного виду атаки;
• "Вскривателі" паролів - програми, які виявляють легко вгадуються паролі в зашифрованих файлах паролів;
• мережеві аналізатори (sniffers) - програми, які слухають мережевий трафік; часто в них є можливості автоматичного виділення імен користувачів, паролів і номерів кредитних карт з трафіку;
• модифікація переданих даних або підміна інформації;
• підміна довіреного об'єкта розподіленої обчислювальної мережі (Робота від його імені) або помилковий об'єкт розподіленої ВС (РВС).
• "Соціальна інженерія" - несанкціонований доступ до інформації інакше, ніж злом програмного забезпечення. Мета - ввести в оману співробітників (мережевих або системних адміністраторів, Користувачів, менеджерів) для отримання паролів до системи або іншої інформації, яка допоможе порушити безпеку системи.

До шкідливого програмного забезпечення відносяться мережеві черв'яки, класичні файлові віруси, троянські програми, хакерські утиліти та інші програми, що завдають явний шкоду комп'ютеру, на якому вони запускаються на виконання, або іншим комп'ютерам в мережі.

Мережеві черв'яки

Основною ознакою, за яким типи черв'яків розрізняються між собою, є спосіб поширення хробака - яким способом він передає свою копію на віддалені комп'ютери. Іншими ознаками відмінності КЧ між собою є способи запуску копії хробака на заражає комп'ютер, методи впровадження в систему, а також поліморфізм, "стелс" та інші характеристики, властиві й іншим типам шкідливого програмного забезпечення (вірусів і троянських програм).

Приклад - E-mail-Worm - поштові черв'яки. До даної категорії черв'яків відносяться ті з них, які для свого поширення використовують електронну пошту. При цьому черв'як відсилає або свою копію у вигляді вкладення в електронний лист, або посилання на свій файл, розташований на будь-якому мережевому ресурсі (наприклад, URL на заражений файл, розташований на зламаному або хакерському веб-сайті). У першому випадку код хробака активізується при відкритті (запуску) зараженого вкладення, у другому - при відкритті посилання на заражений файл. В обох випадках ефект однаковий - активізується код хробака.

Для відправки заражених повідомлень поштові черв'яки використовують різні способи. Найбільш поширені:

• пряме підключення до SMTP-серверу, використовуючи вбудовану в код хробака поштову бібліотеку;
• використання сервісів MS Outlook;
• використання функцій Windows MAPI.

Різні методи використовуються поштовими хробаками для пошуку поштових адрес, на які будуть розсилатися заражені листи. Поштові черв'яки:

• розсилають себе за всіма адресами, виявленим в адресній книзі MS Outlook;
• зчитує адреси з адресної бази WAB;
• сканують "відповідні" файли на диску і виділяє в них рядки, які є адресами електронної пошти;
• відсилають себе за всіма адресами, виявленим в листах в поштовій скриньці (При цьому деякі поштові черв'яки "відповідають" на виявлені в ящику листи).

Багато черв'яки використовують відразу декілька з перерахованих методів. Зустрічаються також і інші способи пошуку адрес електронної пошти. Інші види черв'яків: IM-Worm - черв'яки, що використовують Internet-пейджери, IRC-Worm - черви в IRC-каналах, Net-Worm - інші мережеві черв'яки.

Класичні комп'ютерні віруси

До даної категорії відносяться програми, що поширюють свої копії по ресурсах локального комп'ютера з метою: наступного запуску свого коду при яких-небудь діях користувача або подальшого впровадження в інші ресурси комп'ютера.

На відміну від черв'яків, віруси не використовують мережевих сервісів для проникнення на інші комп'ютери. Копія вірусу потрапляє на віддалені комп'ютери тільки в тому випадку, якщо заражений об'єкт з яких-небудь не залежних від функціонала вірусу причин виявляється активізованим на іншому комп'ютері, наприклад:

• при зараженні доступних дисків вірус проник у файли, розташовані на мережевому ресурсі;
• вірус скопіював себе на знімний носій або заразив файли на ньому;
• користувач відіслав електронний лист із зараженим вкладенням.

Деякі віруси містять в собі властивості інших різновидів шкідливого програмного забезпечення, наприклад бекдор-процедуру або троянську компоненту знищення інформації на диску.

Багато табличні і графічні редактори, Системи проектування, текстові процесори мають свої макромови (макроси) для автоматизації виконання повторюваних дій. Ці макромови часто мають складну структуру і розвинений набір команд. Макро-віруси є програмами на макромови, вбудованих в такі системи обробки даних. Для свого розмноження віруси цього класу використовують можливості макромов і при їхній допомозі переносять себе з одного зараженого файлу (документа або таблиці) в інші.

Скрипт-віруси

Слід зазначити також скрипт-віруси, які є підгрупою файлових вірусів. Дані віруси, написані на різних скрипт-мовами (VBS, JS, BAT, PHP і т.д.). Вони або заражають інші скрипт-програми (командні і службові файли MS Windows або Linux), або є частинами багатокомпонентних вірусів. Також, дані віруси можуть заражати файли інших форматів (наприклад, HTML), якщо в них можливе виконання скриптів.

