Основные виды вредоносных программ. Виды вредоносных программ

Вредоносная программа - компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в компьютерной системе, либо для скрытого нецелевого использования ресурсов системы, либо иного воздействия, препятствующего нормальному функционированию компьютерной системы.

Некоторые черви (так называемые «бесфайловые» или «пакетные» черви) распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.

Для проникновения на удаленные компьютеры и запуска своей копии черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.

Некоторые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, некоторые черви содержат троянские функции или способны заражать выполняемые файлы на локальном диске, т. е. имеют свойство троянской программы и/или компьютерного вируса.

Классические компьютерные вирусы

• последующего запуска своего кода при каких-либо действиях пользователя;
• дальнейшего внедрения в другие ресурсы компьютера.

В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

• при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
• вирус скопировал себя на съёмный носитель или заразил файлы на нем;
• пользователь отослал электронное письмо с зараженным вложением.

Некоторые вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например бэкдор-процедуру или троянскую компоненту уничтожения информации на диске.

Троянские программы

В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).

Хакерские утилиты и прочие вредоносные программы

• утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
• программные библиотеки, разработанные для создания вредоносного ПО;
• хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
• «злые шутки», затрудняющие работу с компьютером;
• программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
• прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.

История вредоносного ПО

2018

33% организаций по всему миру подвергались атакам мобильных зловредов

30 января 2019 года стало известно, что компания Check Point Software Technologies Ltd. выпустила первую часть отчета 2019 Security Report, который раскрывает основные тренды и методы вредоносного ПО , которые исследователи Check Point наблюдали в 2018 году. Согласно документу, 33% организаций по всему миру подвергались атакам мобильного вредоносного ПО, причем три основных угрозы были направлены на ОС Android . В 2018 было несколько случаев, когда мобильное вредоносное ПО было предварительно установлено на устройствах, а приложения, доступные в магазинах приложений , фактически оказались скрытым вредоносным ПО. Подробнее .

Каждый четвертый атакованный пользователь в мире сталкивался с мобильными «порнозловредами»

В 2017 году 25%* пользователей мобильных устройств, столкнувшихся с различными зловредами, были атакованы вредоносными программами, которые в том или ином виде маскировались под контент для взрослых. В общей сложности такие угрозы затронули более 1,2 миллиона человек. К такому выводу пришли эксперты «Лаборатории Касперского», проанализировав киберугрозы для посетителей порносайтов и приложений. Всего в ходе своего исследования аналитики обнаружили 23 семейства мобильных зловредов, которые прячут свои реальные функции за материалами для взрослых.

Сталкиваясь с вредоносным порноприложением, пользователь практически в половине случаев (46%) рискует заполучить так называемый кликер – программу, которая «прокликивает» рекламные страницы или оформляет WAP-подписку, снимая таким образом деньги с мобильного счета. Второй по распространенности угрозой в этом случае являются банковские троянцы – с ними сталкивались 24% атакованных. На долю вымогателей приходится относительно небольшой процент заражений (6,5%), однако их попадание на устройство часто сопровождается запугиванием пользователя. Например, зловред блокирует экран, показывая оповещение об обнаружении нелегального контента (чаще всего детской порнографии) – с помощью этого обмана злоумышленники пытаются вынудить своих жертв заплатить выкуп.

Избежать заражения вредоносными программами, маскирующимися под порноконтент, можно с помощью все тех же базовых правил безопасного поведения: пользоваться только проверенными сайтами, не скачивать мобильные приложения из сторонних неофициальных источников (сколь бы заманчивыми они ни казались), не покупать взломанные аккаунты от порносайтов и, разумеется, использовать надежное защитное решение.

2017

Троян CryptoShuffler своровал биткоинов на $140 тыс.

По его словам, речь идет о бизнес-вирусе, который ворует данные - например, дебетовых карт - и перепродает их. При этом пользователи собственноручно запускают вирус на своих устройствах - посредством установки различных расширений.

Советник президента России по интернету также отметил, что установка вирусов для майнинга криптовалют - это на текущий момент самый прибыльный для хакеров бизнес.

«Самым распространенным и самым опасным вирусом следует считать тот вирус, который вскрывает сервер и ставит на него программу майнинга биткоинов», - указал Герман Клименко, отвечая на вопрос журналиста RNS о том, стоит ли ожидать более мощного повторения хакерской атаки вирусов, похожей на WannaCry .

Как он добавил, деятельность подобных зловредов заметно сказывается на производительности компьютеров, поскольку они используют вычислительные мощности устройства.

Со своей стороны, ведущий аналитик отдела развития «Доктор Веб» Вячеслав Медведев заявил РБК, что «если бы речь шла о 20-30%, это была бы эпидемия, и об этом бы знал каждый. Заражения майнерами есть, но сказать, что ими заражена треть пользователей, нельзя». По его словам, майнеры составляют порядка трети процента от всех найденных вредоносных программ.

Более 500 млн пользователей под прицелом Andriod-трояна SpyDealer

SpyDealer распространяется через платформы GoogleService и GoogleUpdate, а также незащищенные Wi-Fi -соединения, которые чаще всего находятся в публичных местах. Проникнув и установившись на устройстве, SpyDealer начинает контролировать все осуществляемые загрузки и статус беспроводного соединения. Вредоносной программой управляют при помощи SMS-команд, число которых достигает 50. Выполняя переданные из удалённого сервера команды, троян может похитить любые личные данные пользователя, включая номер телефона, данные IMEI, IMSI, SMS и MMS, перечень контактов, данные геолокации и информацию о текущих беспроводных соединениях. Перехват сообщений осуществляется с использованием специальных функций Android - AccessibilityService.

Под прицелом зловреда оказались пользователи WeChat , WhatsApp , Skype , Line , Viber , QQ, Tango, Telegram , Sina Weibo, Tencent Weibo и Facebook Messenger . Кроме того, угрозе подвергаются пользователи предустановленного браузера Android, браузеров Firefox и Oupeng, почтовых клиентов QQ Mail, NetEase Mail, Taobao и Baidu Net Disk.

SpyDealer сможет отвечать на телефонные звонки с заданного номера, вести запись телефонных разговоров и делать несанкционированные пользователем снимки с обеих камер смартфона. Всего насчитывается более 40 приложений , к которым троян имеет доступ. Таким образом, SpyDealer, по мнению исследователей, может служить «идеальным шпионом», способным не только похитить информацию, но и вести слежку за своей жертвой.

В настоящее время наибольшее число пострадавших от SpyDealer пользователей сосредоточено в Китае , в этой же стране находится и большинство командных серверов (однако сервера есть и в США). Наибольшей угрозе подвергаются смартфоны с ОС Android версий от 2.2 до 4.4, для последующих версий внесены исправления и некоторые угрозы ликвидированы. Однако SpyDealer способен похитить сведения и из смартфонов , работающих под ОС Android 5 и более высоких версий.

По оценкам специалистов, в мире в данный момент имеется около 2 млрд Android-смартфонов, среди которых около четверти работают под устаревшими версиями операционной системы. Следовательно, около 500 млн пользователей рискуют быть подверженными атаке трояна SpyDealer. При этом SpyDealer динамично развивается и оптимизируется, и в будущем он, возможно, сможет атаковать и смартфоны, работающие под управлением свежих версий ОС Android, полагают в Palo Alto Networks.

Group-IB обнаружила новый зловред для Android, невидимый для антивирусов

Система раннего обнаружения киберугроз компании Group-IB зафиксировала активное распространение новой вредоносной программы, работающей под ОС Android . Вирус использует данные из телефонной книжки зараженного абонента, а антивирусное ПО не детектирует программу как вредоносную. Многие пользователи телефонов на базе Android за последнюю неделю получили MMS-сообщения от кого-то из своего контакт-листа со ссылкой. В начале сообщения вирус подставлял имя из записной книжки зараженного лица (см. картинку ниже).

При переходе по ссылке пользователь видел надпись «Уважаемый пользователь, вам пришла ммс-фотография. Посмотреть вы ее можете по ссылке ниже». При нажатии на кнопку «Посмотреть» на устройство загружалась вредоносная программа с расширением.APK. Также злоумышленники заботливо сопроводили спам инструкцией «Во время установки, нажмите НАСТРОЙКИ -> Разрешить установку из неизвестных источников -> OK».

Механизм работы вируса

Попадая на устройство, вредоносная программа рассылает себя по контактным листам жертвы. Параллельно она делает запрос на номер SMS-банкинга жертвы, узнает баланс счета и переводит деньги на счета, подконтрольные злоумышленникам. При этом происходит перехват входящих SMS -сообщений, в результате чего жертва не подозревает, что у нее снимают деньги, даже если подключена функция SMS-оповещений о списаниях, отметили в Group-IB.

Также в функционал программы входит показ так называемых «веб-фейков» - окон браузера , визуально схожих с окошками авторизации банковских приложений. Вводя в них данные банковских карт, жертва отправляла их злоумышленникам напрямую. В ряде случаев вредоносная программа могла также блокировать телефон.

«Эта угроза направлена на пользователей ОС Android - клиентов банков, использующих SMS-банкинг и пользователей мобильных банковских приложений. Характерно, что антивирусные программы , установленные на телефонах жертв, ни на одном из этапов работы вируса не детектировали приложение как вредоносное (и продолжают его не детектировать). Антивирусы в этой ситуации просто не помогают», - рассказал руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов .

ЛК: Количество зловредов для умных устройств удвоилось

Число вредоносных программ для атак на устройства Интернета вещей превысило семь тысяч, причем более половины из них появились за первые шесть месяцев 2017 года. Такие цифры приводят эксперты «Лаборатории Касперского ». Аналитики компании также отмечают, что сейчас по всему миру работают больше 6 миллиардов подключенных к Интернету устройств, и люди подвергаются серьезной опасности. Взламывая умные гаджеты, злоумышленники получают возможность шпионить за пользователями, шантажировать их, а также использовать устройства в качестве промежуточного звена для совершения преступлений.

