Паразитическая программа обладающая механизмом саморазмножения
Так что же такое компьютерный вирус? По определению, данному одним из известных отечественных специалистов Евгением Касперским, компьютерным вирусом называется программа, которая может создавать свои копии и внедряться в файлы и системные области компьютера, вычислительной сети и т.п. При этом копии сохраняют способность дальнейшего распространения.
Если компьютерную систему сопоставить с живым организмом, а отдельные программы с клетками, то получим полную аналогию. Компьютерный вирус разрушает информацию, содержащуюся в коде программы. Он перехватывает контроль над компьютерной системой путем замены небольшого фрагмента программы, что позволяет ему неограниченно размножать свой код. Так же, как и биологический аналог, компьютерные вирусы:
Вирусы можно разделить на классы по следующим признакам:
- по среде обитания вируса;
- по способу заражения среды обитания;
- по деструктивным возможностям.
По среде обитания различают, прежде всего, сетевые вирусы, или вирусы-черви (worm), которые распространяются в компьютерной сети. Проникая в память компьютера, они вычисляют сетевые адреса других машин и по этим адресам рассылают свои копии.
Файловые вирусы являются наиболее распространенным типом и обладают наибольшей инфицирующей способностью. Объектом поражения файловых вирусов являются исполняемые файлы, драйверы устройств и файлы операционной системы. По способу заражения файловые вирусы делятся на резидентные и нерезидентные.
Резидентные вирусы находятся в памяти компьютера, оставляя в оперативной памяти свою резидентную часть, которая перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и остаются активными вплоть до выключения компьютера или его перезагрузки.
- безвредные, никак не влияющие на работу компьютера, кроме изменения свободной памяти на диске в результате своего размножения;
- неопасные, влияние которых ограничивается уменьшением объема свободной памяти на диске и графическими, звуковыми и прочими эффектами, к которым относится, например, выдача букв или проигрывание какой-нибудь мелодии в определенное время;
- опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
- очень опасные вирусы, которые могут привести к потере программ; уничтожить данные; стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже способствовать ускоренному износу движущихся частей диска.
Отметим еще макровирусы. Это особая разновидность вирусов, которые поражают документы в прикладных программах, имеющие расширение .doc, например документы, созданные текстовым процессором MS Word, и выполняющие макрокоманды. Если открыть файл документа в окне, происходит заражение.
Абсолютных гарантий антивирусной безопасности не имеется, даже при наличии самых наилучших антивирусных программ. Однако путем соблюдения определенных правил профилактики (так называемой компьютерной гигиены), можно снизить до минимума риск заражения компьютеров.
Общая классификация
Анти-антивирусный вирус (Anti-antivirus Virus, Retrovirus) – компьютерная вирусная программа, объектом нападения которой являются антивирусные программы.
Вариант вируса, штамм, модификация (Variant, modification) – модифицированный вариант одного и того же вируса. Изменения в вирусный код могут вноситься как автором вируса, так и третьим лицом.
Вирусная программа-червь (Worm-virus) – паразитическая программа, обладающая механизмом саморазмножения. Программа способна размножать свои копии, но не поражать другие компьютерные программы. Проникает на компьютер из сети (чаще всего как вложение в сообщениях электронной почты или через сеть Интернет) и рассылает свои функциональные копии на другие компьютерные сети.
Вирусный мистификатор (Hoax) – не являющееся вирусом почтовое сообщение. На компьютер пользователя мистификация приходит в виде письма, написанного в подчеркнуто нейтральном тоне, в котором указывается на якобы распространяющийся новый вирус. Большинство вирусных мистификаций обладают одной или несколькими нижеследующими характеристиками. Имя вируса, на которое ссылается автор сообщения, составляется не по правилам, используемым большинством антивирусных компаний. Особо отмечается, что "вирус" пока не обнаруживается антивирусными программами. Пользователю предлагается найти некий файл с помощью поискового средства Windows и удалить его с диска. В письме содержится призыв в случае обнаружения указанного файла сообщить об этом всем своим знакомым и все тем, чьи адреса есть в адресной книге пользователя. Несмотря на всю безобидность подобного розыгрыша опасность его очевидна - массовая рассылка копий этого бесполезного сообщения загружает почтовый трафик и отнимает время пользователей.
Вирусы-спутники, вирусы-компаньоны (Virus-companion) – формально являются файловыми вирусами. Не внедряются в исполняемые программы. Такие вирусы используют особенность системы DOS, позволяющую программному файлу с тем же названием, но другим расширением действовать с разными приоритетами. Под приоритетом понимают присваиваемый задаче, программе или операции признак, определяющий очередность их выполнения вычислительной системой. Большинство таких вирусов создают COM-файл, который обладает более высоким приоритетом, нежели EXE-файлы с тем же самым названием. При запуске файла по имени (без указания расширения) будет запущен файл с расширением СОМ. Такие вирусы могут быть резидентными и маскировать файлы-двойники.
