Виды вредоносных (деструктивных) программ

Вредоносные (или деструктивные) программы – это программы, предназначенные для несанкционированного уничтожения, блокирования, модификации либо копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети.

Вредоносные программы можно разделить на несколько видов:

Вирус (Virus) - программа, размножающаяся путем создания и распространения своих, возможно измененных, копий. Вирус занимает дисковое пространство, оперативную память, может мешать корректной работе программ и содержать в себе деструктивные компоненты.

Червь (Worm) - одна из разновидностей компьютерных вирусов. В отличие от других, не заражает (не модифицирует) существующие файлы, а создает свои собственные, в которых в чистом виде содержится тело червя. Делятся на файловые, архивные, сетевые (Net-Worm), почтовые (Email-Worm).

Файловый червь — создает свои копии в файлах (со случайными или генерирующимися по определенным правилам именами), располагающихся в тех или иных папках. Делается ставка на психологический фактор: пользователь, обнаружив неизвестный исполнимый файл, запустит его, чтобы посмотреть, что же это за программа.

Архивный червь — дописывает свои копии к существующим или создаваемым архивам (как правило, используется метод store, т.е. без сжатия, как наиболее быстрый - вирусу не требуется знать алгоритм архивации, достаточно только сделать заголовок определенного формата). За счет того, что для ускорения работы антивируса очень часто отключается проверка архивов, данный тип вирусов благополучно выживает. Поскольку архивы создаются либо для передачи файлов пс каналам связи, либо для длительного хранения информации, такой способ позволяет вирусам эффективно размножаться.

Сетевой червь - имеет встроенные возможности (функции) для работы с сетью и рассылки себя на другие компьютеры сети. Некоторые источники ошибочно относят Р2Р-червей (т.е. использующих возможности Р2Р-сетей типа Kazaa, Gnutella, eDonkey и других) к числу сетевых червей, однако они не имеют возможностей работы с сетью и лишь создают файлы на диске (в папках) локального компьютера в надежде на то, что зараженные папки будут использоваться при работе Р2Р-клиентов. Поэтому Р2Р-червей было бы правильнее относить к файловым червям.

Почтовый червь - рассылает себя по адресам электронной почты, используя для этого имеющиеся на компьютере почтовые программы или встроенные функции работы с SMTP-сервером. Списки почтовых адресов могут генерироваться случайным образом, а могут искаться в специфических файлах (адресные книги, текстовые документы) на зараженном компьютере. (Стоит отметить, что все последующие перечисленные вредоносные программы не относятся к числу вирусов, поскольку не имеют возможностей самостоятельного распространения).

Деструктивный троянский конь (Trojan) - программа, содержащая деструктивные недокументированные возможности, маскирующаяся под полезную программу, приводящая к несанкционированному уничтожению, блокированию, модификации, копированию информации, нарушению работы ЭВМ и сетей при запуске или в другой момент времени (при выполнении определенных условий). Маскировка используется для проникновения на компьютер под благовидным предлогом, а недокументированные функции проявляются уже после проникновения.

Шпион (Spy) - программа, осуществляющая не санкционированный доступ (НСД) к охраняемой законом информации, например к логинам и паролям пользователей. К шпионам относятся Keylogger (клавиатурный шпион), Spoofer (имитаторы приглашений для ввода атрибутов доступа), PSW (Password Stealer Ware -сборщики паролей), Sniffer (перехватчики передаваемых пакетов в локальной сети).

Клавиатурный шпион (KeyLogger, кейлоггер, от англ. «key logger» -«сохраняющий клавиши») - программа, сохраняющая все нажатые пользователем клавиши в специальный файл, возможно с последующее отправкой его злоумышленнику. Некоторые кейлоггеры позволяют ограничить окна, нажатия клавиш в которых нужно сохранять. В первую очередь интересны клавиши, нажимаемые в окнах с определенным заголовком (например, содержащим текстовые строки «Вход в систему», «Аутентификация», «Введите пароль», «Регистрация») и в окнах, г;; вводимые символы заменяются звездочками.