Специалисты «Лаборатории Касперского» провели эксперимент и настроили несколько ловушек («ханипотов»), которые имитировали различные умные устройства. Первые попытки несанционированного подключения к ним эксперты зафиксировали уже через несколько секунд. За сутки было зарегистрировано несколько десятков тысяч обращений. Среди устройств, атаки с которых наблюдали эксперты, более 63% можно определить как IP-камеры. Около 16% составили различные сетевые устройства и маршрутизаторы . Еще 1% пришелся на Wi-Fi -ретрансляторы, TV-приставки, устройства IP-телефонии , выходные ноды Tor, принтеры, устройства «умного дома ». Остальные 20% устройств однозначно опознать не удалось.

Если посмотреть на географическое расположение устройств, с IP-адресов которых эксперты видели атаки на ханипоты, можно наблюдать следующую картину: в топ-3 стран вошли Китай (14% атакующих устройств), Вьетнам (12%) и Россия (7%).

Причина роста числа таких атак проста: Интернет вещей сегодня практически не защищен от киберугроз . Подавляющее большинство устройств работает на Linux , что упрощает жизнь преступникам: они могут написать одну вредоносную программу, которая будет эффективна против большого количества устройств. Кроме того, на большинстве IoT -гаджетов нет никаких защитных решений, а производители редко выпускают обновления безопасности и новые прошивки.

Китайское рекламное агентство распространяет зловред, заразивший 250 миллионов устройств

В мае 2017 года команда Threat Intelligence компании Check Point Software Technologies обнаружила чрезвычайную активность китайской вредоносной кампании, от которой пострадали уже более 250 миллионов компьютеров по всему миру. В каждой четвертой российской компании (24.35%) заражен хотя бы один компьютер. Распространяемый зловред Fireball поражает браузеры , превращая их в зомби. У Fireball две основные функции: одна заключается в способности запускать любой код и скачивать любые файлы на компьютер жертвы, а другая позволяет управлять веб-трафиком пользователя, чтобы генерировать прибыль от рекламы. В настоящее время Fireball устанавливает плагины и дополнительные конфигурации для увеличения рекламного трафика, однако он может легко превратиться в распространителя любого другого зловредного ПО.

Кампанией управляет крупнейшее маркетинговое агентство Rafotech , расположенное в Пекине. Rafotech использует Fireball, чтобы управлять браузерами жертв и менять поисковые системы и стартовые страницы, установленные по умолчанию, на фейковые поисковики, которые просто перенаправляют запросы на yahoo.com или Google .com. Поддельные поисковики способны собирать персональную информацию пользователей. Fireball также может шпионить за жертвами, доставлять любые зловреды и запускать любой вредоносный код на инфицированных машинах. Fireball попадает на компьютер жертвы обычно в связке с другим ПО, которое скачивает пользователь, часто даже без его согласия. Масштабы распространения Fireball поражают. В соответствии с данными аналитиков Check Point, инфицировано более 250 миллионов компьютеров по всему миру: около 25,3 миллиона в Индии (10,1%), 24,1 миллиона в Бразилии (9,6%), 16,1 миллиона в Мексике (6,4%) и 13,1 миллиона в Индонезии (5,2%). В США обнаружено около 5,5 миллиона заражений (2,2%).

По данным Check Point, процент заражения корпоративных сетей еще выше: около 20% от общего числа всех корпоративных сетей в мире. Значительное число заражений в США (10,7) и в Китае (4,7%), но особенно впечатляют данные по Индонезии (60%), Индии (43%) и Бразилии (38%).

Другим показателем высокой степени распространения является популярность поддельных поисковых систем Rafotech. Согласно аналитической системе Alexa, 14 из этих поддельных поисковых систем входят в число 10 000 наиболее популярных веб-сайтов, причем некоторые из них иногда попадают и в 1000 лучших.

С технической точки зрения, Fireball демонстрирует высокую степень мастерства его создателей: он способен избегать обнаружения, содержит многоуровневую структуру и гибкий C&C и в целом ничем не уступает другим успешным вредоносным программам.

Rafotech не признается в распространении поддельных поисковых систем, однако на своем сайте объявляет себя успешным маркетинговым агентством, охватывающим 300 миллионов пользователей по всему миру, что примерно совпадает с данными о количестве зараженных машин.

Масштабы распространения Fireball дают его модераторам, Rafotech, практически безграничную власть. Полученную из фейковых поисков приватную информацию компания может продавать мошенникам или бизнес-конкурентам жертв. Также она может доставить любой другой зловред на зараженные компьютеры. По нашим оценкам, в случае, если Rafotech решит реализовать этот потенциал, каждая пятая корпорация в мире будет находится в серьезной опасности. Ущерб может быть нанесен критически важным организациям - от крупных поставщиков услуг до операторов инфраструктуры и медицинских учреждений. Возможные потери достигают немыслимых масштабов, и на их восстановление могут уйти годы.

Данные Check Point Threat Index

Место Hummingbad на вершине рейтинга самых популярных мобильных вредоносных программ занял модульный бэкдор для Android Triada. Он предоставляет привилегии супер-пользователя скачанному зловреду, помогая ему проникнуть вглубь системных процессов. В общей сложности на мобильные вредоносные программы приходится 9% всех обнаруженных атак. Лидирующую позицию в общем рейтинге занимает Kelihos, ботнет, который используется для кражи биткоинов , - от него пострадали 5% организаций по всему миру.

Данные рейтинга говорят о том, что хакеры продолжают расширять арсенал инструментов для таргетированных атак на бизнес. Угрозы используются на каждом этапе заражения, включая спам-письма, рассылаемые ботами, которые содержат загрузчики, в свою очередь подселяющие «зловред» на устройство жертвы.

Количество атак на российские компании в январе существенно снизилось: Россия опустилась на 83 строчку в рейтинге самых атакуемых стран, еще месяц назад она располагалась на 55 месте. Самыми активными зловредами, атаковавшими российские организации в январе 2017 стали Conficker, InstalleRex, Cryptowall, Bedep, Kometaur, HackerDefender, Delf, Ramnit, Jeefo, Fareit.

Среди стран, которые больше всего атаковали в январе 2017 года, отметились Парагвай, Уганда и Македония. Самыми благополучными с точки зрения кибербазопасности оказались Аргентина, Черногория и Барбадос.

В общей сложности Kelihos был самым активным видом вредоносного ПО, заразившим 5% организаций по всему миру. За ним следует HackerDefender и Cryptowall, на которые приходится 4,5% атакованных компаний.

Самые активные зловреды января 2017 :

• Kelihos - Ботнет, который используется в основном для кражи биткоинов и спама. Он работает через пиринговую связь, позволяя каждому отдельному узлу выступать в качестве сервера Command & Control.
• HackerDefender - Пользовательский руткит для Windows , может использоваться для сокрытия файлов, процессов и регистрационных ключей, а также для применения в качестве бэкдора и программы для перенаправления портов, которая работает через порты, открытые существующими службами. В результате скрытый бэкдор невозможно обнаружить традиционными средствами.
• Cryptowall - Вымогательский зловред , который начал как двойник Cryptolocker, но в конце концов превзошел его. Cryptowall стал одним из самых выдающихся вымогателей. Он известен из-за использования шифрования AES и проведения связи C&C через анонимайзер Tor. Зловред активно распространяется через эксплойт-киты, вредоносную рекламу и фишинговые кампании.

Самые активные мобильные зловреды :

• Triada - Модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам, поскольку помогает им внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере.
• Hummingbad - Вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активность, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
• Hiddad - Зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция - показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.

2016: Вредоносная реклама теперь нацелена на роутеры

Вредоносными рекламным кампаниями сегодня трудно кого-либо удивить, но специалисты Proofpoint обнаружили новую тенденцию в данной области. Теперь злоумышленники нацеливаются не на браузеры пользователей, а на их роутеры. Итоговая цель атакующих – внедрить рекламу в каждую страницу, которую посетит зараженная жертва. Интересно, что данная кампания ориентирована не на пользователей , как это бывает чаще всего, но на пользователей Chrome (как десктопной, так и мобильной версии) .

Действуют хакеры следующим образом: на легитимных сайтах покупаются рекламные места для размещения объявлений. Для этого атакующие используют рекламные сети AdSupply, OutBrain, Popcash, Propellerads и Taboola. В объявление встраивается вредоносный JavaScript -код, который использует WebRTC -запрос к Mozilla STUN-серверу, чтобы узнать локальный IP-адрес жертвы. Основываясь на этой информации, вредонос определяет, управляется ли локальная сеть пользователя каким-либо домашним роутером. Если ответ положительный, атака продолжается. Если же нет, пользователю показывают обычную, безвредную рекламу, и он избегает неприятностей.

Владельцам роутеров показывают совсем не безобидные объявления. Реклама переадресует их прямиком к эксплоит киту DNSChanger, который продолжает атаку. Используя стеганографию, атакующие отправляют роутеру жертвы изображение, в котором содержится AES-ключ. Вредоносная реклама использует данный ключ для дешифровки дальнейшего трафика, получаемый от DNSChanger. Так злоумышленники скрывают свои операции от внимания ИБ-специалистов.

Поле получения AES-ключа, DNSChanger передает жертве список отличительных черт 166 роутеров (включая различные модели Linksys , Netgear , D-Link , Comtrend , Pirelli и Zyxel), опираясь на который устанавливается типа роутера, который затем передается на управляющий сервер злоумышленников. На сервере лежит список уязвимостей и жестко закодированных учетных данные от различных устройств, которые и используются для перехвата контроля над роутером жертвы. Специалисты Proofpoint отмечают, что в некоторых случаях (если модель устройства позволяет), атакующие стараются создать внешнее подключение к административному порту роутера и перехватить управление напрямую.

Если хакерам удалось получить контроль над устройством, они подменяют DNS -серверы и всю легитимную рекламу своей собственной, а также встраивают рекламу на сайты, где ее не было вовсе.

Единственный способ избежать подобных проблем – не использовать дефолтные учетные данные для роутера, отключить удаленный доступ к панели управления (если это возможно), а также обновить прошивку устройства до последней версии, чтобы закрыть уязвимости и избежать эксплоитов, которые применяет DNSChanger.

2013: Тренды вредоносного ПО и кода навязчивой рекламы в мобильной среде

2001 год. Основным событием 2001 г. стало широкое распространение вредоносных программ, использующих для проникновения на компьютеры бреши в системах безопасности операционных систем и приложений (например, CodeRed, Nimda, Aliz, BadtransII и др.). Вызванные ими глобальные эпидемии стали крупнейшими в истории и надолго определили пути развития антивирусной индустрии в целом. Весьма заметными событиями вирусной истории стали многочисленные варианты червя ILoveYou, почтовые черви Magistr и SirCam.

Традиционное доминирование традиционных файловых вирусов постепенно сходит на нет и основным способом размножения для вредоносных программ становится передача своего тела по локальным и глобальным сетям.

Также 2001 год ознаменовался появлением большого количества вредоносных программ, нацеленных на операционную систему Linux . Так сетевой червь Ramen, обнаруженный 19 января, за считанные дни поразил большое количество крупных корпоративных систем. В число жертв червя попали Национальная администрация по аэронавтике и космосу США (НАСА), Техасский университет A&M, Тайваньский производитель компьютерного оборудования Supermicro. Вслед за Ramen появились его клоны и новые оригинальные Linux-черви, также вызвавшие многочисленные инциденты.

Кроме того, в этом же году был обнаружен новый тип вредоносных кодов (CodeRed, BlueCode), способного активно распространяться и работать на зараженных компьютерах без использования файлов. Глобальная эпидемия сетевого червя CodeRed (по некоторым оценкам зараженными оказались более 300.000 компьютеров) подтвердила исключительную действенность технологии, используемой бестелесносными червями.

2002 год. Зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов (Sircam, Hybris, Magistr, CIH, BadtransII, Thus и др.). В течение года вредоносные программы продолжили активно проникать на новые платформы и приложения. Уже в январе с разницей всего в два дня появились flash-вирус LFM и вирус Donut, которые впервые использовали для своего распространения технологию .NET .

В середине мая были обнаружены сетевые черви Spida (заражающий SQL -серверы) и Benjamin. Последний стал вдохновителем целого семейства вредоносных программ, которые на протяжении 2002 г. непрерывно атаковали членов файлообменной сети KaZaA . Также не прекращались атаки на пользователей Linux. Червь Slapper всего за несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD : обнаруженный в сентябре сетевой червь Scalper также получил довольно широкое распространение.

Несомненным лидером по количеству вызванных инцидентов в 2002 г. является интернет-червь Klez. В течение 2002 года свирепствовали две из десяти существующих разновидностей этого червя - Klez.H (обнаружен 17.04.2002) и Klez.E (обнаружен 11.01.2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны Klez. Ближайшим конкурентом Klez оказался интернет-червь Lentin. В конце 2002 года он смог превзойти Klez по количеству вызванных инцидентов. Весьма заметным оказался и червь Tanatos (также известен как Bugbear), эпидемия которого разразилась в октябре 2002 года.

Среди замеченных в 2002 г. компьютерных вирусов, больше всего себя проявили макро-вирусы. Прежде всего, здесь стоит отметить Thus, TheSecond, Marker и Flop. Эти макро-вирусы для текстового редактора Microsoft Word показали удивительную живучесть. Эпидемии с их участием были зафиксированы еще в конце 90-х, но в 2002 году они пережили второе рождение. Среди Windows -вирусов больше всего заражений вызвали Elkern, CIH, FunLove и Spaces.

2003 год. Сетевой червь Lovesan, появившийся в августе 2003 года, использовал для своего распространения критическую уязвимость в операционной системе Windows. За считанные дни ему удалось заразить миллионы компьютеров по всему миру. Использованный им принцип размножения (через глобальную сеть интернет, с непосредственной атакой заражаемого компьютера, игнорируя традиционные для того времени пути распространения - электронную почту, IRC, P2P-сети) был впервые реализован еще в 1988 году в первом в истории сетевом черве Моррисона, однако затем, на протяжении почти 15 лет, ничего подобного не случалось. Lovesan был не единственным подобным червем в 2003 году. Первым стал червь Slammer, за три дня в январе 2003 сумевший заразить около полумиллиона компьютеров. Он также использовал уязвимость в программном продукте компании Microsoft - MS SQL Server. Slammer поразил компьютеры Госдепартамента США , где повредил базу данных. Консульства США по всему миру вынуждены были на 9 часов прервать процесс выдачи виз.

Почтовый червь Sobig.f появился в самом конце августа 2003 года и буквально за пару дней вызвал крупнейшую в XXI веке эпидемию почтового червя. На пике его активности практически каждое десятое электронное письмо содержало в себе такого червя. Червь не использовал какие-либо уязвимости, имел довольно простенькие темы и тексты писем, но масштабы его проникновения на пользовательские компьютеры стали настолько велики, что обнаруженная в нем функция приема команд извне (бэкдор) заставила всех антивирусных экспертов с тяжелым сердцем ожидать 22 августа 2003 года - дня, когда вирус Sobig.f на всех зараженных им компьютерах должен был получить команду от своего «создателя». Однако команда не пришла, серверы, откуда она могла быть послана, были оперативно закрыты.

В сентябре объявился червь Swen, который использовал для размножения традиционные способы - электронную почту, IRC, P2P-каналы. Особенностью данного червя стал мощнейший метод социального инжиниринга: Swen выдавал себя за специальный патч от компании Microsoft, якобы устраняющий все известные уязвимости. Письмо, содержавшее легко узнаваемые элементы официального сайта Microsoft, ссылки на другие ресурсы данной компании и грамотно составленный текст, неотразимо действовало не только на неискушенных, но и на многих опытных пользователей, заставляя их запускать приложенный к письму файл.

Последним ярким представителем 2003 года стал почтовый червь Sober. Написанный как подражание Sobig, червь использовал множество различных текстов писем, причем на разных языках, выбираемых в зависимости от страны получателя письма, и выдавал себя за утилиту для удаления Sobig.

2004 год. В начале января тысячам пользователей ICQ было разослано сообщение с просьбой посетить некий сайт. На сайте была размещена троянская программа, которая, используя одну из множества уязвимостей Internet Explorer, скрытно устанавливала и запускала троянский прокси-сервер Mitglieder, открывавший на зараженной машине порты для рассылки спама.

Также в 2004 году произошли две эпидемии, которые смело можно назвать крупнейшими за всю историю сети интернет - распространение почтового червя MyDoom.a (январь-февраль 2004 г.) и сетевого червя Sasser.a (май 2004 г.). Mydoom известен массированной 12-дневной DDoS -атакой на веб-сайт компании SCO, начавшейся 1 февраля 2004 года. За пару часов работа сервера была полностью парализована и вернуться в нормальный режим www.sco.com смог только 5 марта. Червь Sasser в мае 2004 года поразил более 8 млн. компьютеров, а убытки от него оцениваются в 979 млн. долларов США. Для проникновения Sasser использовал уязвимость в службе LSASS Microsoft Windows.

В июне объявился Cabir - первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OS Symbian . При каждом включении зараженного телефона вирус получал управление и начинал сканировать список активных Bluetooth-соединений. Затем выбирал первое доступное соединение и пытался передать туда свой основной файл caribe.sis. Ничего деструктивного Cabir не делал - только снижал стабильность работы телефона за счет постоянных попыток сканирования активных Bluetooth-устройств.

Вскоре, в августе 2004 года появились и вирусы для PocketPC - классический вирус Duts и троянская программа Brador. Этот год также запомнился масштабными арестами вирусописателей - было осуждено около 100 хакеров, причем трое из них находились в двадцатке самых разыскиваемых ФБР преступников.

2005 год. В 2005 году наметился некоторый спад активности почтовых червей. По данным Лаборатории Касперского всего в 2005 году было 14 вирусных эпидемий, втрое меньше аналогичного показателя 2004 года (46 эпидемий). Крупнейших же эпидемий было зафиксировано всего четыре - модификации почтового червя Bagle с индексами.ах и.ау (январь), сетевой вирус-червь Mytob.c (март) и две модификации почтового червя Sober - Sober.p (май) и Sober.y (ноябрь). Самым массовым и распространенным из всех появившихся в 2005 году стало семейство червей Mytob. Это выразилось в более чем 120 обнаруженных разновидностях червей данного семейства. Вариации Mytob в течение всего года составляли более половины от общего числа вредоносных программ, выловленных в почтовом трафике.

2006 год. 2006 год продолжил основные тенденции в развитии вредоносных программ, выявленные в прошлые годы. Это преобладание троянских программ над червями и увеличение в новых образцах вредоносного кода доли программ, ориентированных на нанесение финансового ущерба пользователям. В 2006 году, по данным Лаборатории Касперского, среди всех новых семейств и вариантов вредоносных программ доля троянских программ превысила 90%. Заметными событиями года стали первые «настоящие» вирусы и черви для операционной системы MacOS , троянские программы для мобильной платформы J2ME и связанный с ними способ кражи денег у пользователя с мобильного счета. Рост числа всех новых вредоносных программ по сравнению с 2005 годом составил 41%. В 2006 году было зафиксировано 7 крупных вирусных эпидемий - вдвое меньше показателя прошлого года (14 эпидемий). Эпидемии 2006 года можно разделить на четыре группы. Это червь Nyxem.e, черви семейств Bagle и Warezov, а также несколько вариантов троянца-шифровальщика Gpсode.

2007 год. Количество вредоносных компьютерных программ в 2007 году выросло более чем вдвое. По данным ЛК , в целом за год было зарегистрировано более 220 тыс. новых вирусов. В 2007 году ежемесячно появлялось 18,348 тысячи новых компьютерных вирусов, что также более чем в два раза превышает уровень предыдущего года (8,563 тысячи.) Более половины всех вредоносных программ, рассылаемых по электронной почте в 2007 году, составляли почтовые "черви" (54,55%), за ними шли программы семейства Trojan-Downloader (универсальные загрузчики произвольного вредоносного кода из интернета, 14,87%) и Trojan-Spy (программы, ворующие конфиденциальную информацию с компьютеров пользователей и организаций, 13,41%).

Доля "троянцев" в общем объеме вредоносных программ составила 91,73%, а число таких программ выросло по сравнению с 2006 годом на 2,28%. В 2007 году значительно возросло число вредоносных программ, ориентированных исключительно на игроков онлайн-игр. Если в 2006 году было обнаружено чуть более 15 тысяч программ, ворующих пароли от онлайн-игр, то по итогам 2007 года их число приблизилось к 35 тысячам.

2008 год. В первом полугодии 2008 года аналитики «Лаборатории Касперского » обнаружили 367 772 новые вредоносные программы - в 2,9 раз больше, чем во втором полугодии 2007 года. Среднее число новых вредоносных программ, обнаруживаемых за месяц, составило 61 295,33. По сравнению со второй половиной 2007 года число новых программ увеличилось на 188,85%. Такие темпы роста значительно превосходят итоги 2007 года, когда было обнаружено на 114% вредоносных программ больше, чем в 2006 году.

2008 год не внес значительных изменений в соотношение классов вредоносных программ. Абсолютным лидером по-прежнему являются троянские программы, на которые приходится более 92% всех вредоносных программ. При этом доля троянов выросла лишь на 0,43% - это значительно меньше, чем их рост на два с лишним процента в 2007 году. Число новых троянских программ, обнаруженных в первом полугодии 2008 года, увеличилось на 190,2% по сравнению с предыдущим полугодием.

1990 – 1999 гг.

1990 год. Появились первые полиморфные вирусы – Chameleon (1260, V2P1, V2P2 и V2P6). В Болгарии появился так называемый "завод по производству вирусов". В течение этого года и ряда последующих лет было обнаружено огромное количество новых вирусов, которые имели именно болгарское происхождение. Это были целые семейства вирусов - Murphy, Nomenclatura, Beast (или 512, Number-of-Beast), новые модификации вируса Eddie и многие другие. Особенную активность проявлял некто Dark Avenger, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и сокрытия себя в системе. Там же, в Болгарии, появилась и первая BBS (VX BBS), ориентированная на обмен вирусами и информацией для вирусописателей. В этом же году были обнаружены и первые известные отечественные вирусы: "Peterburg", "Voronezh" и ростовский "LoveChild".

В июле 1990 г. произошел серьезный инцидент с английским компьютерным журналом PC Today. К каждому номеру журнала бесплатно прилагался флоппи-диск, как оказалось впоследствии, зараженный вирусом DiskKiller.

1991 год. Вслед за болгарской VX BBS и неуловимым Dark Avenger по всему миру появляются другие станции, ориентированные на обмен вирусами, и новые вирусописатели. В Италии появляется Cracker Jack (Italian Virus Research Laboratory BBS), в Германии - Gonorrhoea, в Швеции - Demoralized Youth, в США - Hellpit, в Англии - Dead On Arrival и Semaj.

1992 год. Все большую значимость начинают приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы MS-DOS на компьютере IBM-PC . Количество вирусов растет в геометрической прогрессии. Развиваются различные антивирусные программы, выходят десятки книг и несколько регулярных журналов, посвященных вирусам. Появляется первый полиморфик-генератор MtE. Его главное предназначение - возможность интеграции в другие вирусы для обеспечения их полиморфизма . Появляются первые вирусы класса анти-антивирус, способные обходить защиту и оставался незаметными. В июле 1992 года появились первые конструкторы вирусов - VCL и PS-MPC, позволявшие создавать вирусы различных типов и модификаций. В конце этого же года появился первый вирус для Windows - Win.Vir_1_4 (10), заражающий исполняемые файлы операционной системы .

1993 год. Вирус Satan Bug поражает сотни компьютеров в Вашингтоне. Страдают даже компьютеры Белого дома. ФБР арестовало автора - им оказался 12-летний подросток. Зафиксировано появление «бомб замедленного действия» - вирусов, которые проникают в компьютеры и активизируются лишь при наступлении определенной даты. Корпорация Microsoft выпустила свой собственный антивирус – Microsoft AntiVirus (MSAV), который включался в стандартную поставку операционных систем MS-DOS и Windows. Первые тесты, проведенные независимыми испытательными лабораториями, показали высокую надежность продукта. Однако, впоследствии его качество стало постепенно ухудшаться, и через некоторое время Microsoft решила закрыть этот проект.

1994 год. Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярным, этот тип носителей оказался одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии компакт-дисков.

1995 год. Широкое распространение получили вирусы ByWay и DieHard2 - сообщения о зараженных компьютерах были получены практически со всего мира. В феврале корпорация Microsoft выпустила бета-версию новой системы Windows 95 на дискетах, зараженных вирусом "Form". В августе в "живом виде" обнаружен первый вирус для Microsoft Word ("Concept"). Буквально за месяц вирус "облетел" весь земной шар, заполонил компьютеры пользователей текстового процессора. В 1995 г. дважды отличился английский филиал издательского дома Ziff-Davis. В сентябре принадлежащий ему журнал PC Magazine (английская редакция) распространил среди своих подписчиков дискету, содержащую загрузочный вирус Sampo. В середине декабря другой журнал из семейства Ziff-Davis, Computer Life, разослал читателям дискету с рождественскими поздравлениями. Помимо поздравления, диск также содержал загрузочный вирус Parity_Boot.

1996 год. В январе появился первый вирус для операционной системы Windows 95 - Boza, и произошла эпидемия крайне сложного полиморфного вируса Zhengxi, написанного российским программистом из Санкт-Петербурга Денисом Петровым. В марте произошла первая эпидемия вируса для Windows 3.x . - Win.Tentacle. Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во Франции. В июне появился "OS2.AEP" - первый вирус для OS/2 , корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом "компаньон".

1997 год. В феврале появляется первый вирус для операционной системы Linux - "Linux.Bliss". Одновременно в выходом очередной версии пакета офисных приложений Microsoft Office 97 отмечается постепенное "переползание" макро-вирусов на эту платформу. Март 1997 года ознаменовался появлением макро-вируса "ShareFun" для MS Word 6/7, открывшего новую страницу в истории компьютерной индустрии. Он стал первым вирусом, использовавшим для своего распространения возможности современной электронной почты, в частности, почтовую программу MS Mail. В апреле обнаружен вирус "Homer" - первый сетевой вирус-червь, использующий для своего распространения протокол передачи данных File Transfer Protocol (FTP). В июне появился первый самошифрующийся вирус для Windows 95 - "Win95.Mad". Вирус, имеющий российское происхождение, был разослан на несколько станций BBS в Москве, что стало причиной довольно крупной эпидемии. В декабре появляется принципиально новый тип компьютерных червей, использующих каналы IRC (Internet Relay Chat). Также в 1997 году антивирусное подразделения фирмы КАМИ, возглавляемого Евгением Касперским, отделилось в независимую компанию "Лаборатория Касперского ".

1998 год. В начале года зафиксирована эпидемия целого семейства вирусов Win32.HLLP.DeTroie, не только заражающих выполняемые файлы Windows, но и способных передавать своему "хозяину" информацию о зараженном компьютере. В феврале зафиксировано появление нового типа вируса для документов Excel - Excel4.Paix (или Formula.Paix). Данный тип макро-вируса для своего внедрения в таблицы Excel испольовал не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код. В этом же месяце, зарегистрированы Win95.HPS и Win95.Marburg - первые полиморфные Win32-вирусы.

В марте был обнаружен AccessiV - первый вирус для Microsoft Access . Примерно в то же время было зафиксировано появление Cross -первого многоплатформенного макро-вируса, заражающего документы одновременно двух приложений MS Office: Access и Word. Следом за ним появились еще несколько макро-вирусов, переносящих свой код из одного Office-приложения в другое. Наиболее заметным из них стал "Triplicate" (также известный под именем "Tristate"), способный заражать Word, Excel и PowerPoint .

В мае объявился вирус "RedTeam", который стал первым вирусом, заражающим EXE-файлы Windows, и распространяющимся по электронной почте при помощи программы Eudora. В июне началась эпидемия вируса Win95.CIH, ставшая сначала массовой, а затем глобальной. В зависимости от текущей даты вирус стирал Flash BIOS , что в некоторых случаях могло привести к необходимости замены материнской платы. Август ознаменовался появлением BackOrifice (Backdoor.BO) - утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за BackOrifice появились несколько других аналогичных программ: NetBus, Phase и прочие. Также в августе появился первый вирус, заражающий выполняемые модули Java - Java.StangeBrew. В декабре жертвой компьютерных вирусов ("Attach", "ShapeShift" и "ShapeMaster") становится еще одно приложение из состава MS Office. Им стала программа для создания презентаций - PowerPoint.

1999 год. В январе разразилась глобальная эпидемия интернет-червя Happy99 (также известного как Ska). Это был первый современный червь, использовавший для своего распространения программу MS Outlook . В марте вирус Melissa поразил десятки тысяч компьютеров. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал по первым 50 найденным адресам свои копии. Правоохранительные органы США исключительно быстро отреагировали на эпидемию "Melissa". Через некоторое время был обнаружен и арестован автор вируса, которым оказался 31-летний программист из Нью Джерси (США), некий Дэвид Л. Смит (David L. Smith). 9 декабря он был признан виновным и осужден на 10 лет тюремного заключения и штрафу в размере 400 000 долларов США.

В мае появился вирус "Gala" (также известный как GaLaDRieL), написанный на скрипт-языке Corel Corporation SCRIPT. "Gala" стал первым вирусом, способным заражать файлы как самого Corel CorporationDRAW! , так и Corel CorporationPHOTO-PAINT и Corel CorporationVENTURA . В самом начале лета грянула эпидемия весьма опасного Интернет-червя "ZippedFiles" (также известного как ExploreZip). Он представлял собой EXE-файл, который после внедрения в систему уничтожал файлы некоторых популярных приложений.

В августе был обнаружен вирус-червь "Toadie" ("Termite"), который, помимо заражения файлов DOS и Windows, также прикреплял свои копии к письмам, отсылаемым по электронной почте при помощи программы Pegasus и пытался распространяться по каналам IRC. В ноябре мир потрясло появление нового поколения червей-невидимок, распространявшихся по электронной почте без использования вложенных файлов и проникавших на компьютеры сразу же после прочтения зараженного письма. Первым из них стал Bubbleboy, вслед за которым последовал "KakWorm". Все вирусы этого типа использовали "дыру", обнаруженную в системе безопасности Internet Explorer . В том же месяце в США и Европе было зарегистрировано много случаев заражения Windows-вирусом FunLove.

В декабре был обнаружен "Babylonia" - первый вирус-червь, который имел функции удаленного самообновления: ежеминутно он пытался соединиться с сервером, находящемся в Японии и загрузить оттуда список вирусных модулей.

1980 – 1989 гг.

1981 год. Вирус Elk Cloner поражает компьютеры Apple . Вирус записывался в загрузочные сектора дискет, к которым шло обращение. Elk Cloner переворачивал изображение на экране, заставлял мигать текст, выводил разнообразные сообщения

1983 год. Лен Эйделман впервые употребляет термин "вирус" в применении к саморазмножающимся компьютерным программам. 10 ноября 1983 г. Фред Коэн, родоначальник современной компьютерной вирусологии, на семинаре по компьютерной безопасности в Лехайском университете (США) демонстрирует на системе VAX 11/750 вирусоподобную программу, способную внедряться в другие объекты. Годом позже, на 7-й конференции по безопасности информации, он дает научное определение термину "компьютерный вирус", как программе, способной "заражать" другие программы при помощи их модификации с целью внедрения своих копий.

1986 год. Впервые создан вирус для IBM PC - The Brain. Два брата-программиста из Пакистана написали программу, которая должна была "наказать" местных "пиратов", ворующих программное обеспечение у их фирмы. В программке значились имена, адрес и телефоны братьев. Однако неожиданно для всех The Brain вышел за границы Пакистана и заразил сотни компьютеров по всему миру. Успех вируса был обеспечен тем, что компьютерное сообщество было абсолютно не готово к подобному развитию событий. Интересно, что вирус Brain являлся также и первым вирусом-невидимкой. При обнаружении попытки чтения зараженного сектора диска вирус незаметно "подставлял" его незараженный оригинал. В том же году немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS-файлам формата COM. Опытный образец программы, получившей название Virdem и имевшей такую способность, был представлен Бюргером в декабре 1986 года, в Гамбурге, на форуме компьютерного "андерграунда" - Chaos Computer Club. В то время форум собирал хакеров, специализировавшихся на взломе VAX/VMS -систем.

1987 год. Появление вируса Vienna. Его происхождение и распространение практически по всему миру имело большой резонанс и вызвало горячие споры о настоящем авторе. В этом же году, один из претендентов на авторство - Ральф Бергер, написал первую книгу об искусстве создания и борьбы с вирусами. Книга называлась "Компьютерные вирусы. Болезнь высоких технологий" (Computer Viruses. The Decease of High Technologies) и стала "букварем" начинающих создателей вирусов. Кроме того, в 1987 году независимо друг от друга появляется еще несколько вирусов для IBM -совместимых компьютеров: знаменитый Лехайский вирус (Lehigh), названный в честь университета г. Бетлехэм, штат Пенсильвания, США; семейство вирусов Suriv; ряд загрузочных вирусов (Yale в США, Stoned в Новой Зеландии, Ping-pong в Италии) и первый в истории компьютеров самошифрующийся файловый вирус Cascade.

1988 год. Одно из наиболее знаменательных событий в области вирусов в 1988 года - глобальная эпидемия, вызванная вирусом Suriv-3, более известным как Jerusalem. Вирус был обнаружен одновременно в компьютерных сетях многих коммерческих фирм, государственных организаций и учебных заведений. По сути дела вирус обнаружился сам: в пятницу, 13-го, он уничтожал все запускаемые на зараженном компьютере файлы. В 1988 году этой черной датой стало 13 мая. Именно в этот день сообщения о тысячах инцидентах с участием Jerusalem поступили со всех концов планеты, в первую очередь из Америки, Европы и с Ближнего Востока. В этом же году, 23-летний американский программист создал червя, поразившего 6 тыс. компьютеров в сети ARPANET. И впервые суд приговорил автора этого вируса к штрафу в 10 тыс. долл. и 3 годам испытательного срока.

22 апреля 1988 года создан первый электронный форум по проблеме антивирусной безопасности. Ею стала конференция Virus-L в сети Usenet , которая была создана Кеном Ван Уайком (Ken van Wyk). Помимо этого, 1988 год ознаменовался появлением антивирусной программы - Dr. Solomon"s Anti-Virus Toolkit . Программа была создана английским программистом Аланом Соломоном (Alan Solomon), завоевала огромную популярность и просуществовала до 1998 года, когда компания была поглощена другим производителем антивирусов - американской Network Associates (NAI).

1989 год. ARPANET официально переименован в Интернет. Появляются новые вирусы - Datacrime, FuManchu (модификация вируса Jerusalem) и целые семейства - Vacsina и Yankee. Вирус Datacrime имел крайне опасное проявление - с 13 октября по 31 декабря он инициировал низкоуровневое форматирование нулевого цилиндра жесткого диска , что приводило к уничтожению таблицы размещения файлов (FAT) и безвозвратной потере данных.

4 октября 1989 года появился в продаже антивирус IBM Virscan для MS-DOS. 16 октября 1989 г. на компьютерах VAX/VMS в сети SPAN была зафиксирована эпидемия вируса-червя WANK Worm. Для распространения червь использовал протокол DECNet и менял системные сообщения на сообщение "WORMS AGAINST NUCLEAR KILLERS", сопровождаемое текстом "Your System Has Been Officially WANKed". WANK также менял системный пароль пользователя на набор случайных знаков и пересылал его на имя GEMPAK в сети SPAN.

В декабре этого же года появился первый «троянский конь» - AIDS, который делал недоступной всю информацию на жестком диске компьютера и высвечивал на экране лишь одну надпись: «Пришлите чек на 189 долл. на такой-то адрес». Автор программы был осужден за вымогательство.

До 1980-х годов

1949 год. Американский ученый венгерского происхождения Джон фон Науманн (John von Naumann) разработал математическую теорию создания самовоспроизводящихся программ. Это была первая теория создания компьютерных вирусов, вызвавшая весьма ограниченный интерес у научного сообщества.

В начале 60-х инженеры из американской компании Bell Telephone Laboratories - В.А. Высотский, Г.Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предполагала присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, создававшихся игроками. Программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в удалении всех копий программы противника и захвате поля битвы.

Конец 60-х – начало 70-х годов. Появление первых вирусов. В ряде случаев это были ошибки в программах, приводивших к тому, что программы копировали сами себя, засоряя жесткий диск компьютеров, что снижало их продуктивность, однако считается, что в большинстве случаев вирусы сознательно создавались для разрушения. Вероятно, первой жертвой настоящего вируса, написанного программистом для развлечения, стал компьютер Univax 1108. Вирус назывался Pervading Animal и заразил только один компьютер - на котором и был создан.

1974 год. Создана сеть Telenet - коммерческая версия ARPANET . На компьютерах этого времени появляется программа, получившая название "кролик" (Rabbit). Это имя она получила потому, что кроме размножения и распространения по носителям информации она ничего не делала. Программа клонировала себя, занимала системные ресурсы и таким образом снижала производительность системы. Достигнув определенного уровня распространения на зараженной машине "кролик" нередко вызывал сбой в ее работе.

1975 год. Через Telenet распространяется первый в истории сетевой вирус The Creeper. Написанная для некогда популярной операционной системы Tenex , эта программа была в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. На зараженных системах вирус обнаруживал себя сообщением: "I"M THE CREEPER: CATCH ME IF YOU CAN". Для противодействия вирусу впервые в истории написана особая антивирусная программа The Reeper.

1979 год. Инженеры из исследовательского центра компании Xerox создали первого компьютерного червя.

Достаточно часто начинающие и средние пользователи совершают одну ошибку, они называют любое вредоносное программное обеспечение вирусом или трояном, в то время как корректно называть их именно вредоносным программным обеспечением. Разница между этими понятиями существенна.

Существует множество различных видов вредоносным программ и, соответственно, методов защиты и борьбы с ними. Поэтому, если вы используете некорректную терминологию, то велика вероятность того, что прежде, чем вы избавитесь от вредоносных программ, будет перепробовано немало ненужных решений. К примеру, руткиты серьезно отличаются от обычных вирусов и, часто, для очистки компьютера от них будет недостаточно использовать только антивирусы.

В данной статье будут даны краткие пояснения к некоторым наиболее известным типам вредоносных программ, а так же приведены некоторые ссылки на средства борьбы с ними.

Различные виды вредоносного программного обеспечения

Вредоносное программное обеспечение (Malware)

Malware это сокращенное название вредоносного программного обеспечения. Этот термин используется в тех случаях, когда необходимо объединить группу различных вредоносных программ. Поэтому, если вы встретили такой термин, то знайте, что речь идет о нескольких типах вредоносных программ. К примеру, в случае антивируса, часто, этот термин подразумевает наличие средств для борьбы с вирусами, червями, троянами и прочими вредоносными программами.

Вирус (Virus)

Первоначально термин "вирус" (Virus) был использован для названия самовоспроизводящихся программ, которые распространяются путем вставки своей копии в существующие программы или документы. Иногда, вирусы распространяются путем простого создания файлов со своей копией, но этот способ самовоспроизведения достаточно быстро перестал использоваться, так как такие вирусы очень легко обнаружить. Сам термин произошел от аналогичного понятия в биологии. Вирусы поражают клетки и заставляют создавать их копии. Компьютерные вирусы были одними из первых вредоносных программ. Сегодня же, встретить вирусы можно достаточно редко, так как, по большей части, они были вытеснены другими видами вредоносных программ, такими как черви и трояны. Несмотря на то, что термин вирус определяет строго один тип программ, его так же часто используют для обозначения любого рода вредоносных программ, хоть это и некорректно.

Программы для борьбы с вирусами, вы можете в обзоре бесплатных антивирусов .

Червь (Worm или NetWorm)

Технически, между вирусами и червями существует разница, но достаточно часто термин червь заменяется термином вирус. В первую очередь, червь отличается от вируса тем, что он содержит не только весь необходимый код для своего распространения, но представляет собой своего рода транспорт для других вредоносных программ. Например, червь может включать в себя троянскую программу и активировать ее, после заражения компьютера. Во-вторых, для распространения черви используют сеть (локальную, интернет). Другими словами, в отличии от вирусов, у червей единицей заражения являются не файлы и документы, а компьютеры (иногда, сетевые устройства). Некоторые из самых известных эпидемий были вызваны именно благодаря червям.

Чаще всего, для борьбы с червями применяются антивирусные решения совместно с межсетевыми экранами (файрволами, брендмаурами).

