На сегодняшний день единой признанной классификации вирусов не существует. Возможными основаниями для классификации являются:
· поражаемые объекты (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макровирусы, вирусы, поражающие исходный код, сетевые черви);
· технологии создания вирусов (полиморфные вирусы, вирусы-невидимки, руткиты);
· функции вредоносной программы (программы взлома, программы слежки за клавиатурой, программы для включения компьютера в сеть без ведома пользователя и др.);
· язык, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);
· поражаемые вирусами операционные системы и платформы.
Остановимся подробнее на классификации вирусов, в зависимости от того, какие объекты являются целью поражения.
Первые вирусы, которые были популярны до массового распространения Интернета, – файловые. Сегодня известны программы, заражающие все типы исполняемых файлов в любой операционной системе. В "Виндовс" опасности подвергаются в первую очередь файлы с расширениями EXE, COM и MSI, драйверы (SYS), командные файлы (BAT) и динамические библиотеки (DLL).
Загрузочные вирусы также появились одними из первых. Как видно из названия, такие вирусы заражают не файлы, а загрузочные секторы жестких дисков.
С развитием Интернета появились сетевые вирусы. По данным антивирусных компаний, именно различные виды сетевых червей представляют сегодня основную угрозу. Главная их особенность – работа с различными сетевыми протоколами и использование возможностей глобальных и локальных сетей, позволяющих им передавать свой код на удаленные системы.
Глава 4
Вредоносные программы
Кроме вирусов принято выделять еще, по крайней мере, три вида вредоносных программ. Это троянские программы, логические бомбы и программы-черви. Четкого разделения между ними не существует: троянские программы могут содержать вирусы, в вирусы могут быть встроены логические бомбы.
Троянские программы – по основному назначению троянские программы совершенно безобидны или даже полезны. Но когда пользователь запишет программу в свой компьютер и запустит ее, она может незаметно выполнять вредоносные функции. Чаще всего троянские программы используются для первоначального распространения вирусов, для получения удаленного доступа к компьютеру через Интернет, кражи данных или их уничтожения.
Логические бомбы – программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия. Логическая бомба может, например, сработать по достижении определенной даты или тогда, когда в базе данных появится или исчезнет запись. Такая бомба может быть встроена в вирусы, троянские программы и даже в обычные программы.
Программы – черви нацелены на выполнение определенной функции, например, на проникновение в систему и модификацию данных. Можно, скажем, создать программу-червь, подсматривающую пароль для доступа к банковской системе и изменяющую базу данных.
Ежегодно многие компании-производители антивирусных программ составляют различные обзоры и рейтинги вирусов.
Например, в 2010 году в список необычных, запомнившихся компьютерных вирусов, составленный компанией "Панда Секьюрити", вошел вирус "Стакснет". Этот необычный вирус был создан для атак на индустриальные системы контроля и управления: в 2010 году ему удалось проникнуть в компьютеры иранской атомной станции в Бушере. Хотя атомная станция не пострадала, считается, что "Стакснет" был способен вывести из строя промышленное оборудование.
В тот же список вошла и бот-сеть "Марипоза" (бот в составе сети – программа, позволяющая злоумышленнику выполнять действия с использованием удаленного заражённого компьютера без ведома его пользователя). "Марипоза" появилась в марте 2010 года и включала несколько миллионов компьютеров по всему миру. С её помощью осуществлялись Ддос-атаки, целью которых была кража коммерческих данных. Авторы программ, заражавших ПК, меняли коды каждые 48 часов, чтобы избежать блокировки сети, но допустили ошибку, зарегистрировав один из управляющих доменов на свое настоящее имя, а компания-регистратор передала эти данные следствию.
Ещё один вирус, упомянутый в этом обзоре, по-русски можно было бы назвать "Скрепко" (оригинальное название червя напоминает имя помощника в "Майкрософт Офис" – "Скрепка"). Это червь, который после установки на компьютер закрывает доступ ко всем документам пользователя своим паролем. При этом не выдвигаются требования выкупить пароль, червь "защищает" чужие документы совершенно бескорыстно.
Вопреки отсутствию прагматизма у создателя червя "Скрепко", по мнению компании "Доктор Веб", 2010 год стал годом расцвета интернет - мошенничества. Наиболее популярным средством интернет - мошенников в 2010 году компания сочла банковские троянские программы, целью которых является получение доступа к счетам.
Глава 5