По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.
Простейшие вирусы – паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.
Стелс-вирусы (stealth – невидимка). Это вирусы, которые умеют скрывать свое присутствие в системе. Обнаружить их очень сложно. Наиболее распространен вариант, когда вирус состоит из двух частей. Одна из них резидентная и постоянно находится в памяти компьютера. Если операционная система обращается к зараженному файлу, то "резидент" перехватывает это обращение и удаляет из файла код вируса. Таким образом, приложение оказывается "чистым". Но после того как оно завершает свою работу, "резидент" снова заражает его.
Полиморфные вирусы. Особенностью этих вирусов является умение изменять собственный код, для того, чтобы ввести в заблуждение антивирусные программы, часто использующие "маски" (отрывки кода, типичные для вирусов). Полиморфные вирусы бывают двух типов:
1. Шифруют собственное "тело" с непостоянным ключом и случайным набором команд дешифратора.
2. Вирусы могут переписывать свой код, то есть, по сути, они сами являются программистами.
Троянский конь – это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются под какие-нибудь полезные утилиты.
Отмечены случаи создания таких программ с целью облегчения распространения вирусов. Списки таких программ широко публикуются в зарубежной печати. Обычно они маскируются под игровые или развлекательные программы и наносят вред под красивые картинки или музыку.
Если вирусы и «троянские кони» наносят ущерб посредством лавинообразного саморазмножения или явного разрушения, то основная функция вирусов типа «червь», действующих в компьютерных сетях, – взлом атакуемой системы.
Руткиты представляют собой более продвинутый вариант троянских коней. Некоторые антивирусные компании не разделяют руткиты и троянцы, относя их к одной категории зловредных программ. Однако троян прячется на компьютере, обычно маскируясь под известную программу, а руткиты используют для маскировки более продвинутые методы, внедряясь глубоко в систему.
Ботнет (botnet произошло от слов robot и network) – это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами – автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности – рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.
Червями называют вирусы, которые распространяются по глобальным сетям, поражая целые системы, а не отдельные программы. Это самый опасный вид вирусов, т. к. объектами нападения в этом случае становятся информационные системы государственного масштаба. Этот вид нарушения безопасности представляет наибольшую угрозу.
Бэкдор, backdoor (back door – чёрный ход) – программы, которые устанавливает взломщик на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе.
Основное назначение – скрытное управление компьютером. Как правило, Backdoor позволяет копировать файлы с пораженного компьютера и наоборот, передавать на пораженный компьютер файлы и программы. Кроме того, Backdoor позволяет получить удаленный доступ к реестру, производить системные операции (перезагрузку ПК, создание новых сетевых ресурсов, модификацию паролей и т.п.).
Опасность Backdoor увеличилась в последнее время в связи с тем, что многие современные сетевые черви или содержат в себе Backdoor-компоненту, или устанавливают ее после заражения ПК. Еще одной особенностью многих Backdoor программ является то, что они позволяют использовать компьютер пользователя для сканирования сети, проведения сетевых атак взлома сетей – при этом попытки взлома ведутся с ПК ничего не подозревающего пользователя.
Кейлоггер (keylogger – это регистратор нажатий клавиш) – ПО, основным назначением которого является скрытый мониторинг нажатий клавиш и ведение журнала этих нажатий или аппаратные средства. Аппаратные кейлоггеры встречаются значительно реже, чем программные, однако при защите важной информации о них ни в коем случае нельзя забывать.
Существует масса легального ПО, которое используется администраторами для наблюдения за тем, что делает работник в течение дня, или для наблюдения пользователем за активностью посторонних людей на своем компьютере. Большинство существующих на данный момент кейлоггеров считаются «легальными» и свободно продаются, т. к. разработчики декларируют множество причин для использования кейлоггеров, например:
- для родителей: отслеживание действий детей в Интернете и оповещение родителей в случае попыток зайти на сайты «для взрослых» (parental control);
- для службы безопасности организации: отслеживание фактов нецелевого использования персональных компьютеров, их использования в нерабочее время;
- для службы безопасности организации: отслеживание фактов набора на клавиатуре критичных слов и словосочетаний, которые составляют коммерческую тайну организации, и разглашение которых может привести к материальному или иному ущербу для организации;
- для различных служб безопасности: проведение анализа и расследования инцидентов, связанных с использование персональных компьютеров;
Кейлоггер абсолютно безопасен. Однако он может быть чрезвычайно опасным для пользователя: с помощью кейлоггера можно перехватить пароли и другую конфиденциальную информацию, вводимую пользователем с помощью клавиатуры. В результате злоумышленник узнает коды и номера счетов в электронных платежных системах, пароли к учетным записям в online-играх, адреса, логины, пароли к системам электронной почты и так далее [1].