Общие понятия о вирусах


Существует класс программ, которые были изначально написаны с целью уничтожения данных на чужом компьютере, похищения чужой информации, несанкционированного использования чужих ресурсов и т. п., или же приобрели такие свойства вследствие каких-либо причин. Такие программы несут вредоносную нагрузку и соответственно называются вредоносными.

Вредоносная программа (malware – сокращение от Malicious Software) – это программа, наносящая какой-либо вред компьютеру, на котором она запускаются, или другим компьютерам в сети.
Классифицировать вредоносные программы удобно по способу проникновения, размножения и типу вредоносной нагрузки.
Все вредоносные программы в соответствии со способами распространения и вредоносной нагрузкой можно разделить на четыре основные типа – компьютерные вирусы, черви, трояны и другие программы.


Вирусы

Основная черта компьютерного вируса – это способность к саморазмножению.

Компьютерный вирус – это программа, способная создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Условно жизненный цикл любого компьютерного вируса можно разделить на пять стадий:

  1. Проникновение на чужой компьютер
  2. Активация
  3. Поиск объектов для заражения
  4. Подготовка копий
  5. Внедрение копий


Пути проникновения вируса – мобильные носители, сетевые соединения. Вирусы не используют сетевые ресурсы – заражение вирусом возможно, при активации его пользователем. Например, скопировал или получил по почте зараженный файл и сам его запустил или просто открыл.

После проникновения следует активация вируса, которая происходит несколькими путями, и в соответствии с выбранным методом вирусы делятся на такие виды:

  1. Загрузочные вирусы - заражают загрузочные сектора жестких дисков и мобильных носителей.
  2. Файловые вирусы– заражают файлы. Отдельно по типу среды обитания в этой группе также выделяют:
    • классические файловые вирусы – они различными способами внедряются в исполняемые файлы (внедряют свой вредоносный код или полностью их перезаписывают), создают файлы-двойники, свои копии в различных каталогах жесткого диска или используют особенности организации файловой системы;
    • макровирусы, которые написаны на внутреннем языке, так называемых макросах какого-либо приложения. Подавляющее большинство макровирусов используют макросы текстового редактора Microsoft Word;
    • скрипт-вирусы, написанные в виде скриптов для определенной командной оболочки – например, bat-файлы для DOS или VBS и JS – скрипты для Windows Scripting Host (WSH).


Отличие вирусов от других вредоносных программ – их жесткая привязанность к операционной системе или программной оболочке, для которой каждый конкретный вирус был написан. Это означает, что вирус для Microsoft Windows не будет работать и заражать файлы на компьютере с другой установленной операционной системой, например Unix.

При подготовке своих вирусных копий для маскировки от антивирусов могут применять такие технологии как:

  • шифрование – в этом случае вирус состоит из двух частей: сам вирус и шифратор;
  • метаморфизм – при применении этого метода вирусные копии создаются путем замены некоторых команд на аналогичные, перестановки местами частей кода, вставки между ними дополнительного, обычно ничего не делающих команд.


Соответственно в зависимости от используемых методов вирусы можно делить на шифрованные, метаморфные и полиморфные, использующие комбинацию двух типов маскировки.
Основные цели любого компьютерного вируса – это распространение на другие ресурсы компьютера и выполнение специальных действий при определенных событиях или действиях пользователя. Специальные действия нередко оказываются вредоносными.


Черви

Черви – это вполне самостоятельные программы. Главной их особенностью также является способность к саморазмножению, однако при этом они способны к самостоятельному распространению с использованием сетевых каналов (сетевой червь).

Червь (сетевой червь) – это вредоносная программа, распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом.

Жизненный цикл червей состоит из таких стадий:

  1. Проникновение в систему
  2. Активация
  3. Поиск объектов для заражения
  4. Подготовка копий
  5. Распространение копий


В зависимости от способа проникновения в систему черви делятся на типы:

  • сетевые черви используют для распространения локальные сети и Интернет;
  • почтовые черви – распространяются с помощью почтовых программ;
  • IM-черви используют системы мгновенного обмена сообщениями. IM (Instant Messenger) – программы обмена сообщениями через Интернет в режиме реального времени. Сообщения могут содержать наряду с текстом картинки, звуковые файлы, видео. К IM-клиентам относятся такие программы как ICQ, MSN Messenger, Skype;
  • IRC-черви распространяются по каналам IRC. IRC (Internet Relay Chat – ретранслируемый интернет-чат) – система обмена сообщениями в режиме реального времени;
  • P2P-черви – при помощи пиринговых файлообменных сетей. P2P (peer-to-peer – равный с равным) – это одноранговые компьютерные сети, то есть такие, где отсутствуют выделенные сервера, а все входящие в нее компьютеры выступают в двух ролях – и клиентом, и сервером.


