Классификация вредоносного программного обеспечения

К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам Сети[4].

Сетевые черви представляют собой программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:

- проникновения на удаленные устройства (компьютеры, мобильные телефоны);

- запуска своей копии на удаленном устройстве;

- дальнейшего перехода на другие устройства в Сети.

 

Путями распространения большинства известных червей являются:

- вложение в электронное письмо;

- ссылка в ICQ- и IRC-сообщениях на зараженный файл, расположенный на каком-

либо веб- или FTP-ресурсе;

- файл в каталоге обмена P2P и прочее.

 

Некоторые черви распространяются в виде сетевых пакетов и проникают непосредственно в память компьютера и там самостоятельно активизируют свой код – это так называемые «бесфайловые» или «пакетные» черви (например, CodeRed и Slammer).

 

Классические компьютерные вирусы – это программы, распространяющие свои копии по ресурсам локального компьютера с целью:

- последующего запуска своего кода при каких-либо действиях пользователя;

- дальнейшего внедрения в другие ресурсы компьютера.

В отличие от червей, вирусы не используют сетевые сервисы для проникновения в другие компьютеры. Копия вируса попадает на удаленные компьютеры только в тех случаях, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

- при заражении доступных дисков вирус проник в файлы, расположенные на

сетевом ресурсе;

- вирус скопировал себя на съемный носитель или заразил файлы на нем;

- пользователь отослал электронное письмо с зараженным вложением.

Некоторые вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например шпионскую процедуру или троянский компонент уничтожения информации на диске (например, вирус CIH).

Следует отметить, что в последнее время классические вирусы встречаются крайне редко. Однако заражение файлов вирусными методами периодически встречается в современных сетевых червях и троянских программах, написанных в криминальных целях. Такие черви и троянские программы при заражении компьютера внедряют свой код в файлы операционной системы и/или приложений для того, чтобы этот код было сложнее обнаружить и удалить из системы. В этих случаях используются технологии классических компьютерных вирусов.

Троянские программы – это вредоносные программы, созданные для осуществления несанкционированных пользователем действий, направленных на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители данной категории не имеют способности создавать свои копии, обладающие возможностью дальнейшего самовоспроизведения. Основным признаком, по которому различают типы троянских программ, являются их несанкционированные пользователем действия — те, которые они производят на зараженном компьютере.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособности зараженного компьютера: например, троянские программы, разработанные для массированных распределенных атак на удаленные ресурсы сети или для рассылки спама.

Хакерские утилиты и прочие вредоносные программы включают:

- утилиты, автоматизирующие создание вирусов, червей и троянских программ

(конструкторы);

- программные библиотеки, разработанные для создания вредоносных программ;

- хакерские утилиты, скрывающие код зараженных файлов от антивирусной

проверки (шифровальщики файлов);

- «злые шутки», затрудняющие работу с компьютером;

- программы, сообщающие пользователю заведомо ложную информацию о своих

действиях в системе;

- прочие программы, тем или иным способом намеренно наносящие прямой или

косвенный ущерб данному компьютеру или удаленным компьютерам сети.

Компьютерные вирусы, черви, троянские программы существуют для десятков операционных систем и приложений. В то же время имеется огромное количество других операционных систем и приложений, для которых вредоносные программы пока не обнаружены. Что является причиной существования вредных программ в одних системах и отсутствия их в других? Причиной появления подобных программ, как указывают эксперты[5], в конкретной операционной системе или приложении является одновременное выполнение следующих условий: популярность, широкое распространение данной системы; документированность - наличие разнообразной и достаточно полной документации по системе; незащищенность системы или существование известных уязвимостей в ее безопасности и приложениях. Каждое перечисленное условие является необходимым, а выполнение всех условий одновременно является достаточным для появления разнообразных вредоносных программ. Условие популярности системы необходимо для того, чтобы она попалась на глаза хотя бы одному компьютерному хулигану или хакеру. Если система существует в единичных экземплярах, то вероятность ее злонамеренного использования близка к нулю. Если же производитель системы добился ее массового распространения, то очевидно, что рано или поздно хакеры и вирусописатели попытаются воспользоваться ей в своих интересах. Напрашивается естественный вывод: чем популярнее операционная система или приложение, тем чаще она будет являться жертвой вирусной атаки. Практика это подтверждает - распределение количества вредоносного программного обеспечения для Windows, Linux и MacOS практически совпадает с долями рынка, которые занимают эти операционные системы.   Наличие полной документациинеобходимо для существования вирусов по естественной причине: создание программ (включая вирусные) невозможно без технического описания использования сервисов операционной системы и правил написания приложений. Например, у обычных мобильных телефонов конца прошлого и начала нынешнего столетия подобная информация была закрыта - ни компании производители программных продуктов, ни хакеры не имели возможности разрабатывать программы для данных устройств. У телефонов с поддержкой Java и у «умных» телефонов есть документация по разработке приложений - и, как следствие, появляются и вредоносные программы, разработанные специально для телефонов данных типов. Уязвимостяминазывают «дыры» в программном обеспечении, как программистские (ошибки в коде программы, позволяющие вирусу «пролезть в дыру» и захватить контроль над системой), так и логические (возможность проникновения в систему легальными, иногда даже документированными методами). Если в операционной системе или в ее приложениях существуют известные уязвимости, то такая система открыта для вирусов,какой бы защищенной она ни была. Под защищенностью системыпонимаются архитектурные решения, которые не позволяют новому (неизвестному) приложению получить полный или достаточно широкий доступ к файлам на диске (включая другие приложения) и потенциально опасным сервисам системы. Подобное ограничение фактически блокирует любую вирусную активность, но при этом, естественно, накладывает существенные ограничения на возможности обычных программ.

⇐ Предыдущая234567891011Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: