У каждой компании-разработчика антивирусного программного обеспечения существует собственная корпоративная классификация и номенклатура вредоносных программ. Приведённая в этой статье классификация основана на номенклатуре «Лаборатории Касперского».
§ Помехи в работе заражённого компьютера: начиная от открытия-закрытия поддона CD-ROM и заканчивая уничтожением данных и поломкой аппаратного обеспечения. Поломками известен, в частности, Win32.CIH.
§ Блокировка антивирусных сайтов, антивирусного ПО и административных функций ОС с целью усложнить лечение.
§ Саботирование промышленных процессов, управляемых компьютером (этом известен червь Stuxnet).
§ Инсталляция другого вредоносного ПО.
§ Загрузка из сети (downloader).
§ Распаковка другой вредоносной программы, уже содержащейся внутри файла (dropper).
§ Кража, мошенничество, вымогательство и шпионаж за пользователем. Для кражи может применяться сканирование жёсткого диска, регистрация нажатий клавиш (Keylogger) и перенаправление пользователя на поддельные сайты, в точности повторяющие исходные ресурсы.
§ Похищение данных, представляющих ценность или тайну.
§ Кража аккаунтов различных служб (электронной почты, мессенджеров, игровых серверов…). Аккаунты применяются для рассылки спама. Также через электронную почту зачастую можно заполучить пароли от других аккаунтов, а виртуальное имущество в MMOG — продать.
§ Кража аккаунтов платёжных систем.
§ Блокировка компьютера, шифрование файлов пользователя с целью шантажа и вымогательства денежных средств (см. Ransomware). В большинстве случаев после оплаты компьютер или не разблокируется, или вскоре блокируется второй раз.
§ Использование телефонного модема для совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах.
§ Платное ПО, имитирующее, например, антивирус, но ничего полезного не делающее (fraudware или scareware). Также бывали случаи, когда продавали ClamAV под собственным брендом; подчас дороже, чем антивирус Касперского.
§ Прочая незаконная деятельность:
§ Получение несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него, в том числе прямое управление компьютером (так называемый backdoor).
§ Организация на компьютере открытых релеев и общедоступных прокси-серверов.
§ Заражённый компьютер (в составе ботнета) может быть использован для проведения DDoS-атак.
§ Сбор адресов электронной почты и распространение спама, в том числе в составе ботнета.
§ Накрутка электронных голосований, щелчков по рекламным баннерам.
§ Генерация монет платёжной системы Bitcoin.
§ Причинение вреда здоровью человека. Например:
§ Показ на экране компьютера изображений, опасных для слабонервных людей. Например, если человек страдает от светочувствительной эпилепсии, мерцание света и большой контраст могут вызывать припадки.
§ Файлы, не являющиеся истинно вредоносными, но в большинстве случаев нежелательные:
§ Шуточное ПО, делающее какие-либо беспокоящие пользователя вещи.
§ Adware — программное обеспечение, показывающее рекламу.
§ Spyware — программное обеспечение, посылающее через интернет не санкционированную пользователем информацию.
§ «Отравленные» документы, дестабилизирующие ПО, открывающее их (например, архив размером меньше мегабайта может содержать гигабайты данных и надолго «завесить» архиватор).
§ Программы удалённого администрирования могут применяться как для того, чтобы дистанционно решать проблемы с компьютером, так и для неблаговидных целей.
§ Руткит нужен, чтобы скрывать другое вредоносное ПО от посторонних глаз.
§ Иногда вредоносное ПО для собственного «жизнеобеспечения» устанавливает дополнительные утилиты: IRC-клиенты[4], программные маршрутизаторы[5], открытые библиотеки перехвата клавиатуры…[6] Такое ПО вредоносным не является, но из-за того, что за ним часто стоит истинно вредоносная программа, детектируется антивирусами. Бывает даже, что вредоносным является только скрипт из одной строчки, а остальные программы вполне легитимны.[7]
По методу размножения
§ Эксплойт — теоретически безобидный набор данных (например, графический файл или сетевой пакет), некорректно воспринимаемый программой, работающей с такими данными. Здесь вред наносит не сам файл, а неадекватное поведение ПО с ошибкой. Также эксплойтом называют программу для генерации подобных «отравленных» данных.
§ Логическая бомба в программе срабатывает при определённом условии, и неотделима от полезной программы-носителя.
§ Троянская программа не имеет собственного механизма размножения.
§ Компьютерный вирус размножается в пределах компьютера и через сменные диски. Размножение через сеть возможно, если пользователь сам выложит заражённый файл в сеть. Вирусы, в свою очередь, делятся по типу заражаемых файлов (файловые, загрузочные, макро-, автозапускающиеся); по способу прикрепления к файлам (паразитирующие, «спутники» и перезаписывающие) и т. д.
§ Сетевой червь способен самостоятельно размножаться по сети. Делятся на IRC-, почтовые, размножающиеся с помощью эксплойтов и т. д.
Вредоносное ПО может образовывать цепочки: например, с помощью эксплойта (1) на компьютере жертвы развёртывается загрузчик (2), устанавливающий из интернета червя (3).
Симптомы заражения
§ автоматическое открытие окон с незнакомым содержимым при запуске компьютера;
§ блокировка доступа к официальным сайтам антивирусных компаний, или же к сайтам, оказывающим услуги по «лечению» компьютеров от вредоносных программ;
§ появление новых неизвестных процессов в окне «Процессы» диспетчера задач Windows;
§ появление в ветках реестра, отвечающих за автозапуск, новых записей;
§ запрет на изменение настроек компьютера в учётной записи администратора;
§ невозможность запустить исполняемый файл (выдаётся сообщение об ошибке);
§ появление всплывающих окон или системных сообщений с непривычным текстом, в том числе содержащих неизвестные веб-адреса и названия;
§ перезапуск компьютера во время старта какой-либо программы;
§ случайное и/или беспорядочное отключение компьютера;
§ случайное аварийное завершение программ.
Однако, следует учитывать, что несмотря на отсутствие симптомов, компьютер может быть заражен вредоносными программами.