Полиморфные вирусы (Polymorphic viruses) – или вирусы с самомодифицирующимися расшифровщиками (по Н.Н.Безрукову) – вирусы, использующие помимо шифрования кода специальную процедуру расшифровки, изменяющую саму себя в каждом новом экземпляре вируса, что ведет к отсутствию у него байтовых сигнатур. Расшифровщик не является постоянным – он уникален для каждого экземпляра вируса.
MtE вирусы (MtE viruses) – полиморфные вирусы, созданные с помощью генератора полиморфизма MtE (Mutant Engine). Такой генератор представляет собой специальный алгоритм, который отвечает за функции шифровки/расшифровки и генерацию расшифровщиков и присоединяется к любому объектному коду вируса. Такой расшифровщик не имеет ни одного постоянного бита, длина его всегда разная.
Pезидентный (в памяти) вирус (Memory resident virus) – постоянно присутствующий в памяти вирус, написанный, как правило, на языке Ассемблер или Си. Такие вирусы обладают возможностью более эффективно заражать программы и противодействовать антивирусным средствам. Занимает небольшой объем памяти. Пребывает в состоянии готовности к продолжению выполнения своей задачи до выгрузки, перезагрузки или выключения компьютера. Активизируется и выполняет заданные вирусописателем действия например при достижении компьютером определенного состояния (срабатывания таймера, др.). Все бутовые вирусы резидентны.
Скрипт-вирусы (Script virus) – вирусы, написанные на языках Visual Basic, Basic Script, Java Script. На компьютер пользователя такие вирусы, чаще всего, проникают в виде почтовых сообщений, содержащих во вложениях файлы-сценарии. Программы на языках Visual Basic и Java Script могут располагаться как в отдельных файлах, так и встраиваться в HTML-документ и в таком случае интерпретироваться браузером, причем не только с удаленного сервера, но и с локального диска.
Стелс-вирусы (Stealth virus) – вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах. Так называемая Стелс-технология может включать в себя:
- затруднение обнаруженья вируса в оперативной памяти;
- затруднение трассировки и дезассемблирования вируса;
- маскировку процесса заражения;
- затруднение обнаружения вируса в зараженной программе и загрузочном секторе.
Сегодня можно выделить два основных типа стелс-вирусов: руткит (rootkit) и буткит (bootkit).
Шифрованные вирусы (Encrypted viruses) – вирусы, которые сами шифруют свой код для затруднения их дезассемблирования и обнаружения в файле, памяти или секторе. Каждый экземпляр такого вируса будет содержать только короткий общий фрагмент – процедуру расшифровки - который можно выбрать в качестве сигнатуры. В случае каждого инфицирования он автоматически зашифровывает себя, и каждый раз по-разному. Таким способом вирус пытается избежать обнаружения антивирусными программами.
По видам заражаемых объектов
Файловые вирусы (File viruses) – вирусы, заражающие двоичные файлы (в основном, исполняемые файлы и динамические библиотеки). Чаще всего, такие файлы имеют расширение .EXE, .COM, .DLL, .SYS. Также могут инфицировать файлы с расширениями .DRV, .BIN, .OVL и .OVY. Такие вирусы внедряются в файлы операционной системы, активируются при запуске пораженной программы и затем распространяются.
Загрузочные (бутовые) вирусы (Boot viruses) – вирусы, которые заражают загрузочные записи (Boot record) дискет, разделов жестких дисков, а также MBR (Master Boot Record) жестких дисков.
-
Различия по среде обитания
- Win32/W32/PE - вредоносное ПО, действующее в среде Windows 95/98/ME/NT/XP/2000/2003 и/или поражающее 32-битные исполняемые файлы (PE и LE (VxD)) операционной системы Windows.
- Win2K/W2K - вредоносное ПО, предназначенное для среды Windows 2000.
- Win9x/Win95/W95/Win98/W98 - вредоносное ПО действующее в среде Windows 95/98.
- WinNT/WNT/NT - вредоносное ПО действующее в среде Windows NT.
- Win/Win16/W16/NE - вредоносное ПО, поражающее 16-битные исполняемые программы (NE) в операционной системе Windows (New Executable - формат исполняемых файлов Windows 3.x). Некоторые из этих вирусов могут работать не только в среде Windows 3.x, но также и в Windows 95/98/NT.
- DOS - вредоносные программы, предназначенные для работы в среде MS-DOS (Microsoft Disk Operating System).
- OS2 - вредоносные программы, действующие в среде OS/2 и/или поражающие исполняемые файлы (LX) операционной системы OS/2.
- UNIX/ELF - вредоносные программы, действующие в среде UNIX-подобных систем.
- Linux - вредоносные программы, действующие в среде Linux.
- FreeBSD/BSD - вредоносные программы, действующие в среде FreeBSD.
- SunOS/Solaris - вредоносные программы, действующие в среде Solaris.
- Java - вредоносные программы, написанные на языке программирования Java.
- SymbOS - вредоносные программы, поражающие мобильные устройства, работающие под управлением операционной системы Symbian.
- J2ME - вредоносные программы, поражающие мобильные устройства, использующие Java ME (ранее: Java 2 Micro Edition).
- WinCE - вредоносные программы, предназначенные для работы в среде Windows CE.
- MSIL - вредоносные программы, предназначенные для работы в среде Windows Mobile, либо заражающие файлы .NET-приложений (Microsoft Intermediate Language).
Virus (классический вирус) - может заражать другие файлы в системе путем дописывания в них своего кода. Для зараженных файлов требуется лечение.
- HLL (High Level Language) - вирусы, написанные на языках программирования высокого уровня (таких как: C, C++, Pascal, Delphi, Basic и пр.).
- HLLC (High Level Language Companion) - вирус-компаньон, написанный на языке программирования высокого уровня.
- Companion (вирусы-компаньоны) - вирусы, не изменяющие содержимое файлов, но создающие на месте заражаемой программы свою копию (оригинальный файл программы при этом просто переименовывается или перемещается). При запуске сначала выполняется код вируса, который затем передаёт управление оригинальной программе.
- HLLO (High Level Language Overwriting) - перезаписывающий вирус, написанный на языке программирования высокого уровня.
Overwriting (перезаписывающие вирусы) - вирусы, перезаписывающие содержимое файлов, не изменяя при этом их названия. Вследствие чего исходная программа уничтожается. - HLLP (High Level Language Parasitic) - паразитический вирус, написанный на языке программирования высокого уровня.
Parasitic (паразитические вирусы) - файловые вирусы, изменяющие содержимое файлов, оставляя при этом сами файлы работоспособными (или частично работоспособными). - HLLW (High Level Language Worm) - червь, написанный на языке программирования высокого уровня.
- HLLM (High Level Language MassMailing Worm) - черви массовой рассылки, написанные на языке программирования высокого уровня.
Script (скрипт-вирус) - вирусы, написанные на языках Visual Basic Script, Java Script, BAT и др. Скрипты могут располагаться как в отдельных файлах, так и встраиваться в HTML-документ и в таком случае интерпретироваться браузером (причем не только с удаленного сервера, но и с локального диска).
- VBS - вирусы, написанные на языке Visual Basic Script (VBScript).
- JS - вирусы, написанные на языке Java Script (JScript).
- BAT - вирусы, написанные на языке командного интерпретатора MS-DOS (на BAT-языке).
- PIF - вирус в формате PIF (Program Information File).
- WScript - черви, как правило, встроенные в HTML-файлы.
- PHP - скрипт-вирусы, написанные на языке PHP, либо вирусы, заражающие PHP-файлы (PHP: Hypertext Preprocessor).
- HTML - вирусная программа, реализованная в виде HTML-страницы.
- Perl - вредоносный сценарий, написанный на языке Perl (Practical Extraction and Report Language).
- CVS - Corel Script.
Trojan/Troj/TrojWare/Trj/TR (троянская программа/троян) - общее название для различных вредоносных программ, не имеющих средств для самораспространения (нарицательное словосочетание со значением "дар врагу с целью его погубить"). Также одно из основных отличий троянской программы от вируса заключаеться в том, что обычный вирус после своего рождения больше не имеет никакой связи с создателем, а троян, как правило, предназначен для дальнейшего взаимодействия с тем, кто его запустил.
- Backdoor (бэкдор) - троянские программы с функциями скрытого удаленного управления (администрирования) зараженным компьютером.
- PWS (Password Stealing Ware) - троянские программы, ворующие пароли.
- Trojan.AOL - троянские программы, ворующие пароли доступа к сети AOL (бывшая America Online). Выделены в особую группу по причине своей многочисленности.
- Clicker (кликеры) - троянские программы, открывающие различные URL без ведома пользователя. Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны "стандартные" адреса каких-либо интернет-ресурсов.
- Downloader - троянские программы, предназначенные для несанкционированной загрузки и установки других вредоносных программ.
- Dropper - троянские программы, предназначенные для скрытной инсталляции других вредоносных программ.
- Trojan.Proxy - троянские программы, предназначенные для запуска прокси-сервера на зараженном компьютере без ведома пользователя. Обычно используются для рассылки спама.
- Trojan.Spy - троянские программы, предназначенные для скрытого шпионажа за действиями пользователя и отправки собранных данных злоумышленнику.
- Spyware - общее название для шпионского программного обеспечения, скрытно собирающего различную информацию о пользователе компьютера и затем отправляющего её своему автору.
- StartPage/StartPa - троянские программы, изменяющие без ведома пользователя стартовую страницу в настройках веб-браузера.
- KeyLogger/Keylog (клавиатурный шпион) - шпионские программы, предназначенные для скрытого мониторинга и записи информации, вводимой с клавиатуры.
- Dialer (дозвонщики) - троянские программы, предназначенные для установки модемной связи с заданными серверами.
- Notifier - троянские программы, основная функция которых заключается в оповещении "хозяина" об успешной атаке.
