Защита от вредоносного по
Вредоносное ПО - это программное обеспечение специально созданное для выполнения непредусмотренных пользователем действий в информационной системе или информационной телекоммуникационной сети в результате которых возможно причинение вреда пользователям этой системы или сети или другим лицам.
По назначению поведению и деструктивным возможностям вредоносное ПО делят на 3 основных типа:
1. Деструктивное ПО, представляющее существенную угрозу для компьютерных систем и хранящейся и обрабатываемой на них информации
2. Нежелательное ПО - не несущее непосредственной угрозы для компьютерных систем, но выполняющее непредусмотренные и, как правило, нежелательные для пользователя действия
3. Рискованное ПО - это легальное программное обеспечение, но используемое в злоумышленных целях
Классификация вредоносного ПО:
1. Virus. Компьютерный вирус (классический компьютерный вирус) - это самовоспроизводящаяся программа, которая может присоединяться к другим программам и файлам и способна приводить к нарушению целостности и/или доступности информации путем её уничтожения, модификации или блокирования, а также вызывать снижение эффективности работы или повреждение компьютерной системы. Компьютерные вирусы могут распространять свои копии по ресурсам локального компьютера с целью последующего запуска своего кода при каких либо действиях своего пользователя, компьютерные вирусы не могут самостоятельно распространяться в компьютерных сетях (в отличие от червей). Для заражения компьютера вирусом необходима его активация, что возможно при копировании на компьютер зараженных файлов с носителя или при запуске зараженного вирусом вложения к электронному письму. В 1884 году был введен термин компьютерного вируса Фредом Коуеном. Компьютерные вирусы можно классифицировать по следующим характеристикам:
1.1. Деструктивная способность - характеристика способности вируса наносить ущерб зараженной им компьютерной системе. Деструктивные способности могут варьироваться от неопасных (приводящих лишь к уменьшению объема свободной памяти на диске, или проявляющих себя безобидными звуковыми или визуальными эффектами) до опасных, которые могут вызывать серьезные сбои в работе компьютера, нарушению целостности и доступности информации, хранящейся и обрабатываемой в компьютере. CIH - один из самых страшных вирусов - чернобыль, умеет форматировать жесткий диск, также умеют уничтожать микропрограммы биос.
1.2. Способ заражения - метод внедрения вирусного кода в заражаемые объекты. Классификация вирусов по способу заражения:
1.2.1. Overwriting. Перезаписывающие - записывают свой код вместо кода заражаемого файла, уничтожая его содержимое, неработоспособность файлов приводит к нарушению работы ОС и приложений, что является проявлением действия вируса
1.2.2. Parasitic. Паразитические вирусы - распространяют свои копии так, что содержимое файлов изменяется, но сами файлы остаются полностью или частично работоспособными
1.2.3. Companion. Вирусы компаньоны. Создают для заражаемого файла файл двойник, который и получает управление при запуске зараженного файла, сам зараженный файл при этом не изменяется и остается работоспособным. При запуске управление получает код вируса, который затем запускает оригинальный файл.
1.2.4. Link. Линк вирусы - изменяют отдельные поля файловой системы таким образом, что операционная система при запуске зараженного файла начинает выполнять также и код вируса, при этом содержимое зараженного файла не изменяется. Obj, lib вирусы.
a. Среда обитания - это системные области компьютера (например, биос), операционная система или приложения, в файлы которых внедряются вирусы, по среде обитания компьютерные вирусы делят на несколько видов:
i. Файловые вирусы - используют для своего размножения файловую систему, внедряясь в исполняемые файлы, создавая файлы двойники, или используя особенности организации файловой системы
ii. Загрузочные вирусы - записывают себя либо в загрузочный сектор диска (boot sector) либо в сектор, содержащий системный загрузчик жесткого диска MBR либо модифицирует адрес активного boot sector'а в таблице разделов диска. При запуске системы управление передается коду вируса, а не оригинальному коду загрузчика
iii. Макро вирусы - программы на макро-языках, встроенных в некоторые системы обработки данных, а именно - текстовые редакторы, графические редакторы...
iv. Скрипт вирусы. Java script, php, vbs. Способны заражать другие скрипт программы, а также файлы форматов, в которых возможно выполнение скриптов, например html файлы
b. Классификация вирусов по способу активации: вирусы можно разделить на резидентные и нерезидентные:
i. Резидентные вирусы резидентно (то есть в течение всего времени работы компьютера находятся в ОП инфицированного компьютера) и заражают объекты на основе перехвата обращений к ним операционной системы. Даже при удалении всех зараженных файлов резидентная копия вируса остается активной и может заражать вновь создаваемые или восстановленные из резервных копий файлы.
ii. Нерезидентные вирусы - это вирусы активные незначительное время только при запуске зараженного файла и размещающие в оперативной памяти небольшие программы неспособные распространять вирус, распространение нерезидентных вирусов происходит путем поиска на диске незараженных файлов и записи в них вирусного кода.