После проникновения на компьютер, червь должен активироваться – иными словами запуститься. По методу активации все черви можно разделить на две большие группы – на тех, которые требуют активного участия пользователя и тех, кто его не требует. Черви, требующие активного участия, используют обманные методы. Хотя в настоящее время появились черви, которые совместили эти два метода – такие черви наиболее опасны и часто вызывают глобальные эпидемии.
Сетевые черви могут кооперироваться с вирусами – такая пара способна самостоятельно распространяться по сети (благодаря червю) и в то же время заражать ресурсы компьютера (функции вируса).


Трояны

Трояны написаны только с одной целью – нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.

Троян (троянский конь) – программа, основной целью которой является вредоносное воздействие по отношению к компьютерной системе.
Трояны, в большинстве случаев, проникают на компьютеры вместе с вирусом либо червем – то есть такие трояны можно рассматривать как дополнительную вредоносную нагрузку, но не как самостоятельную программу.

Жизненный цикл троянов состоит всего из трех стадий:

  1. Проникновение в систему
  2. Активация
  3. Выполнение вредоносных действий


Проникая самостоятельно, троян выдает себя за полезное приложение, которое пользователь самостоятельно копирует себе на диск и запускает. При этом программа действительно может быть полезна, однако, наряду с основными функциями она может выполнять действия, свойственные трояну.
Попав на компьютер, троян активируется, и здесь он похож на червя – либо требует активных действий от пользователя или же через уязвимости в программном обеспечении самостоятельно заражает систему.

Трояны классифицируются по типу вредоносной нагрузки:

  • клавиатурные шпионы, постоянно находясь в оперативной памяти, записывают все данные, поступающие от клавиатуры с целью последующей их передачи своему автору;
  • похитители паролей предназначены для кражи паролей путем поиска на зараженном компьютере специальных файлов, которые их содержат;
  • утилиты скрытого удаленного управления – это трояны, которые обеспечивают несанкционированный удаленный контроль над инфицированным компьютером. Обычно это возможность скрыто загружать, отсылать, запускать или уничтожать файлы. Такие трояны могут быть использованы, как для получения конфиденциальной информации, так и для запуска вирусов, уничтожения данных;
  • анонимные SMTP-сервера (Simple Mail Transfer Protocol – простой протокол передачи почты) и прокси-сервера – такие трояны на зараженном компьютере организовывают несанкционированную отправку электронной почты, что часто используется для рассылки спама;
  • утилиты дозвона в скрытом от пользователя режиме инициируют подключение к платным сервисам Интернет;
  • модификаторы настроек браузера меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна, имитируют нажатия на рекламные баннеры и т. п.;
  • логические бомбы характеризуются способностью при срабатывании заложенных в них условий (в конкретный день, время суток, определенное действие пользователя или команды извне) выполнять какое-либо действие, например, удаление файлов.


Другие вредоносные программы
Вредоносные программы, для которых нельзя привести общий критерий. Однако среди них можно выделить небольшие группы: – условно опасные программы, то есть такие, о которых нельзя однозначно сказать, что они вредоносны. Такие программы обычно становятся опасными только при определенных условиях или действиях пользователя. К ним относятся:

  • Riskware (Risk Software) – вполне легальные программы, которые сами по себе не опасны, но обладают функционалом, позволяющим злоумышленнику использовать их с вредоносными целями. К riskware относятся обычные утилиты удаленного управления, которыми часто пользуются администраторы больших сетей, клиенты IRC, программы для загрузки файлов из Интернета, утилиты восстановления забытых паролей и другие;
  • adware (Advertisement Software) – рекламное программное обеспечение, условно-бесплатное, которое в качестве платы за свое использование демонстрируют пользователю рекламу, чаще всего в виде графических баннеров. После официальной оплаты и регистрации, обычно показ рекламы заканчивается, и программы начинают работать в обычном режиме. Бывает, что даже после регистрации такие модули могут автоматически не удаляться и продолжать свою работу в скрытом режиме. Однако среди adware-программ есть и вполне заслуживающие доверия – например, клиент ICQ;
  • Pornware (Porno Software) – порнографическое программное обеспечение, которое устанавливается на компьютер пользователя несанкционированно – через уязвимость в операционной системы или браузера или при помощи троянов. Обычно, это делается с целью насильственного показа рекламы платных порнографических сайтов или служб;
  • хакерские утилиты – программы скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов), автоматизации создания сетевых червей, компьютерных вирусов и троянских программ (конструкторы вирусов), наборы программ, которые используют хакеры для скрытного взятия под контроль взломанной системы (RootKit) и другие подобные утилиты. То есть такие специфические программы, которые обычно используют только хакеры;
  • злые шутки (Hoax – ложь, обман и Bad-Joke – плохая шутка) – программы, которые намеренно вводят пользователя в заблуждение путем показа уведомлений о, например, форматировании диска или обнаружении вирусов, хотя на самом деле ничего не происходит. Текст таких сообщений целиком и полностью отражает фантазию автора.