- ArcBomb (архивные бомбы) - архивы, специально сконструированные так, чтобы при попытке их разархивировать - работоспособность компьютера была бы нарушена.
- Trojan.SMS - троянские программы, поражающие мобильные телефоны.
Worm (червь) - паразитическая программа, обладающая механизмом саморазмножения (т.е. способная размножать свои копии), но не поражающая другие компьютерные программы.
- Email-Worm (почтовые черви) - черви, использующие для своего распространения электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо веб-сервере.
- IM-Worm (черви, использующие интернет-пейджеры) - черви, использующие для своего распространения рассылку на обнаруженные контакты из контакт-листа интернет-пейджера (программы: ICQ, MSN Messenger, Yahoo Messenger, Google Talk, AOL Instant Messenger, Trillian, Miranda, QIP и др.) сообщений, содержащих ссылку на свой файл.
- IRC-Worm (черви в IRC-каналах) - черви, которые распространяются, используя среду IRC каналов (Internet Relayed Chat channels).
- Net-Worm (сетевые черви) - черви, использующие для своего распространения уязвимости в операционных системах и прикладном ПО, или распространяющиеся с помощью копирования себя на сетевые ресурсы.
- P2P-Worm (черви для файлообменных сетей) - черви, использующие для своего распространения P2P-сети (распространяющиеся с помощью программ: eMule, eDonkey, Kazzaa, DC++, BitTorrent, Gnutella, FastTrack и др.).
Macro (вирусы для MS Office) - эти вирусы используют особенности форматов файлов и встроенные макро-языки приложений MS Office и заражают файлы документов.
WordMacro/MSWord/Word/WM - макро-вирусы, поражающие документы и шаблоны MS Word.
- Word97/W97M - макро-вирусы, поражающие документы MS Word 8.0-9.0 (MS Office'97/2000).
- WP2kM - WordPerfect 2000.
- ExcelMacro/MSExcel/Excel/XM - макро-вирусы, поражающие документы MS Excel.
- X97M - макро-вирусы, поражающие документы MS Excel 6.0-9.0.
- XF - Excel 4.0 formulas.
- MSAccess - макро-вирусы, поражающие базы данных Microsoft Access.
- A97M - макро-вирусы, поражающие базы данных MS Access'97/2000.
- MSPPoint/PPoint - макро-вирусы, поражающие файлы-презентации MS PowerPoint.
- P97M/PP97M - макро-вирусы, поражающие файлы-презентации MS PowerPoint'97/2000.
- MSVisio/Visio - макро-вирусы, поражающие документы и шаблоны Visio (система построения диаграмм).
- MSOffice/O97M - мультиплатформенные макро-вирусы, поражающие одновременно несколько приложений MS Office.
- P98M - Project 98.
- WinHLP/WHLP/HLP - вирусы, заражающие Windows HLP-файлы (файлы помощи).
Программы, по сути не являющиеся вирусам, но по тем или иным причинам занесенные в антивирусные базы.
- Adware - общее название для программного обеспечения, принудительно показывающего рекламу.
- Bad-Joke - злые шутки (например, программы, пугающие пользователя сообщениями о форматировании диска, хотя никакого форматирования на самом деле не происходит).
- Hoax (вирусный мистификатор) - программы, не причиняющие компьютеру какого-либо вреда, но вводящие пользователя в заблуждение (например, выводящие сообщения о несуществующей опасности или детектирующие вирусы в незаражененых файлах).
- HackTool - хакерские утилиты.
- Riskware - легальные программы, которые, тем не менее, в руках злоумышленника способны причинить вред пользователю и его данным.
- PSWTool - программа, предназначенная для получения и восстановления различных паролей.
- Client-IRC - IRC-клиент, добавленный в некоторые наборы антивирусных баз по причине того, что функции этой программы могут использоваться в злоумышленных целях (для создания бэкдоров).
- Sniffer/Sniff (снифер) - программа, предназначенная для перехвата и последующего анализа сетевого трафика.
- SpamTool - программа, предназначенная для рассылки спама (как правило, превращающая зараженный компьютер в рассылочную спам-машину).
- Flooder/Flood/FDoS - "замусоривание" сети (например, бесполезными сообщениями; от англ. "flood" - наводнение, потоп).
- Email-Flooder/MailSpam - программа, позволяющая "наводнить" заданный адрес электронной почты различными письмами.
- IM-Flooder - программа, позволяющая "наводнить" заданный номер IM-мессенджера (например, ICQ) различными сообщениями.
- SMS-Flooder - программа, позволяющая "наводнить" заданный номер мобильного телефона SMS-сообщениями.
- VirTool - утилиты, предназначенные для облегчения написания компьютерных вирусов и для их изучения в хакерских целях.
- DoS/DDoS - вредоносная программа, предназначенная для проведения атаки типа "Denial of Service" ("Отказ в обслуживании") на удаленный сервер.
