Вымышленное тревожит сильнее. Действительное имеет свою меру, а о том, что доходит неведомо откуда, пугливая душа вольна строить догадки.
Сенека
Компьютерные вирусы. Что это такое и как с этим бороться? На эту тему написаны десятки книг и сотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни (или тысячи) специалистов в десятках (а может быть, сотнях) компаний. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации.
Что такое компьютерный вирус и компьютерный червь?
Компьютерный вирус и компьютерный червь — это вредоносные программы, которые способны воспроизводить себя на компьютерах или через компьютерные сети. При этом пользователь может и не подозревать о заражении своего компьютера. Так как каждая последующая копия вируса или компьютерного червя также способна к самовоспроизведению, заражение распространяется очень быстро. Существует очень много различных типов компьютерных вирусов и компьютерных червей, большинство которых обладают высокой способностью к разрушению.
Что нужно знать о компьютерных вирусах и червях
Вредоносное программное обеспечение из подкласса вирусов и червей включает:
· Email-Worm
· IM-Worm
· IRC-Worm
· Net-Worm
· P2P-Worm
· Virus
Компьютерные черви
Большинство известных компьютерных червей распространяется следующими способами:
· в виде файла, отправленного во вложении в электронном письме;
· в виде ссылки на интернет - или FTP-ресурс
· в виде ссылки, переданной через сообщение ICQ или IR
· через пиринговые сети обмена данными P2P (peer-to-peer)
· некоторые черви распространяются как сетевые пакеты. Они проникают прямо в компьютерную память, затем активируется код червя.
Компьютерные черви могут использовать ошибки конфигурации сети (например, чтобы скопировать себя на полностью доступный диск) или бреши в защите операционной системы и приложений. Многие черви распространяют свои копии через сеть несколькими способами.
Вирусы
Вирусы можно классифицировать в соответствии с тем, каким способом они заражают компьютер:
· Файловые вирусы
· Вирусы загрузочного сектора
· Макровирусы
· Вирусные скрипты
Любая программа данного подкласса вредоносного ПО в качестве дополнительных может иметь и функции троянской программы.
Какие условия нужны для распространения вредоносных программ
Вредоносное программное обеспечение может атаковать операционные системы (ОС) или приложения, если ОС или приложения способны выполнять программы, которые не входят в их состав. Такая возможность есть у всех популярных операционных систем для настольных компьютеров и многих офисных приложений, графических редакторов и программ для дизайна, а также других программных сред со встроенными языками сценариев.
Поэтому все такие популярные ОС и приложения уязвимы для атак вредоносных программ.
Не все ОС и приложения подвергаются атакам
Компьютерные вирусы, черви и троянские программы написаны для очень многих ОС и приложений. Однако существуют другие операционные системы и приложения, для которых вредоносные программы еще не обнаружены. Какова разница между этими двумя группами ОС и приложений?
Три условия, которые необходимы для появления и распространения вредоносных программ
Обычно вредоносная программа для каждой конкретной ОС или приложения появляется при соблюдении следующих трех условий:
· Скорость внедрения и популярность ОС
ОС широко используется
· Доступность документации
Существует подробная документация по ОС
· Наличие уязвимостей и эксплойтов к ним
ОС не защищена или есть известные уязвимости в ОС или приложении
Виды шпионского ПО
Категория Adware, Pornware и Riskware включает легально разработанные программы, которые в определенных случаях могут представлять особую опасность для пользователей компьютеров (действуя так же, как шпионское программное обеспечение).
Хотя многие из таких программ, вероятно, разработаны и распространяются легальными компаниями, они могут иметь функции, которые используются некоторыми создателями вредоносных программ во вредоносных или незаконных целях.
Что такое Adware?
Adware — это программы, которые предназначены для показа рекламы на вашем компьютере, перенаправления запросов поиска на рекламные веб-сайты и сбора маркетинговой информации о вас (например, какого рода сайты вы посещаете), чтобы реклама соответствовала вашим интересам.
Adware-программы, которые собирают данные с вашего согласия, не следует путать с троянскими программами-шпионами, которые собирают информацию без вашего разрешения и ведома. Если Adware-программа не уведомляет о сборе информации, онасчитается вредоносной, например, вредоносная программа троянец-шпион (Trojan-Spy).
Что нужно знать о программах Adware
За исключением показа рекламы и сбора данных такие программы, как правило, не проявляют своего присутствия в системе. Обычно у такой программы отсутствует значок на панели задач, и в меню программ она тоже отсутствует.
Adware-программы могут попасть на ваш компьютер двумя основными путями.
· С бесплатным или условно-бесплатным программным обеспечением
Adware-программы могут входить на вполне законных основаниях в состав некоторых бесплатных или условно-бесплатных программ в качестве рекламной составляющей. Доходы от такой рекламы помогают финансировать их разработку.
· Через зараженные веб-сайты
Посещение зараженного веб-сайта может привести к несанкционированной установке Adware-программы на ваш компьютер. В этих целях часто используются хакерские технологии. Например, для проникновения на компьютер может использоваться уязвимость браузера и троянская программа, предназначенная для незаметной установки Adware. Действующие таким образом Adware-программы часто называют Browser Hijackers.
Как защититься от Adware-программ
Часто Adware-программы не имеют процедуры удаления и могут использовать технологии, подобные тем, что используют вирусы для проникновения на компьютер и незаметного запуска. Однако так как Adware-программы могут присутствовать на вашем компьютере на законных основаниях, антивирусные решения не всегда могут определить степень опасности конкретной Adware-программы.
· Удаление Adware-программ
Существует много причин, чтобы подозревать, что Adware-программа, обнаруженная антивирусом, представляет собой угрозу. Например, если вы не давали согласия на установку программы и не знаете о ее происхождении и у вас появились сомнения в том, что она не опасна. В таких случаях антивирусное программное обеспечение поможет избавиться от такой Adware-программы.
· Отказ от обнаружения Adware-программ
В том случае если Adware-программа обнаружена антивирусом, но вы уверены в том, что это разрешенная вами программа, можно принять решение о том, что эта программа не нанесет вреда вашим устройствам или данным. Можно отключить детектирование таких программ. Кроме того, конкретные программы можно добавить в список исключений, чтобы антивирусное ядро не отмечало их как вредоносные.
Многие бесплатные или условно-бесплатные программы перестают отображать рекламу после их регистрации или приобретения. Однако в некоторых программах используются сторонние Adware-утилиты. Иногда такие утилиты остаются установленными на компьютере пользователя и после регистрации или приобретения программы. В некоторых случаях удаление Adware-компонента может привести к нарушению функционирования программы.
Что такое Pornware?
Pornware — это программы, отображающие на устройстве порнографический контент. Кроме программ, намеренно устанавливаемых некоторыми пользователями на свои компьютеры и мобильные устройства для поиска и отображения порнографического контента, категория Pornware также включает программы, установленные со злонамеренной целью без уведомления пользователя об их присутствии. Обычно целью установки таких программ является рекламирование платных порнографических веб-сайтов и сервисов.
Что нужно знать о Pornware
Вирусописатели могут использовать неисправленные уязвимости в популярных приложениях и операционных системах для установки Pornware-программ на ваш компьютер, планшет или смартфон. Кроме того, заражение устройств Pornware-программами возможно с помощью троянских программ, таких как Trojan-Downloader и Trojan-Dropper. Некоторые примеры Pornware-программ:
· Porn-Dialer
Программы, дозванивающиеся до телефонных служб «для взрослых», телефонные номера и/или специальный код которых сохранены в теле таких программ.
В отличие от вредоносных программ программы дозвона уведомляют пользователя о совершаемых ими действиях.
· Porn-Downloader
Такие программы загружают из интернета на компьютер пользователя порнографические мультимедийные файлы.
В отличие от вредоносных программ программы типа Porn-Downloader уведомляют пользователя о совершаемых ими действиях.