c. По способу маскировки
i. Для скрытия своего нахождения в компьютере и противодействия обнаружению с помощью антивирусных программ вирусы могут блокировать антивирусные программы либо использовать различные методы маскировки. Stealth-virus используют специальные алгоритмы, позволяющие скрыть присутствие вируса в системе, например, перехватываются командой чтения зараженных секторов и вместо них подставляются сохраненные зараженные оригиналы, другой прием базируется на временном восстановлении, то есть лечении зараженных секторов при запуске антивирусной программы с последующим повторным их заражением по окончании работы программы. Макро вирусы чаще всего используют запрет вызовов меню просмотра макросов
ii. Polymorphic. Полиморфик вирусы - вирусы, не имеющие сигнатур - то есть не имеющие постоянных участков кода. Отсутствие совпадений кода у разных образцов одного и того же вируса достигается шифрованием кода вируса и модификацией программы расшифровщика,
iii. Root kit. Рут киты - программный код или технология, направленная на сокрытие присутствия в системе определенных объектов, процессов, файлов, ключей реестра и так далее.
2. Worm. Червь - программа, способная к самостоятельному распространению путем многократного самокопирования и передачи в компьютерных и телекоммуникационных сетях, отличительной особенностью червей является возможность чрезвычайно быстрого их распространения, что может приводить к массовым компьютерным вирусным эпидемиям. Виды сетевых червей:
a. E-mail worms. Почтовые черви - используют для своего распространения электронную почту, копии таких червей саморассылаются как вложение в электронное письмо, либо как ссылка на содержащий червя файл, расположенный на каком либо сетевом ресурсе, активация червя происходит при открытии зараженного вложения или при переходе по ссылке на зараженный файл, почтовые адреса для своей рассылки черви находят в адресной книге почтового ящика или почтового клиента, либо сканируя файлы на диске и выделяя в них записи, являющиеся адресами электронной почты.
b. P2p worms (peer to peer).
3. Троянская программа (троянский конь, троян, троянец) - скрытно осуществляющая неконтролируемые пользователем действия. Классический троян запускает скрытую внутри какой либо программы несанкционированную функцию, обеспечивающую выполнение действий, непредусмотренных автором легальной программы. Отличительной особенностью троянских программ является способность передавать собранную информацию "хозяину", что предполагает наличие связи трояна с хозяином. Классификация троянских программ в зависимости от того для каких действий они предназначены:
a. Деструктивные троянские программы - скрытно осуществляют уничтожение или модификацию данных, нарушение работоспособности компьютера, или иные злонамеренные действия.
b. Backdoor Trojan, Троянские утилиты удаленного администрирования. Предназначены для скрытного удаленного управления зараженным компьютером. В отличие от легальных программ удаленного администрирования трояны бэкдоры инсталируются, запускаются и работают скрытно. При чем в списке активных приложений может отсутствовать ссылка на эту программу.
c. Trojan spy. Троян шпион - предназначен для слежки за действиями пользователя компьютера. Собранная трояном информация записывается в специальный файл и периодически отсылается злоумышленнику, к числу наиболее опасных шпионских троянских программ относятся трояны клавиатурные мониторы - key logger, способные перехватывать и запоминать данные о нажимаемых клавишах клавиатуры, осуществляя перехват всей вводимой с клавиатуры информации. Некоторые key logger'ы умеют выделять в перехватываемой информации данные о паролях, логинах, номерах банковских карт и так далее, некоторые программы умеют делать scrin shot'ы компьютера. К программам шпионам относятся также трояны парольные воры, trojan psw (password stealing ware) -программы, предназначенные для обнаружения системных или иных паролей, коды доступа к интернету, сетевым играм, номера банковских карт и информация для работы с платежными системами.
d. Trojan internet clicker. Интернет-кликеры - предназначены для несанкционированного формирования потока обращений к Интернет-ресурсам с целью увеличения числа их посещений
e. Trojan internet dialler - предназначены для несанкционированного выхода (дозвона) на различные платные ресурсы, такие трояны хотя и не выполняют деструктивные действия способны наносить ощутимый финансовый ущерб.
f. Trojan downloader. Загрузчики вредоносных программ - предназначены для несанкционированной загрузки и установки на заражаемый компьютер различных вредоносных программ, которые затем запускаются, либо регистрируются трояном на автозагрузку, могут загружать и рекламное ПО и иные программы
g. Trojan dropper. Установщики вредоносных программ - предназначены для скрытой инсталяции в системе и запуска других вредоносных программ, в отличие от downloader'ов, droper'ы могут содержать в себе вредоносные программы, умеют защищать вредоносное ПО от антивирусных программ и часто содержать компонент демонстрирующий "полезность" dropeer'а. Размеры dropper'ов превышают размеры downloader'ов
h. Trojan proxy. Обеспечивают скрытый анонимный доступ к различным интернет ресурсам, часто используются для рассылки спама
i. Trojan criptor. Шифруют данные в компьютере и требуют выкуп за их расшифрвку
j. Trojan blocker. Блокирует компьютер и требует выкуп (обычно путем платной смс) за разблокирование
4. Spyware. Программы шпионы