- Nuker (фатальные сетевые атаки) - утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу (сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении).
- Constructor/Generator - конструкторы вирусов и троянских программ, предназначенные для изготовления и генерации новых вирусов и вредоносных программ.
- PolyEngine (полиморфные генераторы) - главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика.
- FileCryptor, PolyCryptor - хакерские утилиты, использующиеся для шифрования других вредоносных программ с целью скрытия их содержимого от антивирусной проверки.
- EICAR (симулятор вируса) - тестовый файл, который на самом деле вирусом не является, но опредедяется антивирусными программами, как якобы вирус (EICAR-Test-File). Программа была специально разработана для того, чтобы пользователь, не подвергая свой компьютер опасности, мог посмотреть, как его антивирус будет сигнализировать в случае обнаружения вируса.
- Rootkit - основная функция заключается в сокрытии присутствия в системе заданных объектов (процессов, файлов, разделов реестра, открытых портов и т.д.).
- Malware - общее название для вредоносного программного обеспечения.
- Ransomware - вредоносная программа, работающая как вымогатель.
- VirWare - общее название для саморазмножающихся вредоносных программ (вирусы и черви).
- Exploit (эксплойт) - общий термин для обозначения фрагмента программного кода, который использует уязвимости в операционных системах и прикладном ПО, существующих на атакуемом компьютере.
- Based/Generic/gen/Modification - этот суффикс означает, что вирус был сгенерирован с помощью "вирусного конструктора" или что вирус был создан как модификация какого-то 'basic' (исходного) вирусного кода.
- Polymorphic (полиморфные вирусы) - или вирусы с самомодифицирующимися расшифровщиками - вирусы, использующие помимо шифрования кода специальную процедуру расшифровки, изменяющую саму себя в каждом новом экземпляре вируса, что ведет к отсутствию у него байтовых сигнатур. Расшифровщик не является постоянным - он уникален для каждого экземпляра вируса.
- MtE - полиморфные вирусы, созданные с помощью генератора полиморфизма MtE (Mutant Engine). Такой генератор представляет собой специальный алгоритм, который отвечает за функции шифровки/расшифровки и генерацию расшифровщиков и присоединяется к любому объектному коду вируса. Такой расшифровщик не имеет ни одного постоянного бита, длина его всегда разная.
- Encrypted (зашифрованные вирусы) - вирусы, которые сами шифруют свой код для затруднения их анализа и обнаружения в файле.
- Packed - упакованный.
- Boot - загрузочные вирусы.
- Stealth (стелс вирусы/вирусы-невидимки) - вирусы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах (cамо понятие осталось от скрывающихся вирусов под DOS, для Windows на данный момент используется понятие Rootkit).
- Retrovirus/Anti-antivirus Virus - вирус, объектом нападения которого являются антивирусные программы.
- Antivirus Virus (антивирусный вирус) - вирусная программа, объектом нападения которой являются другие компьютерные вирусы.
- Intended - вирусы, неспособные размножаться по причине ошибок.
- Zoo (зоологический вирус) - вирус, не встречающийся в "дикой природе" и существующий только в антивирусных лабораториях, коллекциях исследователей и т.п.
Вирусы, которые не обладают никакими особенными характеристиками, вследствие чего нет возможности присвоить таким вирусам особенные названия.
- SillyC - не резидентные в памяти вирусы, объектами поражения которых являются только COM-файлы.
- SillyE - не резидентные в памяти вирусы, объектами поражения которых являются только EXE-файлы.
- SillyCE - не резидентные в памяти вирусы, объектами поражения которых являются только COM- и EXE-файлы.
- SillyRC - резидентные в памяти вирусы, объектами поражения которых являются только COM-файлы.
- SillyRE - резидентные в памяти вирусы, объектами поражения которых являются только EXE-файлы.
- SillyRCE - резидентные в памяти вирусы, объектами поражения которых являются только COM- и EXE-файлы.
- SillyO - не резидентные в памяти вирусы, которые перезаписывают файлы.
- SillyOR - резидентные в памяти вирусы, которые перезаписывают файлы.
Компью?терный ви?рус — разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.
Даже если автор вируса не программировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы обычно занимают некоторое место на накопителях информации и отбирают некоторые другие ресурсы системы. Поэтому вирусы относят к вредоносным программам.
Анти-антивирусный вирус (Anti-antivirus Virus, Retrovirus) - компьютерная вирусная программа, объектом нападения которой являются антивирусные программы.
Антивирусный вирус (Antivirus Virus) - компьютерная вирусная программа, объектом нападения которой являются другие компьютерные вирусы.
Вариант вируса, штамм, модификация (Variant, modification) - модифицированный вариант одного и того же вируса. Изменения в вирусный код могут вноситься как автором вируса, так и третьим лицом.
Вирусная программа-червь (Worm-virus) - паразитическая программа, обладающая механизмом саморазмножения. Программа способна размножать свои копии, но не поражать другие компьютерные программы. Проникает на компьютер из сети (чаще всего как вложение в сообщениях электронной почты или через сеть Интернет) и рассылает свои функциональные копии на другие компьютерные сети.