· Porn-Tool
Программы типа Porn-Tool осуществляют поиск и отображение порнографического контента на компьютере пользователя. Например, это могут быть специальные панели инструментов для веб-браузеров и специальные проигрыватели видеороликов.
Как защититься от Pornware-программ
Так как Pornware-программы могут сознательно загружаться пользователями, антивирусные решения не всегда могут определить, опасна ли конкретная Pornware-программа для устройства пользователя
· Обнаружение и удаление Pornware-программ
Существует много причин, чтобы подозревать обнаруженную Pornware-программу в том, что она представляет собой угрозу. Например, пользователь не устанавливал программу и не знает о ее происхождении. При необходимости антивирусное программное обеспечение поможет пользователю избавиться от Pornware-программы.
· Отказ от обнаружения Pornware-программ
В том случае если Pornware-программа обнаружена антивирусом, но пользователь уверен в том, что она загружена им сознательно, он может принять решение о том, что эта программа не нанесет вреда его устройствам или данным.
Что такое Riskware?
К категории Riskware относят легальные программы, которые могут причинить вред компьютеру, если используются злоумышленниками для удаления, блокирования, изменения или копирования данных, а также для нарушения работы компьютеров и сетей. В категорию Riskware входят следующие виды программ, которые широко используются в легальных целях:
· утилиты удаленного администрирования;
· программы-клиенты IRC;
· программы дозвона;
· программы для загрузки файлов;
· программное обеспечение для мониторинга активности компьютеров;
· утилиты управления паролями;
· серверные веб-службы, такие как FTP, Web, Proxy и Telnet.
По своему назначению это не вредоносные программы, но некоторые их функции могут быть использованы во вредоносных целях.
Что надо знать о Riskware
При таком большом количестве легальных программ, которые злоумышленники могут использовать в незаконных целях, нелегко решить, какие из программ представляют угрозу. Например, программы удаленного администрирования часто используются системными администраторами и службами поддержки клиентов для диагностики и устранения неполадок, возникающих на компьютерах пользователей. Однако если такая программа установлена на вашем компьютере злоумышленником (без вашего ведома), он получит удаленный доступ к вашему компьютеру. Полностью контролируя ваш компьютер, злоумышленник сможет использовать его практически в любых нужных ему целях.
· Зарегистрированы случаи секретной установки легальных программ удаленного администрирования, таких как WinVNC, для получения полного удаленного доступа к компьютеру.
· В качестве другого примера можно взять утилиту mIRC — легальную сетевую программу-клиент IRC, которая может использоваться злоумышленниками в незаконных целях. Часто вредоносные программы устанавливают программу-клиент mIRC для последующего вредоносного использования. В таких случаях mIRC обычно сохраняется в папке Windows и вложенных в нее папках. Поэтому обнаружение mIRC в этих папках почти всегда указывает на заражение компьютера вредоносной программой.
Существуют следующие виды Riskware-программ:
· Client-IRC
· Client-P2P
· Client-SMTP
· Dialer
· Downloader
· Fraud Tool
· Monitor
· NetTool
· PSWTool
· RemoteAdmin
· RiskTool
· Server-FTP
· Server-Proxy
· Server-Telnet
· Server-Web
· WebToolbar
Как защититься от Riskware-программ
Так как Riskware-программы могут присутствовать на компьютере на законных основаниях, антивирусы не всегда могут определить степень опасности конкретной Riskware-программы.
· Обнаружение и удаление Riskware-программ
Существует много причин, чтобы подозревать обнаруженную антивирусной программой Riskware-программу в том, что она представляет собой угрозу. Например, если вы не давали согласия на установку программы и не знаете о ее происхождении, или у вас появились сомнения в ее безопасности. В таких случаях антивирусное программное обеспечение поможет избавиться от такой Riskware-программы.
· Отказ от обнаружения Riskware-программ
Если при обнаружении Riskware-программ вы уверены в том, что это разрешенные вами программы, можно принять решение о том, что такие Riskware-программы не вредны для ваших устройств или данных.