Троян или троянский конь (Trojan)

Термин "Троянский конь" (часто сокращают до простого "троян") применяется к вредоносным программам, которые выдают себя за хорошие приложения, в то время как в реальности таковыми не являются. Этот тип вредоносного программного обеспечения получил свое название от хитрости, которые применили греки против троянцев в Илиаде Гомера. Основная опасность программы заключается в том, что она может не только выдавать себя за полезную программу, но и в реальности предоставлять полезные функции, в качестве прикрытия для деструктивных действий. Например, путем добавления своего кода в хорошие приложение. Другая опасность заключается в том, что троян может скрывать от системы выполнение каких-либо вредоносных действий. С технической точки зрения, трояны сами по себе не занимаются своих распространением. Тем не менее, их часто сочетают с сетевыми червями для распространения инфекции или же добавляют в хорошие программы, после чего выкладывают в публичную сеть для скачивания.

В связи с тем, что в отличии от вирусов и прочих, троянские программы могут содержать код для скрытия своих действий, то для борьбы с ними применяются не только антивирусы, но и сканеры троянских программ .

Клавиатурный шпион (Key logger)

Особый вид трояна, который записывает все нажатия кнопок клавиатуры и/или действия мышки на вашем компьютере. В последствии, вся собранная информация либо сохраняется в месте, откуда злоумышленник легко сможет забрать ее, либо передается через сеть или интернет. Обычно, клавиатурный шпион применяется для кражи паролей. В некоторых случаях, так же для кражи личной информации.

Для борьбы с клавиатурными шпионами применяются не только антивирусы и сканеры троянов, но и безопасные экранные клавиатуры , а так же программы для удаления рекламного и шпионского ПО .

Рекламные закладки (Adware)

Рекламные закладки или Adware это достаточно серый тип программ. Он может быть как хорошим, с точки зрения безопасности, так и вредоносным. Примером хорошего варианта является установка бесплатных программ, которые так же устанавливают необходимый код для последующего просмотра рекламы. В некотором роде, используется бартер. Вы бесплатно получаете функциональность, но за это вы просматриваете рекламу, от которой разработчик программы получает доход. Однако, среди Adware существует и немало вредоносных программ, которые без вашего ведома отправляют вашу личную информацию рекламодателям или же встраивают рекламные блоки в другие программы, например, в браузеры.

Шпионские программы (Spyware)

Шпионские программы это несколько туманный термин. Первоначально, он в основном относился к рекламным закладкам (Adware). Тем не менее, сегодня, многие представители программ-шпионов мало отличаются от троянских программ. Их основное предназначение следует из их названия - шпионить за вашими действиями, собирать данные и предоставлять их кому-либо, без вашего ведома.

Для борьбы со шпионскими программами применяются антивирусы, сканеры троянских программ и программы для удаления рекламного и шпионского ПО. В некоторых случаях, их так же можно обнаружить, при помощи межсетевых экранов (файрволов). Например, при наличии странной сетевой активности.

Руткиты (Rootkit)

Руткит (Rootkit) это скрытый тип вредоносного программного обеспечения, который выполняется на уровне ядра операционной системы. Основной опасностью руткитов является то, что, внедряясь на уровень ядра системы, руткиты могут выполнять любые действия и с легкостью обходить любые системы защиты, ведь для своего скрытия им достаточно отказать в доступе средствам безопасности. Кроме того, руткиты позволяют скрывать действия других вредоносных программ. Обычно, их применяют для удаленного контроля компьютера.

Из-за того, что руткиты выполняются на привилегированном уровне, их достаточно трудно обнаружить и уничтожить. В большинстве случаев, обычные антивирусы никак не смогут вылечить зараженный компьютер, поэтому необходимо применять специальные программы для удаления руткитов . Так же, если у вас есть подозрения о заражении руткитом, то проверку системы лучше всего выполнять при помощи LiveCD или дисков для восстановления системы, так как в таком случае руткиту сложнее будет скрыть свое присутствие.

Зобми компьютер (Zombie)

Программы для создания из вашего компьютера зомби предназначены для внедрения на компьютер кода, который, подобно, логической бомбе, будет активироваться при определенных условиях (обычно, речь идет об удаленном доступе - отсылке команд). При заражении компьютера, чаще всего применяются троянские программы. В последствии, зомбированный компьютер используется для рассылки спама, проведения DDoS атак (распределенная атака в обслуживании), накрутки счетчиков и прочих вредоносных действий, без ведома владельца.

Как уже говорилось, достаточно часто программы для зомбирования компьютера появляются вместе с троянскими программами, поэтому для лечения их стоит применять антивирусы и сканеры троянов. В более редких случаях, программы зомби заражаются с помощью руткитов (или же являются частью самих руткитов), поэтому если вы обнаружили странную сетевую активность, то так же не лишним будет проверить систему на наличие руткитов.

Ботнет (Botnet)

Часто, зомби компьютеры организуются в сеть, называемую ботнет (botnet). В такой сети часть компьютеров представляет собой ретрансляторы для передачи команды от удаленного компьютера злоумышленника на все зомбированные узлы. Это позволяет злоумышленникам легко управлять ботнет сетями, измеряемыми в десятках и сотнях тысяч. Как правило, такие сети используют для проведения согласованных вредоносных действий в интернете, без ведома владельцев зараженных компьютеров.

Борьба с ботнет сетями достаточно часто заключается в поиске ретрансляторов и их обезвреживании (блокирование доступа в интернет провайдерами, фильтрация на сетевых устройствах и прочие).

Загрузка вредоносных программ простым посещением (Drive-by-Download)

Этот тип вредоносных программ использует уязвимости браузеров и формирует html-код страницы таким образом, что просто посетив их, запустится автоматическая загрузка другого вредоносного программного обеспечения на компьютер. Часто, такая загрузка происходит вообще без ведома пользователя. Заражение такими программами возможно в тех случаях, когда в браузерах по умолчанию разрешена установка различных компонентов и расширений для веб-сайтов. Например, если в IE разрешена установка ActiveX элементов без запроса, то одного захода на сайт или даже простого открытия html-страницы будет достаточно для заражения компьютера.

Для борьбы с такими вирусами применяются антивирусы, позволяющие сканировать загружаемые файлы в реальном времени (в том числе html-код веб-страниц), межсетевые экраны (файрволы), а так же различные программы для установки безопасных настроек браузеров, некоторые из которых можно найти в обзоре утилит для тюнинга компьютера .

Пугающие или вымогающие (Scareware и Ransomware)

Пугающие или вымогающие вредоносные программы, в основном, полагаются на психологическое воздействие (страх, угрозы и прочее) и требуют перевести средства или нажать на ссылку, перейдя по которой начнется установка трояна или другой вредоносной программы. Технически, не редко такие программы используют только разрешенные и безопасные функции системы, из-за чего средства безопасности просто не обращают на них внимания. А если и используют сомнительные функции, то на очень примитивном уровне.

В большинстве случаев, для их устранения хватает и простого антивируса. Если же такая программа использует только безопасные функции, то, к сожалению, достаточно часто вам придется вручную заниматься их удалением .

Скрытые индикаторы

Скрытые индикаторы применяются для сбора информации о вас или вашем компьютере. В отличии от программ-шпионов, чаще всего они используют разрешенные методы. Например, вставка на страницу или в электронное письмо прозрачной картинки размером 1 на 1 пиксель. Смысл в данном случае заключается в том, что при загрузке данной картинки с внешнего сервера, на нем записывается не только время и дата запроса, но и так же вся информация, которую он только сможет получить, такую как ваш IP-адрес и версия браузера. С одной стороны, такой тип сложно назвать вредоносным. С другой стороны, без вашего ведома на стороннем сервере собираются ваши данных, пусть и часто публичные.

Так как, в основном, скрытые индикаторы используют только разрешенные методы и в большинстве своем собирают только общедоступные данные, то с большой вероятностью, их не обнаружит ни одно средство безопасности. Тем не менее, знание о таком типе позволит вам задуматься, при обнаружении странных элементов.

Заключительные слова о вредоносных программах

Как видите, в зависимости от типа вредоносных программ, может меняться не только список средств безопасности, но и сами подходы к борьбе с ними. Поэтому, старайтесь использовать корректную терминологию - это позволит вам и другим людям сэкономить время и силы.

Примечание : Возможно, теперь вам стало чуть лучше понятно, почему технические специалисты при слове "вирус" начинают задавать множество "странных" вопросов.

ПОНЯТИЕ И ВИДЫ ВРЕДОНОСНЫХ ПРОГРАММ

Первые сообщения о несущих вред программах, преднамеренно и скрытно внедряемых в программное обеспечение различных вычислительных систем, появились в начале 80-х гг. Название «компьютерные вирусы» произошло по причине сходства с биологическим прототипом, с точки зрения возможности самостоятельного размножения. В новую компьютерную область были перенесены и некоторые другие медико-биологические термины, например такие, как мутация, штамм, вакцина и пр. Сообщение о программах, которые при наступлении определенных условий начинают производить вредные действия, например, после определенного числа запусков разрушают хранящуюся в системе информацию, но при этом не обладают характерной для вирусов способностью к самовоспроизведению, появились значительно раньше

1.Люк. Условием, способствующим реализации многих видов угроз безопасности информации в информационных технологиях, является наличие «люков». Люк вставляется в программу обычно на этапе отладки для облегчения работы: данный модуль можно вызывать в разных местах, что позволяет отлаживать отдельные части программы независимо. Наличие люка позволяет вызывать программу нестандартным образом, что может отразиться на состоянии системы зашиты. Люки могут остаться в программе по разным причинам. Обнаружение люков - результат случайного и трудоемкого поиска. Защита от люков одна - не допускать их появления в программе, а при приемке программных продуктов, разработанных другими производителями, следует проводить анализ исходных текстов программ с целью обнаружения люков.

2. Логические бомбы используются для искажения или уничтожения информации, реже с их помощью совершаются кража или мошенничество. Логическую бомбу иногда вставляют во время разработки программы, а срабатывает она при выполнении некоторого условия (время, дата, кодовое слово). Манипуляциями с логическими бомбами занимаются также чем-то недовольные служащие, собирающиеся покинуть организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями и т. п. Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу расчета заработной платы определенные изменения, которые начинают действовать, когда его фамилия исчезнет из набора данных о персонале фирмы.