Вирусный код, сигнатура (Signature) - система символов и однозначных правил их интерпретации, используемая для предоставления информации в виде данных. Представляет собой набор символов или последовательность байтов, которые, как предполагается, могут быть свойственны, а, следовательно, и обнаружены в каком-то определенном вирусе, в каждой его копии, и только в нем. Антивирусные сканеры используют сигнатуру для нахождения вирусов. Пoлиморфные вирусы не имеют сигнатуры.
Вирусный мистификатор (Hoax) - не являющееся вирусом почтовое сообщение. На компьютер пользователя мистификация приходит в виде письма, написанного в подчеркнуто нейтральном тоне, в котором указывается на якобы распространяющийся новый вирус.
Большинство вирусных мистификаций обладают одной или несколькими нижеследуемыми характеристиками.
Имя вируса, на которое ссылается автор сообщения, составляется не по правилам, используемым большинством антивирусных компаний.
Особо отмечается, что "вирус" пока не обнаруживается антивирусными программами.
Пользователю предлагается найти некий файл с помощью поискового средства Windows и удалить его с диска.
В письме содержится призыв в случае обнаружения указанного файла сообщить об этом всем своим знакомым и всем тем, чьи адреса есть в адресной книге пользователя.
Несмотря на всю безобидность подобного розыгрыша, опасность его очевидна - массовая рассылка копий этого бесполезного сообщения загружает почтовый трафик и отнимает время пользователей.
Вирусы-спутники, вирусы-компаньоны (Virus-companion) - формально являются файловыми вирусами. Не внедряются в исполняемые программы.
Такие вирусы используют особенность системы DOS, позволяющую программному файлу с тем же названием, но другим расширением действовать с разными приоритетами.
Под приоритетом понимают присваиваемый задаче, программе или операции признак, определяющий очередность их выполнения вычислительной системой.
Большинство таких вирусов создают .COM файл, который обладает более высоким приоритетом, нежели .EXE файлы с тем же самым названием. При запуске файла по имени (без указания расширения) будет запущен файл с расширением .СОМ.
Такие вирусы могут быть резидентными и маскировать файлы-двойники.
"Дроппер" (Dropper) - файл-носитель, устанавливающий вирус в систему. Техника иногда используемая вирусописателями для "прикрытия" вирусов от антивирусных программ.
Другие названия вируса (Other virus names): антивирусные компании, как правило, дают разные названия одним и тем же вирусам, исходя из собственных правил формирования вирусного имени. В большинстве случаев основное имя вируса (например, Klez, Badtrans, Nimda) одинаково и присутствует в наименовании этого вируса, независимо от антивирусной компании. Различаются в основном префиксы и суффиксы имени вируса, правила использования которых у каждой компании могут быть свои. В частности, если в классификации вирусов, принятой в компании ООО "Доктор Веб", версии одного и того же вируса нумеруются числами, начиная с 1, в компании Symantec для этих же целей используются заглавные буквы английского алфавита.
Зоологический вирус (Zoo virus) - вирус, существующий только в антивирусных лабораториях, в коллекция исследователей вирусов и не встречается в "дикой природе".
Компьютерные вирусы (Computer viruses) - это программы или фрагменты программного кода, которые, попав на компьютер, могут вопреки воле пользователя выполнять различные операции на этом компьютере - создавать или удалять объекты, модифицировать файлы данных или программные файлы, осуществлять действия по собственному распространению по локальным вычислительным сетям или по сети Интернет. Модификация программных файлов, файлов данных или загрузочных секторов дисков таким образом, что последние сами становятся носителями вирусного кода и в свою очередь могут осуществлять вышеперечисленные операции, называется заражением (инфицированием) и является важнейшей функцией компьютерных вирусов. В зависимости от типов заражаемых объектов выделяются различные типы вирусов.
Полиморфные вирусы (Polymorphic viruses) - или вирусы с самомодифицирующимися расшифровщиками (по Н.Н.Безрукову) - вирусы, использующие помимо шифрования кода специальную процедуру расшифровки, изменяющую саму себя в каждом новом экземпляре вируса, что ведет к отсутствию у него байтовых сигнатур. Расшифровщик не является постоянным - он уникален для каждого экземпляра вируса.
MtE вирусы (MtE viruses) - полиморфные вирусы, созданные с помощью генератора полиморфизма MtE (Mutant Engine). Такой генератор представляет собой специальный алгоритм, который отвечает за функции шифровки/расшифровки и генерацию расшифровщиков и присоединяется к любому объектному коду вируса.Такой расшифровщик не имеет ни одного постоянного бита, длина его всегда разная.
Pезидентный (в памяти) вирус (Memory resident virus) - постоянно присутствующий в памяти вирус, написанный, как правило, на языке Ассемблер или Си.
