Понятие компьютерного вируса
Вредоносные программы — это краткое название для вредоносного программного обеспечения. Это собирательное название для вирусов, червей и троянских программ, которые намеренно выполняют вредоносные действия на компьютере. С технической точки зрения, вредоносная программа — это любой вредоносный код.
Компьютерный вирус – это специально написанная короткая программа для того, чтобы затруднить, исказить или исключить обработку информации на компьютере одним или многим пользователями.
Компьютерный вирус - это программный код, встроенный в другую программу, или в документ, или в определенные области носителя данных и предназначенный для выполнения несанкционированных действий на несущем компьютере.
В вирусах используется код, специально ориентированный на самостоятельное размножение. Вирусы распространяются с одного компьютера на другой, присоединяясь к программе-носителю. Вирусы могут повреждать аппаратные средства, программное обеспечение и данные. При выполнении основной программы выполняется и код вируса, который заражает другие программы, а иногда производит и еще какие-то действия.
Большинство вирусов не выполняют каких-либо иных действий, кроме своего распространения, т.е. заражения других программ, областей дисков и т.п. Иногда, в дополнение к своему распространению, вирусы выдают пользователям какие-либо сообщения или демонстрируют им какие-то иные эффекты («приколы»), придуманные автором вируса. Такими эффектами могут быть, например: игры, музыкальные фрагменты, перезагрузки компьютера, выдачи на экран разных рисунков, блокировки или изменения функций клавиш клавиатуры, замедления работы компьютера, создания видеоэффектов и т.д. Если такие вирусы не осуществляют порчи информации на компьютерах, их условно можно считать неопасными: они скорее создают неудобства для пользователей, чем опасности для информации на их компьютерах. Впрочем, и эти вирусы способны причинить большие неприятности, если, неудобства пользователям станут существенными, например, перезагрузки каждые пять минут вообще не дадут пользователю работать.
Некоторые вирусы, напротив, следует оценивать как опасные, если они портят информацию на компьютерах, неважно – по ошибке их разработчика, или по его замыслу. В большинстве случаев порча данных происходит лишь эпизодически и не приводит к тяжёлым последствиям. Например, могут портиться лишь COM- файлы при заражении, если длина этих файлов более 64000 байт. Если же порча данных на компьютере происходит часто или вирусы причиняют значительные разрушения, то такие вирусы должны оцениваться как очень опасные. К таким значительным разрушениям можно отнести попытки форматирования жёстких дисков, систематическое изменение данных на дисках, стирание тех или иных файлов на дисках и т.п. Поскольку заранее обычно неизвестно, к какой категории следует отнести вирус, необходимо стремиться к недопущению даже самых безобидных из них на свои компьютеры, а при их попадании на компьютеры – любые вирусы немедленно уничтожать.
Основными типами компьютерных вирусов являются:
· программные вирусы;
· загрузочные вирусы;
· макровирусы.
Программные вирусы - это блоки программного кода, целенаправленно внедренные внутрь других прикладных программ. При запуске программы, несущей вирус, происходит запуск имплантированного в нее вирусного кода. Работа этого кода вызывает скрытые от пользователя изменения в файловой системе жестких дисков и/или в содержании других программ. Так, например, вирусный код может воспроизводить себя в теле других программ - этот процесс называется размножением. По прошествии определенного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям: нарушению работы программ и операционной системы, удалению информации, хранящейся на жестком диске. Этот процесс называется вирусной атакой.
Самые разрушительные вирусы могут инициировать форматирование жестких дисков. Поскольку форматирование диска - достаточно продолжительный процесс, который не должен пройти незамеченным со стороны пользователя, во многих случаях программные вирусы ограничиваются уничтожением данных только в системных секторах жесткого диска, что эквивалентно потере таблиц файловой системы. В этом случае данные на жестком диске остаются нетронутыми, но воспользоваться ими без применения специальных средств нельзя, поскольку неизвестно, какие сектора диска каким файлам принадлежат. Теоретически восстановить данные в этом случае можно, но трудоемкость этих работ может оказаться исключительно высокой.
Считается, что никакой вирус не в состоянии вывести из строя аппаратное обеспечение компьютера. Однако бывают случаи, когда аппаратное и программное обеспечение настолько взаимосвязаны, что программные повреждения приходится устранять заменой аппаратных средств. Так, например, в большинстве современных материнских плат базовая система ввода-вывода (BIOS) хранится в перезаписываемых постоянных запоминающих устройствах (так называемая флэш-память). Возможность перезаписи информации в микросхеме флэш-памяти используют некоторые программные вирусы для уничтожения данных BIOS. В этом случае для восстановления работоспособности компьютера требуется либо замена микросхемы, хранящей BIOS, либо ее перепрограммирование с помощью специальных программных средств.