3. Троянский конь - программа, выполняющая в дополнение к основным, т. е. запроектированным и документированным действиям, действия дополнительные, неописанные в документации. Аналогия с древнегреческим троянским конем оправданна - и в том, и в другом случае в не вызывающей подозрения оболочке таится угроза. Троянский конь представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем передается (дарится, продается) пользователям ИТ. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне и т. д.). Троянский конь действует обычно в рамках полномочий одного пользователя, но в интересах другого пользователя или вообще постороннего человека, личность которого установить порой невозможно. Наиболее опасные действия троянский конь может выполнять, если запустивший его пользователь обладает расширенным набором привилегий. В таком случае злоумышленник, составивший и внедривший троянского коня н сам этими привилегиями не обладающий, может выполнять несанкционированные привилегированные функции чужими руками. Радикальным способом защиты от этой угрозы является создание замкнутой среды использования программ.

4. Червь - программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе.

Червь использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Подходящей средой распространения червя является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют. Наилучший способ защиты от червя - принятие мер предосторожности против несанкционированного доступа к сети

5. Захватчик паролей - это программы, специально предназначенные для воровства паролей. При попытке обращения пользователя к рабочей станции на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля возможен и другими способами. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе ввода, а не какой-нибудь другой. Кроме того, необходимо неукоснительно придерживаться правил использования паролей и работы с системой. Большинство нарушений происходит не из-за хитроумных атак, а из-за элементарной небрежности. Соблюдение специально разработанных правил использования паролей - необходимое условие надежной зашиты.

7. Компьютерным вирусом принято называть специально написанную, обычно небольшую по размерам программу, способную самопроизвольно присоединяться к другим программам (т. е. заражать их), создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в файлы, системные области персонального компьютера и в другие объединенные с ним компьютеры с целью нарушения нормальной работы программ, порчи файлов и каталогов, создания различных помех при работе на компьютере.

ВИДЫ КОМПЬЮТЕРНЫХ ВИРУСОВ, ИХ КЛАССИФИКАЦИЯ

Способ функционирования большинства вирусов - это такое изменение системных файлов ПК, чтобы вирус начинал свою деятельность при каждой загрузке персонального компьютера. Некоторые вирусы инфицируют файлы загрузки системы, другие специализируются на различных программных файлах. Всякий раз, когда пользователь копирует файлы на машинный носитель информации или посылает инфицированные файлы по сети, переданная копия вируса пытается установить себя на новый диск. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователь часто не замечает, что его ПК заражен и не успевает принять соответствующих адекватных мер. Для анализа действия компьютерных вирусов введено понятие жизненного цикла вируса, который включает четыре основных этапа:

1. Внедрение

2. Инкубационный период (прежде всего для скрытия источника проникновения)

3. Репродуцирование (саморазмножение)

4. Деструкция (искажение и/или уничтожение информации)

Объекты воздействия компьютерных вирусов можно условно разделить на две группы:

1. С целью продления своего существования вирусы поражают другие программы, причем не все, а те, которые наиболее часто используются и/или имеют высокий приоритет в информационной

2. Деструктивными целями вирусы воздействуют чаще всего на данные, реже - на программы.

К способам проявления компьютерных вирусов можно отнести:

Замедление работы персонального компьютера, в том числе его зависание и прекращение работы;

Изменение данных в соответствующих файлах;

Невозможность загрузки операционной системы;

Прекращение работы или неправильная работа ранее успешно функционирующей программы пользователя;

Увеличение количества файлов на диске;

Изменение размеров файлов;

Нарушение работоспособности операционной системы, что требует ее периодической перезагрузки;

Периодическое появление на экране монитора неуместных сообщений;

Появление звуковых эффектов;

Уменьшение объема свободной оперативной памяти;

Заметное возрастание времени доступа к винчестеру;

Изменение даты и времени создания файлов;

Разрушение файловой структуры (исчезновение файлов, искажение каталогов);

Загорание сигнальной лампочки дисковода, когда к нему нет обращения пользователя;

Форматирование диска без команды пользователя и т. д.

Вирусы можно классифицировать по признакам:

1. По виду среды обитания вирусы классифицируются на следующие виды:

· загрузочные внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;

· файловые внедряются в основном в исполняемые файлы с расширениями .СОМ и .ЕХЕ ;

· системные проникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов;

· сетевые вирусы обитают в компьютерных сетях;

· файлово-загрузочные поражают загрузочные секторы дисков и файлы прикладных программ.

2. По степени воздействия на ресурсы компьютерных систем и сетей выделяются:

безвредные вирусы, не оказывающие разрушительного влияния на работу персонального компьютера, но могут переполнять оперативную память в результате своего размножения;

неопасные вирусыне разрушают файлы, но уменьшают свободную дисковую память, выводят на экран графические эффекты, создают звуковые эффекты и т. д.;

опасные вирусынередко приводят к различным серьезным нарушениям в работе персонального компьютера и всей информационной технологии;

разрушительные приводят к стиранию информации, полному или частичному нарушению работы прикладных программ..и пр.

3. По способу заражения среды обитания вирусы подразделяются на следующие группы:

резидентные вирусы при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия вплоть до выключения или перезагрузки компьютера. Резидентная программа -это программа, постоянно находящаяся в оперативной памяти персонального ком­пьютера.

нерезидентные вирусы не заражают оперативную память персонального компьютера и являются активными ограниченное время.

4. Алгоритмическая особенность построения вирусов оказывает влияние на их проявление и функционирование. Выделяют следующие виды таких вирусов:

§ репликаторные, благодаря своему быстрому воспроизводству приводят к переполнению основной памяти, при этом уничтожение программ-репликаторов усложняется, если воспроизводимые программы не являются точными копиями оригинала;

§ мутирующие со временем видоизменяются и самопроизводятся. При этом, самовоспризводясь, воссоздают копии, которые явно отличаются от оригинала;

§ стэлс-вирусы (невидимые) перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо себя незараженные объекты. Такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы;

§ макровирусы используют возможности макроязыков, встроенных в офисные программы обработки данных (текстовые редакторы, элек­тронные таблицы и т.д.).

Двумя большими угрозами для сетевых клиентов являются вредоносные программы и фишинг. «Вредоносные программы» – это общее название программ, разработанных для изменения или повреждения данных, программного обеспечения, деталей компьютера. Существуют несколько типов вредоносных программ: вирусы, черви и Трояны.

Однако, так как вредоносные программы развивались от демонстрации искусства отдельными индивидуумами-программистами до изощренных технологий, разрабатываемых организованными преступными группами, границы между разными категориями начинают размываться.

Вирусы

Лучше всего известные типы вредоносных программ, это вирусы. И хотя многие вредоносные программы называют вирусами, они не имеют ничего общего с ними.

Вирус – это программа, которая была написана, чтобы вставлять копии себя в приложения и данные, а также в критически важные части жесткого диска компьютера. Вирусами называют самовоспроизводящиеся программы и датируют их появление началом 70-х годов. Но широко известны они стали только после развития микрокомпьютеров и Интернета.

Вирусы внедряют себя в специфические приложения на компьютере и запускаются при первом запуске программы. На этом этапе вирус может создать свою копию на жестком диске и продолжает работать или может работать каждый раз во время запуска приложения. Первые вирусы хранились на дискетах, быстро распространялись и инфицировали дискеты с данными, которые использовались в офисах многими людьми, или с помощью пиратских программ, которые передавались через игры. В наши дни, вирусы хранятся на других устройствах, таких как флеш-карты или распространяются через Интернет-соединения.

Хотя некоторые вирусы не созданы для причинения ущерба, большинство таких программ разработаны чтобы вредить пользователям, повреждая их данные, атакуя операционную систему или обеспечивая используемые «лазейки», предоставляя взломщикам доступ к компьютеру. Даже если ущерб не предусматривается, вирусы используют память, пространство на диске и понижают производительность компьютера.

Черви

Другим типом самовоспроизводящихся вредоносных программ являются черви; также как и вирусы они разработаны чтобы создавать свои копии; но в отличии от вирусов, черви являются автономными приложениями.

Черви распространяются через сетевые соединения, попадая на неинфицированные компьютеры, а затем используют их ресурсы чтобы передавать еще больше копий через сети.

Существуют четыре этапа атаки червей:

1. Первый этап это когда червь проверяет другие компьютеры в поисках уязвимостей, которые можно использовать для внедрения своих копий.
2. Следующим этапом является проникновение в уязвимый компьютер, посредством выполнения операций для использования уязвимостей. Например, червь может обнаружить открытое сетевое соединение, через которое он может получить удаленный доступ к машине для выполнения своих инструкций.
3. На третьем этапе червь загружает себя в удаленный компьютер и хранится там. Это часто называется этап «сохранения».
4. На следующем этапе червь будет саморазмножаться, выбирая новые компьютеры для пробных попыток.

Черви были изобретены благодаря любопытству и предлагались как способы тестирования сетей или распространения патчей для программ по сети; однако их недостатки намного превышают их преимущества. Даже самый «милый» червь использует ресурсы и может влиять на производительность компьютерной системы.

Трояны

Последний главный тип вредоносных программ это Троян (или Троянский конь); назван в честь деревянного коня, который предположительно был тайно провезен с солдатами Греции в древний город Трою.

Троян маскируется под полностью легитимную программу (как например экранная заставка), но при этом тайно наносит вред – позволяя кому-то получать контроль над компьютером, копируя личную информацию, удаляя информацию, отслеживая набранный на клавиатуре текст, или используя программы для отправки почты чтобы передаваться на другие компьютеры. В отличие от вирусов и червей, Трояны не являются самовоспроизводящимися программами, для распространения между компьютерами они полагаются на свою кажущуюся полезность.

Некоторые Трояны работают изолированно. Однако, иногда они используют сети, для передачи похищенной информации – такой как пароли, информации о банковских счетах или номера кредитных карт, или же действуют как лазейки для поврежденных компьютеров. Они позволяют взломщикам обходить функции безопасности операционных систем и получать доступ к данным или даже контролировать компьютер посредством сети.

Как вредоносные программы попадают на ваш компьютер?

Вредоносные программы могут попасть в компьютер через механизмы разных типов, большинство из которых использует комбинации человеческого и технического фактора.

Например, создатель вредоносной программы может побудить вас загрузить свою вредоносную программу, вставив в письмо ссылку, или прикрепляя программу к письму. Кроме этого, вредоносная программа может быть запакована вместе с нелегальной копией стандартной программы, и таким образом попасть на компьютеры пользователей, которые выберут использовать эти нелегальные копии, вместо того чтобы платить за оригинальные версии.