Такие вирусы обладают возможностью более эффективно заражать программы и противодействовать антивирусным средствам. Занимает небольшой объем памяти. Пребывает в состоянии готовности к продолжению выполнения своей задачи до выгрузки, перезагрузки или выключения компьютера. Активизируется и выполняет заданные вирусописателем действия например при достижении компьютером определенного состояния (срабатывания таймера, др.). Все бутовые вирусы резидентны.
Скрипт-вирусы (Script virus) - вирусы, написанные на языках Visual Basic, Basic Script, Java Script, Jscript.
На компьютер пользователя такие вирусы, чаще всего, проникают в виде почтовых сообщений, содержащих во вложениях файлы-сценарии. Программы на языках Visual Basic и Java Script могут располагаться как в отдельных файлах, так и встраиваться в HTML-документ и в таком случае интерпретироваться браузером, причем не только с удаленного сервера, но и с локального диска.
Стелс вирусы (Stealth virus) - вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.
Так называемая Стелс-технология может включать в себя:
- затруднение обнаружения вируса в оперативной памяти
- затруднение трассировки и дезассемблирования вируса
- маскировку процесса заражения
- затруднение обнаружения вируса в зараженной программе и загрузочном секторе.
В зависимости от видов заражаемых объектов, компьютерные вирусы классифицируют по следующим типам:
- Файловые вирусы (File viruses) - вирусы, заражающие двоичные файлы (в основном, исполняемые файлы и динамические библиотеки). Чаще всего, такие файлы имеют расширение .EXE, .COM, .DLL, .SYS. Также могут инфицировать файлы с расширениями .DRV, .BIN, .OVL и .OVY.
Такие вирусы внедряются в файлы операционной системы, активируются при запуске пораженной программы и затем распространяются. - Загрузочные (бутовые) вирусы (Boot viruses) - вирусы, которые заражают загрузочные записи (Boot record) дискет, разделов жестких дисков, а также MBR (Master Boot Record) жестких дисков.
- Макрокомандные вирусы (макровирусы) (Macroviruses) - вирусы, заражающие файлы документов, используемыe приложениями Microsoft Office и другими программами, допускающие наличие макрокоманд (чаще всего на языке Visual Basic). Благоприятным фактором распространения вируса служит то, что все основные компоненты Microsoft Office могут содержать встроенные программы (макросы) на полнофункциональном языке программирования, а в Microsoft Word эти макросы автоматически запускаются при открытии любого документа, его закрытии, сохранении и т.д.
Кроме того, имеется так называемый общий шаблон NORMAL.DOT и макросы, помещенные в общий шаблон автоматически запускаются при открытии любого документа. Учитывая то, что копирование макросов из документа в документ (в частности в общий шаблон) выполняется всего одной командой, среда Microsoft Word идеальна для существования макрокомандных вирусов. - Шифрованные вирусы (Encrypted viruses) - вирусы, которые сами шифруют свой код для затруднения их дезассемблирования и обнаружения в файле, памяти или секторе. Каждый экземпляр такого вируса будет содержать только короткий общий фрагмент - процедуру расшифровки который можно выбрать в качествесигнатуры. В случае каждого инфицирования он автоматически зашифровывает себя, и каждый раз по-разному. Таким способом вирус пытается избежать обнаружения антивирусными программами.
Атаки методом подбора пароля (Brute force attacks) — так называемые атаки методом "грубой силы". Как правило, пользователи применяют простейшие пароли, например "123", "admin" и т.д. Этим и пользуются компьютерные злоумышленники, которые при помощи специальных троянских программ вычисляют необходимый для проникновения в сеть пароль методом подбора - на основании заложенного в эту программу словаря паролей или генерируя случайные последовательности символов.
Бомбы с часовыми механизмами (Time bombs) — одна из разновидностей логических бомб, в которых срабатывание скрытого модуля определяется временем.
Клавиатурные перехватчики (Keyloggers) — вид троянских программ, чьей основной функцией является перехват данных, вводимых пользователем через клавиатуру. Объектами похищения являются персональные и сетевые пароли доступа, логины, данные кредитных карт и другая персональная информация.
DoS-атаки (DoS-attacks) — популярный среди злоумышленников вид сетевых атак, граничащий с терроризмом. Заключается в отправке запросов с компьютеров на атакуемый сервер с целью выведения его из строя. При достижении определенного количества запросов (ограниченного аппаратными возможностями сервера) сервер перестает справляться с нагрузкой, что приводит к отказу в обслуживании. Данной атаке часто предшествует спуфинг. DoS-атаки стали широко используемым средством запугивания и шантажа конкурентов.
Зомби (Zombies) — маленькие компьютерные программы, разносимые по сети Интернет компьютерными червями. Программы-зомби устанавливают себя в пораженной системе и ждут дальнейших команд к действию.
Логические бомбы (Logic bombs) — скрытые модули, встроенные в ранее разработанную и широко используемую программу. Такой модуль является безвредным до определенного события, при наступлении которого он срабатывает (например, нажатие пользователем определенных кнопок клавиатуры, или наступление определенной даты или времени).
