Вредноносное ПО — malware (от malicious software).
Классификация malware:
1. Люки (лазейки) — программный код, реагирующий на специальную команду, позволяющий тому кто знает о существовании люка получить доступ в обход стандартных процедур защиты.
2. Логические бомбы — программный код, внедрённый в какую-либо полезную программу, который должен выполниться при наступлении определённых условий.
3. Вирусы — самовоспроизводящаяся программа, которая использует для репликации другой файл или другой программный код в качестве хозяина. Инфецирование вирусом означает, что вирус создал копию самого себя (репликацию) и поместил свой код в файл хозяина, чтобы выполняться всякий раз вместе с файлом хозяина. Повреждающая подпрограмма вируса называется «полезной нагрузкой». Вирусы могут инфецировать файлы программ (файловые вирусы), файлы с данными, загрузочные сектора (загрузочные вирусы), таблицу разделов жесткого диска, макрокоманды и т. д.
1. Нерезидентные — если после выполнения выгружаются из памяти.
2. Резидентные — после запуска остаются в памяти.
Так же бывают файловыми (паразитными), макровирусами, загрузочными и т. д. Основная масса вирусов многокомпонентные.
Полиморфный вирус — вирус, код которого изменяется при каждом новом заражении (например, с помощью шифрования), что усложняет его обнаружение сигнатурными сканерами.
4. Сетевые вирусы (черви) — вид вирусов, которые проникают на компьютер жертвы без участия пользователя, используя уязвимости в программном обеспчечении. Черви могут использвовать для распространения электронную почту или сетевые соединения. Во время работы на отдельном компьютере червь может вести себя как компьютерный вирус, внедрять троянцев или же выполнять какие-либо другие разрушительные действия.
|
5. Троянцы — полезная или кажущаяся полезной программа, содержащая скрытый код, которая, после запуска программы-носителя, выполняет нежелательные или разрушительные функции. Типы троянцев:
1. Разрушительные троянцы
2. Троянские программы удалённого доступа — позволяют хакерам входить в системы и получать контроль над ними, состоят из двух частей — серверной, устанавливаемой на атакуемой машине и клиентской, используемые хакером для контроллирования системы.
3. Перехватчики (key-logger) — запоминают информацию, вводимую пользователем с клавиатуры.
4. Трояны-зомби — инфицируют компьютер и ожидают, когда создавший их хакер прикажет им атаковать другие компьютеры. Такие объёдинённые с помощью троянцев компьютеры образуют зомби-сети или ботнеты и могут быть использованы, в частности, для DDOS-атак.
5. Троян-загрузчик (dropper) — позволяет закачивать и скачивать файлы, среди которых могут быть и вирусы.
6. Блокираторы (locker) — вредоносное ПО, нарушающее работоспособность компьютера, посредством полной или частичной блокировки ОС или шифрования файлов и вымогающее деньги у пользователя за его восстановление.
7. И т. д.
6. Рекламное и шпионское ПО (Adware и Spyware). Adware — программы, осуществляющие демонстрацию нежелательной рекламы помимо остальной функциональности. Рекламные модули используются для доставки рекламы в браузер или основному приложению.
Spyware — программы, отслеживающие активность пользователя в интернете и также могут рассылать целевые рекламные объявления.
|
Защита от вирусов
Антивирусная программа — программа для обнаружения и лечения других программ, зараженных компьютерными вирусами, а так же для предотвращения заражения компьютера вирусами. Антивирусное ПО обычно использует следующие основные методы обнаружения вирусов:
1. Сигнатурный метод
Сигнатура — характерный фрагмент вируса, то есть короткая последовательность байтов, извлечённая из тела определённого вируса. Сигнатурный метод — метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса и если совпадение с сигнатурой есть, антивирусная защита считает данный файл инфицированным. Сигнатурные сканеры обнаруживают только известные вирусы. Развитием сигнатурного подхода можно считать облачные антивирусы, в которых выделяется клиентская и серверная части. Клиентская часть имеет минимальный размер, устанавливается на машины пользователей и содержит в своём составе движок, сканирующий данные и отправляющий контрольные суммы файлов на сервер. Расположенный в облаках сервер принимает от клиентов хеши файлов, ищет их в базе сигнатур вирусов и выдаёт свой вердикт относительно чистоты присланных данных. В случае обнаружения зловредов, сервер отсылает клиенту соответствующие скрипты, выполнение которых очищает пользовательский компьютер от вредоносных объектов.
2. Эвристический метод
Эвристики — правила, с помощью которых поиск вирусов осуществляется не по точным сигнатурам, а по необычным последовательностям программного кода. Эвристический метод обнаруживает вирусы путём тщательного исследования полной структуры программы, её компьютерных команд и других данных, содержащихся в файле. Эвристический анализатор выделяет последовательность операций, каждой из которых присваивает некоторую оценку опасности и по совокупности оценок принимает решение о том, является ли данная последовательность операций частью вредоносного кода, причём сам код не выполняется. Эвристический сканер может сделать вывод о вероятном наличии вируса, а так же обнаруживать неизвестные вирусы.
|
3. Песочница (виртуализация)
Данная технология позволяет выполнять подозрительные программы в изолированной и защищенной среде, в которой даже в случае заражения вирусом вреда основной системе нанесено не будет. Существует 3 базовые модели изоляции пространства от остальной системы:
1. Изоляция на основе полной виртуализации — заключается в использовании движка виртуальной машины в качестве защитного слоя над операционной системой.
2. Изоляция на основе частичной виртуализации файловой системы и реестра (процессом, запущенным в песочнице подставляются не реальные объекты файловой системы и реестра, а их дубликаты).
3. Изоляция на основе правил — все попытки изменения объектов файловой системы или реестра не виртуализируются, а рассматриваются с точки зрения набора внутренних правил средства защиты.
Основные методы принятия решений о помещении выполняемого приложения в песочницу:
· На основе правил запуска приложений
· На основе эвристических подходов
Антивирусные песочницы могут работать либо в режиме постоянной защиты, либо в режиме ручной защиты.
4. Проактивная защита (блокираторы поведения)
Данные антивирусы представляют собой резидентные программы, выявляющие вирусы по выполняемым ими действиям, а не по их коду в инфецированной программе. Для них не требуется постоянно обновлять базу данных сигнатур и эвристик, а достаточно определить набор действий, характеризующих возможные проявления вируса (например модификация критических системных параметров, модификация логики исполняемых файлов, сценариев, макросов и т.д.).