троянські програми

До цієї категорії входять програми, що здійснюють різні несанкціоновані користувачем дії: збір інформації і її передачу зловмисникові, її руйнування або зловмисну \u200b\u200bмодифікацію, порушення працездатності комп'ютера, використання ресурсів комп'ютера в непристойних цілях. Окремі категорії троянських програм завдають шкоди віддалених комп'ютерів і мережам, не порушуючи працездатність зараженого комп'ютера (наприклад, троянські програми, розроблені для масованих DoS-атак на віддалені ресурси мережі).

Троянські програми різноманітні і розрізняються між собою по тим діям, які вони виробляють на зараженому комп'ютері:

• Backdoor - троянські утиліти віддаленого адміністрування.
• Trojan-PSW - крадіжка паролів.
• Trojan-AOL - сімейство троянських програм, "крадуть" коди доступу до мережі AOL (America Online). Виділено в особливу групу з причини своєї численності.
• Trojan-Clicker - Internet-клікери. Сімейство троянських програм, основна функція яких - організація несанкціонованих звернень до Internet-ресурсів (зазвичай до Web-сторінок). Досягається це або посилкою відповідних команд браузеру, або заміною системних файлів, в яких вказані "стандартні" адреси Internet-ресурсів (наприклад, файл hosts в MS Windows).
• Trojan-Downloader - доставка інших шкідливих програм.
• Trojan-Dropper - інсталятори інших шкідливих програм. Троянські програми цього класу написані з метою прихованої інсталяції інших програм і практично завжди використовуються для "підсовування" на комп'ютер-жертву вірусів або інших троянських програм.
• Trojan-Proxy - троянські проксі-сервера. Сімейство троянських програм, таємно здійснюють анонімний доступ до різних інтернет-ресурсів. Зазвичай використовуються для розсилки спаму.
• Trojan-Spy - шпигунські програми. Дані троянці здійснюють електронне шпигунство за користувачем зараженого комп'ютера: вводиться з клавіатури інформація, знімки екрану, список активних додатків і дії користувача з ними зберігаються в який-небудь файл на диску і періодично відправляються зловмисникові. Троянські програми цього типу часто використовуються для крадіжки інформації користувачів різних систем онлайнових платежів і банківських систем.
• Trojan - інші троянські програми. У цю групу також присутні "багатоцільові" троянські програми, наприклад, ті з них, які одночасно шпигують за користувачем і надають proxy-сервіс віддаленому зловмисникові.
• Trojan ArcBomb - "бомби" в архівах. Являють собою архіви, спеціально оформлені таким чином, щоб викликати нештатное поведінку архіваторів при спробі розпакувати дані - зависання або істотне уповільнення роботи комп'ютера або заповнення диска великою кількістю "порожніх" даних. Особливо небезпечні "архівні бомби" для файлових і поштових серверів, якщо на сервері використовується будь-яка система автоматичної обробки вхідної інформації - "архівна бомба" може просто зупинити роботу сервера.
• Trojan-Notifier - оповіщення про успішну атаку. Троянці даного типу призначені для повідомлення своєму "хазяїну" про зараженому комп'ютері. При цьому на адресу "господаря" відправляється інформація про комп'ютер, наприклад, IP-адреса комп'ютера, номер відкритого порту, адреса електронної пошти і т. П. Відсилання здійснюється різними способами: електронним листом, спеціально оформленим зверненням до веб-сторінці "господаря", ICQ-повідомленням. Дані троянські програми використовуються в багатокомпонентних троянських наборах для сповіщення свого "господаря" про успішну інсталяції троянських компонент в систему, що атакується.

Види комп'ютерних вірусів

Немає сьогодні такої людини, яка б не чула про комп'ютерні віруси. Що це таке, які бувають види комп'ютерних вірусіві шкідливих програм, спробуємо розібратися в цій статті. Отже, комп'ютерні віруси можна розділити на наступні види:

Під рекламними та інформаційними програмами розуміються такі програми, які, крім своєї основної функції, також демонструють рекламні банери і всілякі спливаючі вікна з рекламою. Такі повідомлення з рекламою часом буває досить нелегко приховати або відключити. Такі рекламні програми грунтуються при роботі на поведінку користувачів комп'ютера і є досить проблемними з міркувань безпеки системи.

Бекдори (Backdoor)

Утиліти прихованого адміністрування дозволяють, обходячи системи захисту, поставити комп'ютер встановив користувача під свій контроль. Програма, яка працює в невидимому режимі, дає хакеру необмежені права для управління системою. За допомогою таких backdoor-програм можна отримати доступ до персональних і особистих даних користувача. Нерідко такі програми використовуються в цілях зараження системи комп'ютерними вірусами і для прихованої установки шкідливих програм без відома користувача.