Программные вирусы поступают на компьютер при запуске непроверенных программ, полученных на внешнем носителе (гибкий диск, компакт-диск и т. п.) или принятых из сети Интернет. Особое внимание следует обратить на слова при запуске. При обычном копировании зараженных файлов заражение компьютера произойти не может. В связи с этим все данные, принятые из Интернета, должны проходить обязательную проверку на безопасность, а если получены незатребованные данные из незнакомого источника, их следует уничтожать, не рассматривая.
Троянские программы.К вредоносным программам относятся и так называемые «троянские кони» («троянские программы» или «троянцы»).
Подобно своему античному аналогу они проникают уже не в город Трою, а на компьютеры пользователей под видом безобидных программ, привлекающих пользователей своей уникальной функциональностью. Но на деле, троянские программы, проникая в компьютер пользователя, активизируются в некоторый момент времени и наносят ему тот или иной урон, ущерб, а иногда и полностью стирают информацию с жёстких дисков.
Троянская программа – это программа, кажущаяся полезной или безвредной, но содержащая скрытый код, предназначенный для использования уязвимости или нанесения ущерба компьютеру, на котором эта программа выполняется. Троянские программы (также называемые троянским кодом) наиболее часто поступают к пользователям с сообщениями электронной почты, в которых неверно указываются назначение и функции программы. Троянские программы выполняют свою миссию, активируя вредоносный заряд при запуске.
Спектр действия троянских программ чрезвычайно широк, а их классификация может показаться сложнее таблицы химических элементов Менделеева. Одной из наиболее распространенных и опасных разновидностей этого типа программ являются утилиты несанкционированного управления, т.н. Backdoor. По описанному выше сценарию Backdoor внедряется на компьютер пользователя и незаметно открывает доступ для его удаленного управления. Таким образом, злоумышленник получает возможность полностью контролировать зараженный компьютер: создавать, копировать, просматривать, удалять файлы и директории; следить за работой пользователя; совершать противоправные действия от его имени; управлять банковскими счетами и многое другое. Спектр подобных действий ограничивает только фантазия разработчика "троянца".
Обнаружить установленный Backdoor можно при помощи обычного антивирусного сканера или посредством установки межсетевого экрана и контроля за использованием портов компьютера.
Вообще обычный прием распространения "троянских" программ - приложение к электронному письму с "рекомендацией" извлечь и запустить якобы полезную программу. Поэтому лучше не открывать никаких приложений к электронным письмам из рекламных рассылок, от незнакомых пользователей, от знакомых, которые не должны были ничего присылать и т.п. Во многих, но не во всех случаях, троянские вирусы обнаруживаются антивирусными программами: при попытке их активизации – мониторами, а их присутствие на жестких дисках компьютера – сканерами.
Загрузочные вирусы. От программных вирусов загрузочные вирусы отличаются методом распространения. Они поражают не программные файлы, а определенные системные области магнитных носителей (гибких и жестких дисков). Кроме того, на включенном компьютере они могут временно располагаться в оперативной памяти.
Обычно заражение происходит при попытке загрузки компьютера с магнитного носителя, системная область которого содержит загрузочный вирус. Так, например, при попытке загрузить компьютер с гибкого диска происходит сначала проникновение вируса в оперативную память, а затем в загрузочный сектор жестких дисков. Далее этот компьютер сам становится источником распространения загрузочного вируса.
Макровирусы. Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд. В частности, к таким документам относятся документы текстового процессора Microsoft Word (они имеют расширение .doc). Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд. Как и для других типов вирусов, результат атаки может быть как относительно безобидным, так и разрушительным.
Черви. В червях используется самораспространяющийся вредоносный код, который может автоматически распространяться от одного компьютера к другому по сети. Червь может выполнять вредоносные действия, например, потреблять сетевые ресурсы или ресурсы локального компьютера, порой приводя к возникновению атаки вида «отказ в обслуживании». Некоторые черви могут выполняться и распространяться без вмешательства пользователя, в то время как другие требуют, чтобы пользователь выполнил код червя, чтобы он мог распространиться. Помимо размножения черви могут выполнять и другие действия.
Spyware и Adware программы
Spyware – это программа, которая скрытным образом устанавливается на компьютер с целью полного или частичного контроля над взаимодействием между пользователем и компьютером без согласия пользователя. Термин Spyware (в переводе англ. Spy – шпион и Software – программное обеспечение) дословно может быть переведён как шпионское программное обеспечение.
Программы-шпионы – это тип программного обеспечения, в который включаются так называемые шпионские роботы или отслеживающее программное обеспечение. Программы-шпионы используют другие виды мошеннических программ, которые выполняют на компьютере определенные действия без ведома пользователя. Эти действия включают в себя сбор личных данных и изменение настроек Интернет-обозревателя. Помимо раздражения программы-шпионы становятся причиной множества разных проблем: от снижения общей производительности компьютера до нарушения конфиденциальности личных данных.