Что такое троянская программа?
Троянские программы — это вредоносные программы, выполняющие несанкционированные пользователем действия. Такие действия могут включать:
· удаление данных;
· блокирование данных;
· изменение данных;
· копирование данных;
· замедление работы компьютеров и компьютерных сетей
В отличие от компьютерных вирусов и червей троянские программы неспособны к самовоспроизведению.
Что нужно знать о троянских программах
Троянские программы классифицируются в соответствии с типом действий, выполняемых ими на компьютере.
· Бэкдоры
Троянская программа бэкдор предоставляет злоумышленникам возможность удаленного управления зараженными компьютерами. Такие программы позволяют автору выполнять на зараженном компьютере любые действия, включая отправку, получение, открытие и удаление файлов, отображение данных и перезагрузку компьютера. Троянцы-бэкдоры часто используются для объединения группы компьютеров-жертв в ботнет или зомби-сеть для использования в криминальных целях.
· Эксплойты
Эксплойты — это программы с данными или кодом, использующие уязвимость в работающих на компьютере приложениях.
· Руткиты
Руткиты — это программы, предназначенные для сокрытия в системе определенных объектов или действий. Часто основная их цель — предотвратить обнаружение вредоносных программ, чтобы увеличить время работы этих программ на зараженном компьютере.
· Банковские троянцы
Банковские троянцы (Trojan-Banker) предназначены для кражи учетных данных систем интернет-банкинга, систем электронных платежей и кредитных или дебетовых карт.
· DDoS-троянцы
Эти программы предназначены для проведения атак типа «отказ в обслуживании» (Denial of Service, DoS) по целевым веб-адресам. При такой атаке с зараженных компьютеров системе с определенным адресом отправляется большое количество запросов, что может вызвать ее перегрузку и привести к отказу в обслуживании.
· Trojan-Downloader
Программы Trojan-Downloader способны загружать и устанавливать на компьютер-жертву новые версии вредоносных программ, включая троянские и рекламные программы.
· Trojan-Dropper
Эти программы используются хакерами, чтобы установить троянские программы и/или вирусы или предотвратить обнаружение вредоносных программ. Не каждая антивирусная программа способна выявить все компоненты троянских программ этого типа.
· Trojan-FakeAV
Программы типа Trojan-FakeAV имитируют работу антивирусного программного обеспечения. Они созданы, чтобы вымогать деньги у пользователя в обмен на обещание обнаружения и удаления угроз, хотя угроз, о которых они сообщают, в действительности не существует.
· Игровые троянцы
Программы этого типа крадут информацию об учетных записях участников сетевых игр.
· IM-троянцы
Программы Trojan-IM крадут логины и пароли к программам мгновенного обмена сообщениями, таких как ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и многие другие.
· Trojan-Ransom
Троянские программы этого типа могут изменить данные на компьютере таким образом, что компьютер перестает нормально работать, а пользователь лишается возможности использовать определенные данные. Злоумышленник обещает восстановить нормальную работу компьютера или разблокировать данные после уплаты запрашиваемой суммы.
· SMS-троянцы
Такие программы отправляют текстовые сообщения с мобильного устройства на платные телефонные номера с повышенным тарифом, тратя ваши деньги.
· Шпионские программы
Программы типа Trojan-Spy способны скрыто наблюдать за использованием компьютера, например, отслеживая вводимые с клавиатуры данные, делая снимки экрана и получая список работающих приложений.
· Trojan-Mailfinder
Такие программы способны собирать на вашем компьютере адреса электронной почты.
Также встречаются другие виды троянских программ:
· Trojan-ArcBomb
· Trojan-Clicker
· Trojan-Notifier
· Trojan-Proxy
· Trojan-PSW
Как защититься от троянских программ
Установив эффективное программное обеспечение для защиты от вредоносных программ, или просто, антивирус, можно защитить от троянских программ свои мобильные устройства, включая ПК, ноутбуки, компьютеры Mac, планшеты и смартфоны.
Из материалов Лаборатории Касперского