Сниффер (Sniffer, от англ. sniff - «нюхать») - программа для перехвата идущей по локальной сети информации. Некоторые снифферы умеют автоматически разбирать формат перехваченных пакетов и извлекать из них пароли, скачиваемые файлы и другую интересную информацию. Существуют узкоспециализированные снифферы, например для сбора UIN и паролей от программы ICQ.

Спуфер (Spoofer) - программа, позволяющая получать НСД к логинам и паролям пользователей, путем имитации приглашения входа в систему или регистрации для работы с программой (так называемый спуфинг. Spoofing). Все вводимые пароли сохраняются или отсылаются злоумышленнику, после чего спуфер имитирует ошибку ввода пароля и/или запускает настоящую программу входа в систему (иногда даже автоматически передает ей введенную информацию). Спуфер может быть запущен на компьютере даже пользователем с минимальными правами в системе. Для защиты от спуферов не стоит доверять приглашениям входа в систему или программу, если они инициализированы не Вами - нужно перезагрузить компьютер или самостоятельно запустить программу.

Программа удаленного администрирования (RAT, remote access trojan, remote access tool, бэкдор, backdoor, от англ. «back door» - «задняя дверь», «черный ход») - программа, предоставляющая удаленному пользователю возможности по управлению зараженным компьютером (доступ ко всем ресурсам), приводит к нарушению работы ЭВМ.

Клей (Dropper, Binder) - программа, для сокрытия другой вредоносной программы, путем «склеивания» ее с безвредным файлом (программой); приводят к несанкционированному копированию информации, нарушению работы ЭВМ.

Сканер портов (Port Scanner) - программа для просмотра открытых сетевых портов удаленного компьютера, определения параметров и характеристик программной и аппаратной среды; используются при подготовке к использованию других вредоносных программ; приводят к нарушению работы ЭВМ или их сети.

Кликер (Clicker) - программа, для накручивания счетчиков (посещения страниц, показа баннеров), увеличения популярности сайта в поисковиках, несанкционированно использует ресурсы компьютера, увеличивает трафик, тем самым приводят к нарушению работы ЭВМ или их сети.

Рекламная программа (AdWare, SpyWare) - программа для демонстрации рекламных окон, открытия рекламируемых сайтов. Помимо этого может следить за действиями пользователя (посещенные сайты, введенные строки для поиска) и работать совместно с другими вредоносными программами.

Шутка (Hoax, Joke) - программа, призванная испугать пользователя и спровоцировать его на действия, которые приведут к нанесению ущерба. Может маскироваться под полезную программу.

«Звонилка» (Dialer, PornWare) - программа для осуществления автоматического звонка через модем на международный телефонный номер, тарифицирующийся по особым (завышенным) тарифам или связь с которым осуществляется по каналам спутниковой связи. Единственным назначением таких звонков является извлечение прибыли. Звонки могут быть осуществлены одним из следующих способов:
- в списке соединений создается новое с привлекательным названием, в надежде на то, что пользователь воспользуется им из Интернета;
- изменяются настройки существующих соединений (подменяется телефонный номер);
- звонок осуществляется самой программой при обнаружении отсутствия пользователя на рабочем месте (такой вывод делается в том случае, если пользователь несколько минут не работал мышью и не нажимал клавиши клавиатуры);
- во время работы в сети Интернет через местного провайдера соединение разрывается вредоносной программой и осуществляется соединение с международным номером (под видом восстановления разорванного соединения);
- контролируется инициализация модемного звонка и в оперативной памяти осуществляется подмена телефонного номера, к которому идет обращение.

Хиджакер (Hijacker) - программа, осуществляющая несанкционированную пользователем перенастройку системы (например, смена обоев рабочего стола, обработчиков файлов по умолчанию), как правило, браузера (например, смена стартовой страницы, страницы поиска, соответствия префиксов протоколов).

Руткит (Rootkit) - программа (или технология) для перехвата системных функций операционной системы для маскировки своего присутствия в системе (процессов в памяти, файлов и папок на диске, ключей реестра), получения системных привилегий, затруднения удаления вредоносной программы. Могут использовать установку собственного драйвера или сервиса.