Веб-узлы, распространяющие программы-шпионы, используют разные уловки, чтобы заставить пользователей загрузить и установить эти программы на свои компьютеры. К таким уловкам относится введение пользователей в заблуждение и скрытое объединение программ-шпионов в пакеты с другим программным обеспечением, которое может быть необходимо пользователю, например бесплатными программами для обмена файлами.
Spyware программы способны проводить мониторинг того, как используется компьютер пользователя. Эти программы способны передавать информацию с компьютеров пользователей без их разрешения и уведомления. Такие программы часто устанавливаются на компьютерах пользователей также без их ведома другими программами. Наиболее часто такие программы попадают в компьютеры пользователей из локальных и глобальных сетей.
Spyware программы нередко трудно деинсталлировать, потому что они изменяют установки операционных систем. Spyware обычно присоединяют себя из каждого местонахождения в Реестре, позволяющего исполнение. Будучи запущенным, Spyware контролирует периодически, не удалено ли одно из этих звеньев. Если да, то оно автоматически восстанавливается. Это гарантирует, что Spyware будет выполняться во время загрузки операционной системы, даже если некоторые или большинство звеньев в реестре автозапуска будут удалены.
Если Spyware не была заблокирована и смогла инсталлироваться, то она будет сопротивляться попыткам остановки запуска или деинсталляции. Некоторые Spyware работают в паре: когда сканер антиspyware или пользователь прерывает один запущенный процесс, другой возрождает убиваемую программу. Таким же образом некоторые Spyware определяют попытку удаления ключей Реестра и немедленно добавляют их снова. Обычно запуск инфицированной ОС в Безопасном Режиме позволяет антиspyware с бульшей вероятностью удалить упорные Spyware. Новое поколение Spyware запускается, скрываясь среди критических системных процессов и запускается даже в Безопасном Режиме. Если не существует процесса, который можно безболезненно прервать, то Spyware намного труднее обнаружить и удалить. Иногда они даже не оставляют никаких признаков существования на диске.
Spyware программы могут заниматься сбором различных типов личной информации, таких, как
· пользование Интернета и посещаемые в нём сайты (Tracking Software);
· контроль нажатий клавиш на клавиатуре компьютера (Keyloggers);
· контроль скриншотов экрана монитора компьютера (Screen Scraper);
· несанкционированный удалённый контроль и управление компьютерами (Remote Control Software) — Backdoors, Botnets, Droneware;
· несанкционированный анализ состояния систем безопасности (Security Analysis Software) — Hacker Tools, Port and vulnerability scanners, Password crackers.
Spyware программы могут также вмешиваться в контроль пользователя над компьютером с других сторон, например:
· инсталлируя дополнительные программы;
· перенаправляя активность браузеров, что влечёт за собой посещение веб-сайтов вслепую с риском заражения вирусами.
Spyware могут даже менять установки в компьютере для несанкционированного внесения изменений в компьютерную систему (System Modifying Software) — например, Hijackers, Rootkits, результатом чего являются снижение скорости соединения с Интернетом или потеря соединения как такового, открывание других домашних страниц или удаление тех или иных программ.
В настоящий момент со Spyware программами часто используются другие программные средства. Поэтому в более широком смысле, термин Spyware используется как синоним того, что Anti-Spyware Coalition называет «Spyware плюс Другие Потенциально Нежелательные Технологии».
Spyware и Adware сходны с вирусами в том, что они злонамеренны по своей природе.
В отличие от вирусов и сетевых червей Spyware обычно не саморазмножается. Подобно многим современным вирусам, Spyware внедряется в компьютер преимущественно с коммерческими целями. Типичные проявления включают в себя демонстрацию всплывающих рекламных окон, кража персональной информации (включая финансовую, например, номера кредитных карт), отслеживание привычки посещения веб-сайтов или перенаправление адресного запроса в браузере на рекламные или порносайты.
Spyware напрямую не распространяются по образу сетевых червей и вирусов; как правило, инфицированная система не пытается передать инфекцию другим компьютерам. Вместо этого Spyware попадает в систему посредством обмана пользователя или через уязвимости системы. Большинство Spyware инсталлируются без ведома пользователя. Поскольку пользователи стремятся не инсталлировать программы, которые, как они знают, могут подорвать целостность системы и подвергнуть опасности личные данные, Spyware обманывают пользователей либо комбинируясь в единое целое с популярными программами, или же жульническим путём заставляют пользователя их инсталлировать (метод троянов). Некоторые фальшивые программы маскируются под программы безопасности, сами являясь Spyware.
Распространители Spyware обычно представляют свой продукт как что-то полезное, например, веб-ускоритель или полезный программный агент. Пользователь скачивает и инсталлирует программу, сразу не подозревая, что это может принести вред.
Spyware часто поставляются в комплекте с пробными (trial) версиями программ и с другими скачиваемыми программами, также и с аудио-дисками. Пользователь скачивает программу и инсталлирует её, а установщик дополнительно инсталлирует Spyware. Несмотря на то, что требуемая программа сама по себе может и не причинить вреда, комплектные Spyware способны. В некоторых случаях авторы Spyware платят авторам дистрибутивов, чтобы они комплектовали Spyware со своими программами. В других случаях авторы Spyware обладают распакованными бесплатными версиями требуемых программ с установщиком, добавляющим Spyware.
Spyware редко бывает одинока на компьютере: поражённая машина может в течение короткого времени быть инфицированной многими другими компонентами. Пользователи часто замечают нежелательное поведение и снижение системных показателей. Поражение Spyware может создавать значительно возросшую нежелательную активность процессора, использование объёма диска и каналов сетевого трафика, что в суммарном результате ведёт к значительному снижению скорости работы компьютера. Проявления нестабильности, такие как сбои в работе приложений или всей системы также нередки. Spyware, вмешиваясь в работу программ, использующих сеть, обычно также вызывают трудности при подсоединении к сети Интернет
При некоторых видах заражения наличие Spyware может не быть очевидным. Пользователи полагают в таких случаях, что причиной является сбой в работе аппаратного обеспечения, проблемы в инсталляции Windows или вирус. Некоторые обладатели тяжело инфицированных систем обращаются к экспертам технической поддержки или даже приобретают новый компьютер, поскольку существующая система «стала слишком медленной». Тяжело инфицированным системам может потребоваться полная переустановка всех компонентов программ для возврата к первоначальной функциональности.
Лишь в редких случаях одна часть Spyware приводит компьютер в состояние непригодности. Скорее, в таких случаях компьютер обладает многочисленными инфекциями. Кумулятивный эффект и взаимодействие между компонентами Spyware влекут за собой симптомы, обычно отмечаемые пользователем: компьютер со скоростью, пониженной до черепашьей, переполненный множеством исполняющихся паразитических процессов. Более того, некоторые типы Spyware отключают файрволы и антивирусные программы и/или понижают установки безопасности браузера, таким образом делая систему неприкрытой для дальнейших приспосабливающихся инфекций, что похоже на иммунную недостаточность. Некоторые Spyware отключают или даже удаляют другие конкурирующие Spyware под предлогом того, что возросшее недовольство пользователя работой системы может привести его к решению принять меры по удалению Spyware. Некоторые другие типы Spyware модифицируют системные файлы, так что они становятся боле трудноудалимыми.
Термин Adware часто относится к любой программе, демонстрирующей рекламу с согласия или без согласия пользователя. Adware в отличие от Spyware не действуют скрытно или вводят пользователя в заблуждение, они лишь предлагают пользователю дополнительные услуги.
Adware – это программы для показа рекламы. В частности, к этому типу относятся определенные исполняемые приложения, основным предназначением которых является доставка рекламного содержимого неожиданным или нежелательным для пользователя способом либо в неожиданном или нежелательном контексте. Многие рекламные приложения выполняют также функции слежения за пользователем, следовательно, их можно классифицировать как технологии отслеживания. Некоторые клиенты могут захотеть удалить программу для показа рекламы, если они возражают против такого отслеживания, не желают смотреть рекламу, показываемую программой, или недовольны ее влиянием на производительность компьютера. И наоборот, некоторые пользователи могут пожелать оставить определенные рекламные программы, если их присутствие компенсирует стоимость нужного программного продукта или услуги либо если эти программы показывают полезную или интересную рекламу, например, предлагающую альтернативу или дополнения к тому, что пользователь ищет.
Многие Adware являются Spyware по другим причинам: они показывают рекламные заставки, базирующиеся на результатах шпионской деятельности на компьютерах. Например, при посещении некоторых сайтов в сети Интернет пользователь может получить несанкционированную им установку на свой компьютер Adware программу. А эта программа, например, может перенаправлять доход с демонстрации множества всплывающих окон на компьютере пользователя на этот инсталлирующий сайт.
Программы, поставляемые в комплекте с бесплатными программами с рекламной поддержкой, являются Spyware (при деинсталляции удаляется только материнская программа), тем не менее, пользователи добровольно их скачивают. Это представляет дилемму для создателей программ борьбы со Spyware, чьи инструменты удаления могут безвозвратно привести в неработоспособность желаемые программы. Для решения этой проблемы Anti-Spyware Coalition работает над постройкой единого мнения внутри индустрии программ борьбы со Spyware относительно того, чту является приемлемым поведением программы.