• По материалам The Open University.
• . Использовать только с разрешения!

Вредоносная программа -- любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам самой ЭВМ или к информации, хранимой на ЭВМ, с целью несанкционированного использования ресурсов ЭВМ или причинения вреда владельцу информации (или владельцу ЭВМ) путем копирования, искажения, удаления или подмены информации.

Вредоносные программные обеспечение делятся на три основных класса: компьютерные вирусы, сетевые черви, троянские программы. Рассмотрим каждый из них более подробно

Компьютерные вирусы

Этот класс вредоносных программ является самым распространенным среди остальных.

Компьютерный вирус - разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена заражённая программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом.

Обычно в проникновении вируса на персональный компьютер пользователя виноват сам пользователь, который не проверяет антивирусной программой информацию, попадающую на компьютер, в результате чего, собственно, и происходит заражение. Способов «заразить» компьютер классическим вирусом довольно много (внешние носители информации, интернет ресурсы, файлы, распространяющиеся по сети)

Вирусы делятся на группы по двум основным признакам: по среде обитания, по способу заражения.

По среде обитания вирусы делятся на:

• · Файловые (внедряются в выполняемые файлы)
• · Загрузочные (внедряются в загрузочный сектор диска или в сектор, содержащий системный загрузчик винчестера)
• · Сетевые (распространяются по компьютерной сети)
• · Комбинированные (например, файлово-загрузочные вирусы, которые заражают как файлы, так и загрузочный сектор диска. Данные вирусы имеют оригинальный способ проникновения и непростой алгоритм работы)

По способу заражения делятся на:

Сетевые черви

Следующий большой класс вредоносных программ называется «Сетевые черви»

Сетевой червь -- это вредоносный программный код, распространяющий свои копии по локальным или/и глобальным сетям с целью проникновения на компьютер, запуска своей копии на этом компьютере и дальнейшего распространения. Для распространения черви используют электронную почту, irc-сети, lan, сети обмена данными между мобильными устройствами и др. Большинство червей распространяются в файлах (вложение в письмо, ссылка на файл). Но существуют и черви, которые распространяются в виде сетевых пакетов. Такие разновидности проникают непосредственно в память компьютера и сразу начинают действовать резидентно. Для проникновения на компьютер-жертву используются несколько путей: самостоятельный (пакетные черви), пользовательский (социальный инжиниринг), а также различные недостатки в системах безопасности операционной системы и приложений. Некоторые черви обладают свойствами других типов вредоносного программного обеспечения (чаще всего это троянские программы).

Классы сетевых червей:

Почтовые черви (Email-Worm) . Это вредоносная система, которая находится в файле, присоединенном к электронному письму. Авторы почтового червя любым способом побуждают запустить на выполнение присоединенный файл с вирусом. Его маскируют под новую игру, обновление, или популярную программу. Активируя деятельность на Вашем компьютере, почтовый червь для начала рассылает собственную копию по e-mail, воспользовавшись Вашей, адресной книгой, а затем наносит вред вашему компьютеру.

• · Черви, использующие интернет-пейджеры (IM-Worm) . Действие данного «червя» практически полностью повторяет способ рассылки, использующийся почтовыми червями, только в качестве носителя выступает не электронное письмо, а сообщение, реализуемое в программах для мгновенного обмена сообщениями
• · Черви для файлообменных сетей (P2P-Worm) . Для внедрения в P2P-сеть «червю» достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по его распространению P2P-сеть берет на себя -- при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит сервис для его скачивания с зараженного компьютера.

Существуют более сложные черви этого типа, которые имитируют сетевой протокол конкретной файлообменной системы и положительно отвечают на поисковые запросы. При этом червь предлагает для скачивания свою копию.

Используя первый способ, «червь» ищет в сети машины с ресурсами, открытыми на запись, и копирует. При этом он может случайным образом находить компьютеры и пытаться открыть доступ к ресурсам. Для проникновения вторым способом «червь» ищет компьютеры с установленным программным обеспечением, в котором имеются критические уязвимости. Таким образом, червь отсылает специально сформированный пакет (запрос), и часть «червя» проникает на компьютер, после чего загружает полный файл-тело и запускает на исполнение.

Троянские программы

Трояны или программы класса «троянский конь» написаны с целью - нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий: кража данных, порча или удаление конфиденциальных данных, нарушения работоспособности ПК или использования его ресурсов в неблаговидных целях.

Некоторые троянские программы способны к самостоятельному преодолению систем защиты вычислительной системы с целью проникновения в нее. Однако в большинстве случаев они проникают на ПК вместе с другим вирусом. Троянские программы можно рассматривать как дополнительную вредоносную программу. Нередко пользователи сами загружают троянские программы из сети Интернет.

Цикл деятельности троянов можно определить следующими стадиями:

• - проникновение в систему.
• - активация.
• - выполнение вредоносных действий.

Троянские программы различаются между собой по тем действиям, которые они производят на зараженном ПК.

• · Trojan-PSW . Назначение - Воровство паролей. Данный вид троянов может быть использован для поиска системных файлов, хранящих различную конфиденциальную информацию (например, пароли), «воруют» регистрационную информацию к различному ПО.
• · Trojan-Downloader . Назначение - Доставка прочих вредоносных программ. Активирует загруженные из Интернет программы (запуск на выполнение, регистрация на автозагрузку)
• · Trojan-Dropper . Инсталляция на диск других вредоносных файлов, их запуск и выполнение
• · Trojan-proxy . Осуществляют анонимный доступ с ПК «жертвы» к различным Интернет-ресурсам. Используются для рассылки спама.
• · Trojan-Spy . Являются шпионскими программами. Осуществляют электронный шпионаж за пользователем зараженного ПК: вводимая информация, снимки экрана, список активных приложений, действия пользователей сохраняются в файле и периодически отправляются злоумышленнику.
• · Trojan (Прочие троянские программы). Осуществляют прочие действия, попадающие под определение троянских программ, например, разрушение или модификацию данных, нарушение работоспособности ПК.
• · Backdoor. Являются утилитами удаленного администрирования. Могут быть использованы для обнаружения и передачи злоумышленнику конфиденциальной информации, уничтожения данных и т.д.
• · ArcBomb («Бомбы» в архивах). Вызывают нештатное поведение архиваторов при попытке распаковать данные
• · RootKit. Назначение - Скрытие присутствия в операционной системе. С помощью программного кода происходит сокрытие присутствия в системе некоторых объектов: процессов, файлов, данных реестра и т.д.

Из перечисленных наиболее широко распространены шпионские программы - Trojan-Spy и RootKit (руткиты). Рассмотрим их более подробно.

Руткиты. В системе Windows под RootKit принято считать программу, которая несанкционированно внедряется в систему, перехватывает вызовы системных функций (API), производит модификацию системных библиотек. Перехват низкоуровневых API позволяет такой программе маскировать свое присутствие в системе, защищая ее от обнаружения пользователем и антивирусным ПО.

Условно все руткит-технологии можно разделить на две категории:

• · Руткиты работающие в режиме пользователя (user-mode)
• · Руткиты работающие в режиме ядра (kernel-mode)

Иногда руткиты приходят в почтовых вложениях, маскируясь под документы разных форматов (например, PDF). На самом деле, такой «мнимый документ» является исполняемым файлом. Пытаясь открыть, пользователь активирует руткит.

Второй путь распространения - подвергшиеся хакерской манипуляции сайты. Пользователь открывает веб-страницу - и руткит попадает в его компьютер. Это становится возможным из-за недостатков в системе безопасности браузеров. программа компьютерный файловый

Руткиты могут «подкидывать» не только злоумышленники. Небезызвестен случай, когда корпорация Sony встраивала подобие руткита в свои лицензионные аудиодиски. Руткитами по сути является большинство программных средств защиты от копирования (и средств обхода этих защит -- например, эмуляторы CD- и DVD-приводов). От «нелегальных» они отличаются только тем, что ставятся не тайно от пользователя.

Шпионские программы. Такие программы могут осуществлять широкий круг задач, например:

• · Собирать информацию о привычках пользования Интернетом и наиболее часто посещаемые сайты (программа отслеживания);
• · Запоминать нажатия клавиш на клавиатуре (кейлоггеры) и записывать скриншоты экрана (screen scraper) и в дальнейшем отправлять информацию создателю;
• · Использоваться для несанкционированного анализа состояния систем безопасности - сканеры портов и уязвимостей и взломщики паролей;
• · Изменять параметры операционной системы - руткиты, перехватчики управления и пр. - результатом чего является снижение скорости соединения с Интернетом или потеря соединения как такового, открывание других домашних страниц или удаление тех или иных программ;
• · Перенаправлять активность браузеров, что влечёт за собой посещение веб-сайтов вслепую с риском заражения вирусами.

Программы удалённого контроля и управления могут применяться для удалённой технической поддержки или доступа к собственным ресурсам, которые расположены на удалённом компьютере.

Технологии пассивного отслеживания могут быть полезны для персонализации веб-страниц, которые посещает пользователь.

Данные программы сами по себе вирусами не являются, но по тем или иным причинам они занесены в антивирусные базы. Как правило, это небольшие программы, имеющие малую зону влияния и как вирусы малоэффективны.

• · Adware - общее название для программного обеспечения, принудительно показывающего рекламу.
• · Bad-Joke - злые шутки. Программы, пугающие пользователя неожиданным и нестандартным открытием или использующие графику. Также это могут быть программы, выдающие ложные сообщения о форматировании диска или остановке работы программы и т.д.
• · Sniffer - программа, предназначенная для перехвата и последующего анализа сетевого трафика.
• · SpamTool - программа, предназначенная для рассылки спама (как правило, программа превращает компьютер в рассылочную спам-машину).
• · IM-Flooder - программа, позволяющая отсылать на заданный номер IM-мессенджера различные сообщения в большом количестве.
• · VirTool - утилиты, предназначенные для облегчения написания компьютерных вирусов и для их изучения в хакерских целях.
• · DoS (Denial of service) - вредоносная программа, предназначенная для проведения атаки типа «Отказ в обслуживании» на удаленный сервер.
• · FileCryptor, PolyCryptor - хакерские утилиты, использующиеся для шифрования других вредоносных программ с целью скрытия их содержимого от антивирусной проверки.