завантажувальні віруси

Нерідко головний завантажувальний сектор вашого HDD уражається спеціальними завантажувальними вірусами. Віруси подібного типу замінюють інформацію, яка необхідна для безперешкодного запуску системи. Один із наслідків дії такої шкідливої \u200b\u200bпрограми це неможливість завантаження операційної системи ...

Bot-мережу

Bot-мережу це повноцінна мережа в Інтернет, яка підлягає адміністрування зловмисником і складається з багатьох інфікованих комп'ютерів, які взаємодіють між собою. Контроль над такою мережею досягається з використанням вірусів або троянів, які проникають в систему. При роботі, шкідливі програми ніяк себе не проявляють, чекаючи команди з боку зловмисника. Подібні мережі застосовуються для розсилки СПАМ повідомлень або для організації DDoS атак на потрібні сервера. Що цікаво, користувачі заражених комп'ютерів можуть абсолютно не здогадуватися про те, що відбувається в мережі.

експлойт

Експлойт (дослівно пролом в безпеці) - це такий скрипт або програма, які використовують специфічні дірки і уразливості ОС або будь-якої програми. Подібним чином в систему проникають програми, з використанням яких можуть бути отримані права доступу адміністратора.

Hoax (дослівно жарт, брехня, містифікація, жарт, обман)

Вже протягом кількох років багато користувачів мережі Інтернет отримують електронні повідомлення про віруси, які поширюються нібито за допомогою e-mail. Подібні попередження масово розсилаються зі слізним проханням відправити їх всім контактам з вашого особистого листа.

пастки

Honeypot (горщик меду) - це мережева служба, яка має завдання спостерігати за всією мережею і фіксувати атаки, при виникненні вогнища. Простий користувач абсолютно не здогадується про існування такої служби. Якщо ж хакер досліджує і моніторить мережу на наявність прогалин, то він може скористатися послугами, які пропонує така пастка. При цьому буде зроблено запис в log-файли, а також спрацює автоматична сигналізація.

макровіруси

Макровіруси - це дуже маленькі програми, які написані на макромові додатків. Такі програми поширюються тільки серед тих документів, які створені саме для цього додатка.

Для активації таких шкідливих програм необхідний запуск програми, а також виконання інфікованого файлу-макросу. Відмінність від звичайних вірусів макросів в тому, що зараження відбувається документів додатки, а не запускаються файлів програми.

фармінг

Фармінг - це прихована маніпуляція host-файлом браузера для того, щоб направити користувача на фальшивий сайт. Шахраї містять у себе сервера великих обсягів, на таких серверах зберігаються велика база фальшивих інтернет-сторінок. При маніпуляції host-файлом за допомогою трояна або вірусу цілком можливо маніпулювання зараженої системою. В результаті цього заражена система буде завантажувати тільки фальшиві сайти, навіть в тому випадку, якщо Ви правильно введете адресу в рядку браузера.

фішинг

Phishing дослівно перекладається як "вивудження" особистої інформації користувача при знаходженні в мережі інтернет. Зловмисник при своїх діях відправляє потенційній жертві електронного листа, де зазначено, що необхідно вислати особисту інформацію для підтвердження. Нерідко це ім'я і прізвище користувача, необхідні паролі, PIN коди для доступу до рахунків користувача онлайн. З використанням таких викрадених даних, хакер цілком може видати себе за іншу особу та здійснити будь-які дії від його імені.

поліморфні віруси

Поліморфні віруси - це віруси, що використовують маскування і перевтілення в роботі. В процесі вони можуть змінювати свій програмний код самостійно, а тому їх дуже складно виявити, тому що сигнатура змінюється з плином часу.

програмні віруси

Комп'ютерний вірус - це звичайна програма, яка володіє самостійно прикріплятися до інших працюючим програмам, таким чином, вражаючи їх роботу. Віруси самостійно поширюють свої копії, це значно відрізняє їх від троянських програм. Також відміну вірусу від хробака в тому, що для роботи вірусу потрібна програма, до якої він може приписати свій код.

руткіт

Руткіт - це певний набір програмних засобів, Який приховано встановлюється в систему користувача, забезпечуючи при цьому приховування особистого логіна кіберзлочинця і різних процесів, при цьому роблячи копії даних.

Скрипт-віруси і черв'яки

Такі види комп'ютерних вірусів досить прості для написання і поширюються в основному за допомогою електронної пошти. Скриптові віруси використовують скриптові мови для роботи щоб додавати себе до нових створеним скриптів або поширюватися через функції операційної мережі. Нерідко зараження відбувається по e-mail або в результаті обміну файлами між користувачами. Черв'як це програма, яка розмножується самостійно, але яка інфікує при цьому інші програми. Черви при розмноженні не можуть стати частиною інших програм, що відрізняє їх від звичайних видів комп'ютерних вірусів.

шпигунське ПЗ

Шпигуни можуть переслати особисті дані користувача без його відома третім особам. шпигунські програми при цьому аналізують поведінку користувача в мережі Інтернет, а також, ґрунтуючись на зібраних даних, демонструють користувачеві рекламу або pop-up (спливаючі вікна), які неодмінно зацікавлять користувача.