Люки (Backdoors) — программы, обеспечивающие вход в систему или получение привилегированной функции (режима работы) в обход существующей системы полномочий. Часто используются для обхода существующей системы безопасности. Люки не инфицируют файлы, но прописывают себя в реестр, модифицируя таким образом ключи реестра.
Почтовые бомбы (Mail bombs) — один из простейших видов сетевых атак. Злоумышленником посылается на компьютер пользователя или почтовый сервер компании одно огромное сообщение, или множество (десятки тысяч) почтовых сообщений, что приводит к выводу системы из строя. В антивирусных продуктах Dr.Web для почтовых серверов предусмотрен специальный механизм защиты от таких атак.
Руткит (Rootkit) — вредоносная программа, предназначенная для перехвата системных функций операционной системы (API) с целью сокрытия своего присутствия в системе.
Кроме того, Rootkit может маскировать процессы других программ, различные ключи реестра, папки, файлы. Rootkit распространяются как самостоятельные программы, так и как дополнительные компоненты в составе иных вредоносных программ - программ-люков (backdoor), почтовых червей и проч.
По принципу своей работы Rootkit условно разделяют на две группы: User Mode Rootkits (UMR) - т.н. Rootkit, работающие в режиме пользователя, и Kernel Mode Rootkit (KMR) - т.н. Rootkit, работающие в режиме ядра.
Работа UMR базируется на перехвате функций библиотек пользовательского режима, а работа KMR базируется на установке в систему драйвера, который осуществляет перехват функций на уровне системного ядра, что значительно усложняет его обнаружение и обезвреживание.
Скамминг (Scamming) — от английского "scamming", что означает "жульничество", вид интернет-мошенничества. Заключается в привлечении клиентов, якобы брачными агентствами (на самом деле скам-агентствами), с целью выуживания у них денег брачными аферами.
Сниффинг (Sniffing) — вид сетевой атаки, также называется "пассивное прослушивание сети". Несанкционированное прослушивание сети и наблюдение за данными производятся при помощи специальной невредоносной программы - пакетным сниффером, который осуществляет перехват всех сетевых пакетов домена, за которым идет наблюдение. Перехваченные таким сниффером данные могут быть использованы злоумышленниками для легального проникновения в сеть на правах фальшивого пользователя.
Спуфинг (Spoofing) — сетевая атака, заключающаяся в получении доступа в сеть обманным путем посредством имитации соединения. Используется для обхода систем управления доступом на основе IP-адресов, а также для маскировки ложных сайтов под их легальных двойников или просто под законные бизнес-проекты. Блокируется брандмауэром.
Троянские кони (Троянцы) (Trojan Horses) — вредоносные программы, содержащие скрытый модуль, осуществляющий несанкционированные пользователем действия в компьютере. Эти действия не обязательно будут разрушительными, но они всегда направлены во вред пользователю. Название этого типа атак происходит от известной легенды о деревянной статуе коня, использованной греками для проникновения в Трою.
Троянские программы-вандалы подменяют какую-либо из часто запускаемых программ, выполняют ее функции или имитируют такое исполнение, одновременно производя какие-либо вредоносные действия (стирают файлы, разрушают каталоги, форматируют диски, отсылают пароли или другую конфиденциальную информацию, хранящуюся на ПК пользователя). Некоторые Троянские программы содержат механизм обновления своих компонент из сети Интернет.
Фишинг (Phishing) — технология интернет-мошенничества, заключающаяся в краже личных конфиденциальных данных (паролей доступа, данных банковских и идентификационных карт и т. д.). Пользователей просят зайти на подделанный преступниками сайт такого учреждения и подтвердить пароли, PIN-коды и другую личную информацию, используемую впоследствии злоумышленниками для кражи денег со счета жертвы. Разновидность социальной инженерии.
Фарминг — фарминг-технологии применяются для изменения DNS (Domain Name System) записи или записи в файле HOSTS. При посещении пользователем легитимной, с его точки зрения, страницы производится перенаправление на поддельную страницу, созданную для сбора конфиденциальной информации.
Бэкдоры (Backdoors) — программы, предназначенные для удаленного управления зараженной системой. Часто используются для обхода существующей системы безопасности.
Буткиты (Boot viruses) — вредоносные программы, которые заражают загрузочные записи (Boot record) дискет, разделов жестких дисков, а также модифицируют главный загрузочный сектор MBR (Master Boot Record).
BIOS-кит (BIOS-kit) — вредоносная программа, способная заражать BIOS компьютера.
DNS-заражение (DNS poisoning) — атака на кеш DNS-сервера. В результате в кеше появляется ложная запись о соответствии DNS-имени хоста, которому жертва доверяет, и IP-адреса, указанного атакующим. Является подвидом спуфинга. Атака может поражать как клиентский хост, так и хост сервера, что может привести к массовому перенаправлению пользователей на ложный адрес.
Читайте также: