Avant de commencer à écrire cet article, j'ai rencontré l'un des fondateurs de l'industrie antivirus nationale. Eugène Kaspersky, qui m'a donné quelques chiffres sur l'état du marché russe et mondial des antivirus. J'ai également parlé avec un représentant de la célèbre société antivirus DialogNauka, responsable du travail avec les gros clients, Maxim Skida. De la conversation, j'ai appris un fait intéressant : il s'avère que l'industrie antivirus est sur le point de célébrer sa première décennie.

Bien entendu, les antivirus sont apparus il y a plus de dix ans. Cependant, au début, ils étaient distribués comme antidote gratuit. Il n'y avait pas de dû assistance technique, puisque les projets étaient à but non lucratif. En tant qu'industrie, le service de création et de fourniture de programmes antivirus a pris forme vers 1992, pas avant, ce qui signifie qu'il fêtera bientôt son dixième anniversaire. Dix ans, c'est une période très courte pour la naissance et le développement de toute une industrie avec un chiffre d'affaires de plusieurs centaines de millions de dollars. Pendant ce temps, un marché complètement nouveau est apparu, une certaine liste de produits a été constituée et tant de nouveaux termes sont apparus qu'ils suffiraient pour une encyclopédie entière. A noter qu'il est parfois même difficile pour un utilisateur inexpérimenté de distinguer un terme scientifique d'un nom commercial. Bien entendu, pour utiliser des programmes antivirus, il n'est pas nécessaire de connaître tous les détails de la structure et du comportement des virus, mais d'avoir une compréhension générale des principaux groupes de virus qui se sont formés à ce jour, des principes qui les sous-tendent. les algorithmes malware et la façon dont les marchés antivirus mondial et russe sont divisés sera utile à un éventail assez large de lecteurs auxquels cet article s'adresse.

Dix ans de développement du marché des antivirus en Russie

Comme nous l'avons déjà souligné, le marché des antivirus est à la veille de son dixième anniversaire. C’est en 1992 que la JSC DialogNauka a été créée, ce qui a marqué le début de la promotion active du célèbre programme Aidstest de Lozinsky sur le marché intérieur ; Depuis lors, Aidstest a commencé à être distribué sur une base commerciale.

À peu près à la même époque, Evgeny Kaspersky a organisé un petit département commercial au sein de KAMI, qui employait initialement trois personnes. Toujours en 1992, le programme McAfee VirusScan conquiert rapidement le marché américain. En Russie, le marché se développait assez lentement à cette époque, et au moins en 1994 (Fig. 1), le tableau ressemblait à peu près à ce qui suit : la position dominante était occupée par la société DialogNauka (environ 80 %), détenue par Kaspersky Anti-Virus. moins de 5 % du marché, tous les autres - 15 % supplémentaires du marché. En 1995, Evgeny Kaspersky a transféré son antivirus vers Intel 32 bits

Plateformes Windows

, Novell NetWare et OS/2, le produit a ainsi commencé à être activement promu sur le marché.

Un type de programmes à double usage sont les bloqueurs comportementaux, qui analysent le comportement d'autres programmes et les bloquent lorsque des actions suspectes sont détectées. Les bloqueurs comportementaux diffèrent d'un antivirus classique avec un noyau antivirus qui « reconnaît » et traite les virus qui ont été analysés en laboratoire et pour lesquels un algorithme de traitement a été prescrit dans le sens où ils ne peuvent pas traiter les virus car ils n'en connaissent rien. Cette propriété des bloqueurs est utile car ils peuvent fonctionner avec n'importe quel virus, y compris les virus inconnus. Cela est particulièrement vrai aujourd’hui, puisque les distributeurs de virus et d’antivirus utilisent les mêmes canaux de transmission de données, à savoir Internet. Dans ce cas, le virus a toujours une certaine longueur d'avance (délai d'attente), puisque l'éditeur d'antivirus a toujours besoin de temps pour obtenir le virus lui-même, l'analyser et écrire les modules de traitement appropriés. Les programmes du groupe à double usage vous permettent de bloquer la propagation du virus jusqu'à ce que l'entreprise écrive un module de traitement. suppose que les actions du virus modifient la somme de contrôle. Cependant, des modifications synchrones apportées à deux segments différents peuvent faire en sorte que la somme de contrôle reste la même lorsque le fichier est modifié. La tâche principale de la construction de l'algorithme est de garantir que les modifications apportées au fichier entraîneront nécessairement une modification de la somme de contrôle.

Méthodes de détermination des virus polymorphes

Sur la fig. La figure 6 montre le fonctionnement d'un programme infecté par un virus (a) et d'un programme infecté par un virus crypté (b). Dans le premier cas, le schéma de fonctionnement du virus est le suivant : le programme est exécuté, à un moment donné, le code du virus commence à être exécuté, puis le programme est à nouveau exécuté. Dans le cas d’un programme crypté, tout est plus compliqué.

Le programme est exécuté, puis le décodeur est activé, qui décrypte le virus, puis le virus est traité et le code du programme principal est à nouveau exécuté.

Le code du virus est crypté différemment dans chaque cas. Si dans le cas d'un virus non crypté, une comparaison de référence permet de « reconnaître » le virus par une signature constante, alors sous une forme cryptée, la signature n'est pas visible. En même temps, il est quasiment impossible de rechercher un décodeur, car il est très petit et il est inutile de détecter un élément aussi compact, car le nombre de faux positifs augmente fortement.

Bien entendu, les antivirus sont apparus il y a plus de dix ans. Cependant, au début, ils étaient distribués comme antidote gratuit. Il n'y avait pas de soutien adéquat pour le service, puisque les projets étaient à but non lucratif. En tant qu'industrie, le service de création et de fourniture de programmes antivirus a pris forme vers 1992, pas avant, ce qui signifie qu'il fêtera bientôt son dixième anniversaire. Dix ans, c'est une période très courte pour la naissance et le développement de toute une industrie avec un chiffre d'affaires de plusieurs centaines de millions de dollars. Pendant ce temps, un marché complètement nouveau est apparu, une certaine liste de produits a été constituée et tant de nouveaux termes sont apparus qu'ils suffiraient pour une encyclopédie entière. A noter qu'il est parfois même difficile pour un utilisateur inexpérimenté de distinguer un terme scientifique d'un nom commercial. Bien entendu, pour utiliser des programmes antivirus, il n'est pas nécessaire de connaître tous les détails de la structure et du comportement des virus, mais d'avoir une compréhension générale des principaux groupes de virus qui se sont formés aujourd'hui, des principes qui les sous-tendent. Les algorithmes des logiciels malveillants et la répartition des marchés antivirus mondial et russe seront utiles à un éventail assez large de lecteurs auxquels cet article s'adresse.

Dix ans de développement du marché des antivirus en Russie

Comme nous l'avons déjà souligné, le marché des antivirus est à la veille de son dixième anniversaire.

À peu près à la même époque, Evgeny Kaspersky a organisé un petit département commercial au sein de KAMI, qui employait initialement trois personnes. Toujours en 1992, le programme McAfee VirusScan conquiert rapidement le marché américain. En Russie, le marché se développait assez lentement à cette époque, et au moins en 1994 (Fig. 1), le tableau ressemblait à peu près à ce qui suit : la position dominante était occupée par la société DialogNauka (environ 80 %), détenue par Kaspersky Anti-Virus. moins de 5 % du marché, tous les autres - 15 % supplémentaires du marché. En 1995, Evgeny Kaspersky a transféré son antivirus vers Intel 32 bits

Plateformes Windows

, Novell NetWare et OS/2, le produit a ainsi commencé à être activement promu sur le marché.

L'algorithme de somme de contrôle suppose que les actions du virus modifient la somme de contrôle. Cependant, des modifications synchrones apportées à deux segments différents peuvent faire en sorte que la somme de contrôle reste la même lorsque le fichier est modifié. La tâche principale de la construction de l'algorithme est de garantir que les modifications apportées au fichier entraîneront nécessairement une modification de la somme de contrôle.

Méthodes de détermination des virus polymorphes

Sur la fig. La figure 6 montre le fonctionnement d'un programme infecté par un virus (a) et d'un programme infecté par un virus crypté (b). Dans le premier cas, le schéma de fonctionnement du virus est le suivant : le programme est exécuté, à un moment donné, le code du virus commence à être exécuté, puis le programme est à nouveau exécuté. Dans le cas d’un programme crypté, tout est plus compliqué.

Le programme est exécuté, puis le décodeur est activé, qui décrypte le virus, puis le virus est traité et le code du programme principal est à nouveau exécuté.

L'histoire de l'écriture de virus est extrêmement intéressante - elle attend toujours son chercheur méticuleux ! Il n’existe toujours pas de consensus sur le moment qui pourrait être considéré comme le jour officiel de l’apparition du virus, tout comme il n’existait aucun critère permettant de subdiviser tel ou tel logiciel et de distinguer entre des expériences de recherche et un programme délibérément écrit et doté de fonctions malveillantes.

En 1949, John von Naumann, un éminent mathématicien américain d'origine hongroise qui a apporté d'importantes contributions à la physique quantique, à la logique quantique, à l'analyse fonctionnelle, à la théorie des ensembles, à l'informatique, à l'économie et à d'autres branches de la science, a développé une théorie mathématique pour la création de soi. -réplication de programmes. Il s’agissait de la première tentative de création d’une théorie d’un tel phénomène, mais elle n’a pas suscité beaucoup d’intérêt au sein de la communauté scientifique, car elle n’avait apparemment aucune signification pratique.

Il n’y a pas non plus d’accord sur l’origine du nom « virus informatique ». Selon une version, cela s'est produit le 10 novembre 1983, lorsque Fred Cohen, étudiant diplômé de l'Université de Californie du Sud, a fait la démonstration d'un programme sur un système VAX 11/750 lors d'un séminaire sur la sécurité à l'Université de Lehigh (Pennsylvanie, États-Unis). objets logiciels. Ce programme peut à juste titre être considéré comme l'un des premiers prototypes de virus informatique.

Cohen a implémenté le code qu'il a écrit dans l'une des commandes Unix et, cinq minutes après son exécution sur l'ordinateur, il a pris le contrôle du système. Dans quatre autres manifestations, l'accès complet a été obtenu en une demi-heure, laissant tous les mécanismes de défense qui existaient à l'époque vaincus.

Il existe une version selon laquelle le terme « virus » a été utilisé par le conseiller scientifique de Fred, l'un des créateurs de l'algorithme cryptographique RSA, Leonard Adleman, pour décrire un programme qui se copie.

Un an plus tard, lors de la 7e Conférence sur la sécurité de l'information, F. Cohen donne une définition scientifique du terme « virus informatique » comme un programme capable « d'infecter » d'autres programmes en les modifiant afin d'y introduire des copies de lui-même et d'exécuter actions spécifiées. Notons que F. Cohen n’était décidément pas un innovateur en la matière. Considérations théoriques sur les programmes distribués par copie d'ordinateur à ordinateur et mise en œuvre pratique ont déjà été mises en œuvre avec succès. Cependant, c’est la présentation de F. Cohen qui a obligé les experts à parler sérieusement des dommages potentiels causés par des attaques délibérées. À peine quinze ans plus tard, la propagation des logiciels malveillants logiciel a pris des proportions alarmantes, qui ne peuvent être radicalement réduites.

Dans un sens, Rich Skrenta, un écolier de 15 ans originaire de Pennsylvanie, devançait F. Cohen. Son passe-temps favori était de faire des farces à ses amis en modifiant le code des jeux Apple II, ce qui provoquait l'arrêt soudain des ordinateurs ou l'exécution d'autres actions. En 1982, il a écrit Elk Cloner, un virus de démarrage auto-réplicatif qui a infecté l'Apple II via une disquette. Tous les 50ème redémarrages de PC, un message apparaissait disant : "Il prendra le contrôle de vos disques, il prendra le contrôle de vos puces. Oui, c'est Cloner ! Il vous collera comme de la colle, il infiltrera votre mémoire. Cloner vous souhaite la bienvenue !"

Le programme de R. Skrent ne s'étendait pas bien au-delà de son cercle d'amis. Les lauriers sont allés au « chef-d'œuvre » de la pensée programmeur, apparu quelques années plus tard. Le programme Brain a été créé en 1988 par deux frères pakistanais, crédités d'avoir infecté des PC via des copies illégales d'un programme de surveillance cardiaque qu'ils ont créé. Le virus contenait une mention de droit d'auteur avec les noms et numéros de téléphone des frères, afin que les utilisateurs de machines infectées puissent contacter directement les auteurs du virus pour obtenir un « vaccin ». La première version de Brain a été suivie de nombreuses modifications d'intérêt purement commercial.

En 1988, Robert Tappan Morris Jr., étudiant diplômé de l'Université Cornell, fils d'un scientifique en chef de la National Security Agency, a lancé le premier ver informatique largement répandu, bien que des travaux expérimentaux aient été menés dans ce domaine depuis la fin des années 1970. Ce type de programme n’effectue le plus souvent aucune manipulation destructrice sur les fichiers de l’utilisateur et vise à se diffuser le plus rapidement et le plus largement possible, réduisant ainsi l’efficacité des réseaux.

Selon certaines estimations, entre 5 et 10 % des machines connectées au Réseau à cette époque, appartenant pour la plupart à des universités et des organismes de recherche, auraient été attaquées par celui-ci. Le ver exploitait les vulnérabilités de plusieurs programmes, dont Sendmail. R. T. Morris est devenu la première personne reconnue coupable de délits informatiques et a été condamnée à 3 ans de prison avec sursis. Cependant, cela ne l'a pas empêché de devenir par la suite professeur au Massachusetts Institute of Technology (MIT).

Les logiciels malveillants ont franchi une nouvelle étape importante dans les années 90 avec la demande croissante de ordinateurs personnels et nombre d'utilisateurs e-mail. Les communications électroniques constituent un moyen bien plus efficace d'infection des PC que les supports de stockage. Un exemple de la vitesse de propagation est le virus Melissa en 1999, qui a infiltré 250 000 systèmes. Cependant, c'était inoffensif, sauf que chaque fois que l'heure et la date correspondaient - par exemple, 17h20 et 20 mai - une citation des Simpsons apparaissait à l'écran.

Un an plus tard, Love Bug, également connu sous le nom de LoveLetter, est apparu. En peu de temps, le virus s’est propagé partout dans le monde ! Il a été écrit par un étudiant philippin et est arrivé dans un e-mail avec pour objet « Je t'aime ». Dès que l'utilisateur tentait d'ouvrir la pièce jointe, le virus s'envoyait via Microsoft Outlook à toutes les adresses de la liste de contacts. Il a ensuite téléchargé un cheval de Troie pour collecter des informations intéressantes pour les Philippins. LoveLetter a attaqué environ 55 millions de PC et en a infecté entre 2,5 et 3 millions. Le montant des dégâts qu'il a causés a été estimé à 10 milliards, mais l'étudiant a échappé à toute sanction car les Philippines ne disposaient pas à l'époque d'un cadre législatif pour lutter contre les cybercriminels [Born Denis, http://www.wired.com].

La propagation des virus par avalanche est devenue un problème majeur pour la plupart des entreprises et des agences gouvernementales. Actuellement, plus d'un million de virus informatiques sont connus et plus de 3 000 nouvelles variétés apparaissent chaque mois ["Encyclopedia of Viruses", http://www.viruslist.com/ru/viruses/encyclopedia.].

Un virus informatique est un programme spécialement écrit qui peut « s'attribuer » à d'autres programmes, c'est-à-dire "les infecter" afin d'effectuer diverses actions indésirables sur un ordinateur, un ordinateur ou système d'information et en ligne.

Lorsqu’un tel programme commence à fonctionner, le virus prend généralement le contrôle en premier. Le virus peut agir de manière indépendante, en effectuant certaines actions malveillantes (modification des fichiers ou de la table d'allocation des fichiers sur le disque, colmatage BÉLIER, modifie l'adressage des appels en appareils externes, génère une application malveillante, vole des mots de passe et des données, etc.), ou « infecte » d’autres programmes. Les programmes infectés peuvent être transférés vers un autre ordinateur à l'aide de disquettes ou d'un réseau local.

Les formes d'organisation des attaques virales sont très diverses, mais en général elles peuvent pratiquement être « dispersées » dans les catégories suivantes :

• pénétration à distance dans un ordinateur - programmes qui obtiennent un accès non autorisé à un autre ordinateur via Internet (ou un réseau local) ;
• pénétration informatique locale - programmes qui obtiennent un accès non autorisé à l'ordinateur sur lequel ils travaillent ensuite ;
• blocage d'un ordinateur distant - programmes qui, via Internet (ou réseau), bloquent le fonctionnement de l'intégralité d'un ordinateur distant ou programme séparé dessus;
• blocage de l'ordinateur local - programmes qui bloquent le fonctionnement de l'ordinateur sur lequel ils s'exécutent ;
• scanners de réseau - programmes qui collectent des informations sur le réseau afin de déterminer quels ordinateurs et programmes exécutés sur eux sont potentiellement vulnérables aux attaques ;
• scanners de vulnérabilité de programme - programmes qui analysent de grands groupes d'ordinateurs sur Internet à la recherche d'ordinateurs vulnérables à un type d'attaque particulier ;
• crackers de mots de passe - programmes qui détectent les mots de passe facilement devinables dans les fichiers de mots de passe cryptés ;
• analyseurs de réseau (renifleurs) - programmes qui écoutent trafic réseau; Ils ont souvent la possibilité de mettre automatiquement en évidence les noms d'utilisateur, les mots de passe et les numéros. cartes de crédit du trafic ;
• modification des données transmises ou substitution d'informations ;
• remplacer un objet de confiance par un objet distribué réseau informatique(travailler en son nom) ou un faux objet d'un avion distribué (DBC).
• « l'ingénierie sociale » est un accès non autorisé à des informations autres que le piratage de logiciels. Le but est d'induire en erreur les salariés (réseau ou administrateurs système, utilisateurs, gestionnaires) pour obtenir des mots de passe système ou d'autres informations susceptibles de compromettre la sécurité du système.

Les logiciels malveillants comprennent les vers de réseau, les virus de fichiers classiques, les chevaux de Troie, les utilitaires de pirate informatique et d'autres programmes qui causent délibérément des dommages à l'ordinateur sur lequel ils sont exécutés ou à d'autres ordinateurs du réseau.

Vers de réseau

La principale différence entre les types de vers est la méthode de propagation du ver, c'est-à-dire la manière dont il transmet sa copie aux ordinateurs distants. D'autres signes indiquant que les CP diffèrent les uns des autres sont les méthodes de lancement d'une copie du ver sur l'ordinateur infecté, les méthodes d'introduction dans le système, ainsi que le polymorphisme, la furtivité et d'autres caractéristiques inhérentes à d'autres types de logiciels malveillants (virus et chevaux de Troie). ).

Exemple - E-mail-Worm - vers de messagerie. Cette catégorie de vers inclut ceux qui utilisent le courrier électronique pour se propager. Dans ce cas, le ver envoie soit une copie de lui-même en pièce jointe à e-mail, ou un lien vers votre fichier situé sur une ressource réseau (par exemple, une URL vers un fichier infecté situé sur un site Web piraté ou pirate). Dans le premier cas, le code du ver est activé lorsqu'une pièce jointe infectée est ouverte (lancée), dans le second, lorsqu'un lien vers un fichier infecté est ouvert. Dans les deux cas, l'effet est le même : le code du ver est activé.

Les vers de messagerie utilisent diverses méthodes pour envoyer des messages infectés. Les plus courants :

• connexion directe au serveur SMTP à l'aide de la bibliothèque de messagerie intégrée au code du ver ;
• utilisation des services MS Outlook ;
• usage Fonctions Windows MAPI.

Diverses méthodes sont utilisées par les vers de messagerie pour rechercher des adresses e-mail auxquelles les e-mails infectés seront envoyés. Vers de messagerie :

• s'envoyer à toutes les adresses trouvées dans carnet d'adresses MS Outlook ;
• lit les adresses de la base de données d'adresses WAB ;
• analyse les fichiers « appropriés » sur le disque et y sélectionne les lignes qui sont des adresses e-mail ;
• s'envoyer à toutes les adresses trouvées dans les lettres boîte aux lettres(en même temps, certains vers de messagerie « répondent » aux lettres trouvées dans la boîte aux lettres).

De nombreux vers utilisent plusieurs de ces méthodes à la fois. Il existe également d'autres moyens de rechercher des adresses e-mail. Autres types de vers : IM-Worm - vers qui utilisent des pagers Internet, IRC-Worm - vers dans les canaux IRC, Net-Worm - autres vers de réseau.

Virus informatiques classiques

Cette catégorie comprend les programmes qui distribuent leurs copies entre les ressources ordinateur local dans le but de : lancement ultérieur de votre code lors de toute action de l'utilisateur ou implémentation ultérieure dans d'autres ressources informatiques.

Contrairement aux vers, les virus n'utilisent pas les services réseau pour pénétrer dans d'autres ordinateurs. Une copie du virus atteint les ordinateurs distants uniquement si l'objet infecté, pour une raison indépendante de la fonctionnalité du virus, est activé sur un autre ordinateur, par exemple :

• lors de l'infection de disques accessibles, le virus a pénétré dans les fichiers situés sur une ressource réseau ;
• le virus s'est copié sur un support amovible ou sur des fichiers infectés ;
• l'utilisateur a envoyé un e-mail avec une pièce jointe infectée.

Certains virus contiennent les propriétés d'autres types de logiciels malveillants, comme une procédure de porte dérobée ou un cheval de Troie qui détruit les informations présentes sur un disque.

De nombreux tableaux et éditeurs graphiques, systèmes de conception, traitements de texte disposent de leurs propres langages macro (macros) pour automatiser l'exécution d'actions répétitives. Ces langages macro ont souvent une structure complexe et un riche ensemble de commandes. Les virus de macro sont des programmes en langages de macro intégrés à de tels systèmes de traitement de données. Pour se reproduire, les virus de cette classe utilisent les capacités des macrolangages et, avec leur aide, se transfèrent d'un fichier infecté (document ou table) à d'autres.

Virus de script

Il convient également de noter que les virus de script constituent un sous-groupe des virus de fichiers. Ces virus sont écrits dans différents langages de script (VBS, JS, BAT, PHP, etc.). Soit ils infectent d'autres programmes de script (fichiers de commandes et de services MS Windows ou Linux), soit ils font partie de virus à plusieurs composants. De plus, ces virus peuvent infecter des fichiers d'autres formats (par exemple HTML), si des scripts peuvent y être exécutés.

chevaux de Troie

Cette catégorie comprend les programmes qui effectuent diverses actions non autorisées par l'utilisateur : collecte d'informations et transmission à un attaquant, leur destruction ou modification malveillante, perturbation de l'ordinateur et utilisation des ressources informatiques à des fins inconvenantes. Certaines catégories de chevaux de Troie causent des dommages ordinateurs distants et les réseaux sans perturber le fonctionnement de l'ordinateur infecté (par exemple, des chevaux de Troie conçus pour des attaques DoS massives sur les ressources réseau distantes).

Les chevaux de Troie sont divers et diffèrent les uns des autres par les actions qu'ils effectuent sur un ordinateur infecté :

• Backdoor - Utilitaires d'administration à distance des chevaux de Troie.
• Trojan-PSW - vol de mot de passe.
• Trojan-AOL est une famille de chevaux de Troie qui « volent » les codes d'accès au réseau AOL (America Online). Ils sont répartis dans un groupe spécial en raison de leur grand nombre.
• Trojan-Clicker - Cliqueurs Internet. Famille de chevaux de Troie dont la fonction principale est d'organiser un accès non autorisé aux ressources Internet (généralement des pages Web). Ceci est réalisé soit en envoyant les commandes appropriées au navigateur, soit en remplaçant fichiers système, qui indiquent les adresses « standards » des ressources Internet (par exemple, fichier d'hôtes sous MS Windows).
• Trojan-Downloader - livraison d'autres programmes malveillants.
• Trojan-Dropper - installateurs d'autres programmes malveillants. Les chevaux de Troie de cette classe sont écrits dans le but d'installer secrètement d'autres programmes et sont presque toujours utilisés pour « introduire » des virus ou d'autres chevaux de Troie sur l'ordinateur de la victime.
• Trojan-Proxy - Serveurs proxy de chevaux de Troie. Famille de chevaux de Troie qui fournissent secrètement un accès anonyme à diverses ressources Internet. Généralement utilisé pour envoyer du spam.
• Trojan-Spy - logiciel espion. Ces chevaux de Troie effectuent un espionnage électronique de l'utilisateur de l'ordinateur infecté : informations saisies au clavier, captures d'écran, liste applications actives et les actions de l'utilisateur avec eux sont enregistrées dans un fichier sur le disque et périodiquement envoyées à l'attaquant. Ce type de cheval de Troie est souvent utilisé pour voler des informations sur les utilisateurs. divers systèmes paiements en ligne et systèmes bancaires.
• Cheval de Troie - autres programmes chevaux de Troie. Cette catégorie comprend également les chevaux de Troie « polyvalents », par exemple ceux qui espionnent simultanément un utilisateur et fournissent un service proxy à un attaquant distant.
• Cheval de Troie ArcBomb - "bombes" dans les archives. Ce sont des archives spécialement conçues de manière à provoquer un comportement anormal des archiveurs lorsqu'ils tentent de désarchiver des données - gelant ou ralentissant considérablement l'ordinateur ou remplissant le disque d'une grande quantité de données « vides ». Les "bombes d'archives" sont particulièrement dangereuses pour les fichiers et serveurs de messagerie, si le serveur utilise une sorte de système de traitement automatique des informations entrantes, une « bombe d'archives » peut simplement empêcher le serveur de fonctionner.
• Trojan-Notifier - notification d'une attaque réussie. chevaux de Troie de ce genre sont destinés à informer son « propriétaire » d’un ordinateur infecté. Dans ce cas, des informations sur l'ordinateur sont envoyées à l'adresse du « propriétaire », par exemple l'adresse IP de l'ordinateur, le numéro port ouvert, adresse email, etc. L'envoi s'effectue de diverses manières: par email, une adresse spécialement conçue vers la page web « hôte », message ICQ. Ces programmes de chevaux de Troie sont utilisés dans des ensembles de chevaux de Troie à plusieurs composants pour informer leur « maître » de l'installation réussie des composants du cheval de Troie dans le système attaqué.

Virus et vers de script

Types de virus informatiques

Il n’y a personne aujourd’hui qui n’ait pas entendu parler des virus informatiques. Qu'est-ce que c'est, qu'est-ce que c'est ? types de virus informatiques et les logiciels malveillants, essayons de le comprendre dans cet article. Donc, virus informatiques peut être divisé en les types suivants :

Les programmes de publicité et d'information font référence aux programmes qui, en plus de leur fonction principale, affichent également des bannières publicitaires et toutes sortes de fenêtres publicitaires pop-up. De tels messages publicitaires peuvent parfois être assez difficiles à masquer ou à désactiver. Tel programmes publicitaires Lorsqu'ils fonctionnent, ils sont basés sur le comportement des utilisateurs d'ordinateurs et sont assez problématiques pour des raisons de sécurité du système.

Portes dérobées

Les utilitaires d'administration cachés vous permettent de contourner les systèmes de sécurité et de mettre sous votre contrôle l'ordinateur de l'utilisateur installateur. Un programme qui s'exécute en mode furtif donne au pirate informatique des droits illimités pour contrôler le système. Avec l'aide de tels programmes de porte dérobée, il est possible d'accéder aux données personnelles et privées de l'utilisateur. Souvent, ces programmes sont utilisés pour infecter le système avec des virus informatiques et pour installer secrètement des programmes malveillants à l’insu de l’utilisateur.

Virus de démarrage

Souvent le principal secteur de démarrage votre disque dur est affecté par des virus de démarrage spéciaux. Les virus de ce type remplacent les informations nécessaires au bon démarrage du système. L'une des conséquences d'un tel programme malveillant est l'impossibilité de télécharger système opérateur...

Réseau de robots

Un réseau de robots est un réseau à part entière sur Internet, soumis à l'administration d'un attaquant et composé de nombreux ordinateurs infectés qui interagissent les uns avec les autres. Le contrôle d'un tel réseau est obtenu à l'aide de virus ou de chevaux de Troie qui pénètrent dans le système. Pendant le fonctionnement, les logiciels malveillants ne se manifestent d'aucune façon, attendant les commandes de l'attaquant. Ces réseaux sont utilisés pour envoyer des messages SPAM ou pour organiser Attaques DDoS sur serveurs requis. Il est intéressant de noter que les utilisateurs d’ordinateurs infectés n’ont absolument aucune idée de ce qui se passe sur le réseau.

Exploiter

Un exploit (littéralement une faille de sécurité) est un script ou un programme qui exploite des failles et des vulnérabilités spécifiques du système d'exploitation ou de tout autre programme. De la même manière, des programmes pénètrent dans le système, grâce auxquels les droits d'accès administrateur peuvent être obtenus.

Canular (littéralement blague, mensonge, canular, plaisanterie, tromperie)

Depuis plusieurs années, de nombreux internautes reçoivent des messages électroniques concernant des virus prétendument diffusés par courrier électronique. De tels avertissements sont envoyés en masse avec une demande en larmes qu'ils soient envoyés à tous les contacts de votre liste personnelle.

Pièges

Honeypot (pot de miel) est service réseau, qui a pour mission de surveiller l’ensemble du réseau et d’enregistrer les attaques en cas d’épidémie. L’utilisateur moyen ignore totalement l’existence d’un tel service. Si un pirate informatique explore et surveille le réseau à la recherche de failles, il peut alors profiter des services qu'offre un tel piège. Cela sera enregistré dans les fichiers journaux et déclenchera également une alarme automatique.

Virus de macro

Les virus de macro sont de très petits programmes écrits dans un langage de macro d'application. Ces programmes sont distribués uniquement parmi les documents créés spécifiquement pour cette application.

Pour activer de tels programmes malveillants, l'application doit être lancée, ainsi que l'exécution d'un fichier de macro infecté. La différence avec les virus de macro ordinaires est que l'infection se produit dans les documents d'application et non dans les fichiers de démarrage de l'application.

Agriculture

Le pharming est la manipulation cachée du fichier hôte du navigateur afin de diriger l'utilisateur vers un faux site Web. Les fraudeurs disposent de grands serveurs ; ces serveurs stockent une grande base de données de fausses pages Internet. Lors de la manipulation du fichier hôte à l'aide d'un cheval de Troie ou d'un virus, il est tout à fait possible de manipuler le système infecté. En conséquence, le système infecté ne chargera que de faux sites, même si vous saisissez correctement l'adresse dans la ligne du navigateur.

Phishing

Le phishing se traduit littéralement par « pêcher » les informations personnelles d’un utilisateur sur Internet. L'attaquant envoie à la victime potentielle un e-mail indiquant qu'il est nécessaire d'envoyer des informations personnelles pour confirmation. Il s'agit souvent du prénom et du nom de l'utilisateur, des mots de passe requis, Codes PIN pour accéder aux comptes d'utilisateurs en ligne. En utilisant ces données volées, un pirate informatique peut très bien usurper l'identité d'une autre personne et effectuer des actions en son nom.

Virus polymorphes

Les virus polymorphes sont des virus qui utilisent le camouflage et la transformation dans leur travail. Ce faisant, ils peuvent modifier leur code de programme eux-mêmes et sont donc très difficiles à détecter car la signature évolue avec le temps.

Virus logiciels

Un virus informatique est un programme courant qui a la capacité de s'attacher indépendamment à d'autres programmes en cours d'exécution, affectant ainsi leur fonctionnement. Les virus distribuent indépendamment des copies d'eux-mêmes ; cela les distingue considérablement des chevaux de Troie. De plus, la différence entre un virus et un ver est que pour fonctionner, un virus a besoin d'un programme auquel il peut attacher son code.

Rootkit

Un rootkit est un ensemble spécifique logiciel, qui est installé secrètement sur le système de l’utilisateur, garantissant que la connexion personnelle du cybercriminel et divers processus sont masqués, tout en faisant des copies des données.

Virus et vers de script

Ces types de virus informatiques sont assez simples à écrire et se propagent principalement par courrier électronique. Les virus de script utilisent des langages de script pour fonctionner afin de s'ajouter aux scripts nouvellement créés ou de se propager via les fonctions réseau d'exploitation. L'infection se produit souvent par courrier électronique ou à la suite d'un échange de fichiers entre utilisateurs. Un ver est un programme qui se reproduit, mais qui infecte au passage d’autres programmes. Lorsque les vers se reproduisent, ils ne peuvent pas faire partie d'autres programmes, ce qui les distingue des types ordinaires de virus informatiques.

Logiciels espions

Les espions peuvent transmettre les données personnelles de l'utilisateur à son insu à des tiers. Logiciels espions en même temps, ils analysent le comportement de l’utilisateur sur Internet et, sur la base des données collectées, affichent à l’utilisateur des publicités ou des pop-ups (fenêtres pop-up), qui intéresseront certainement l’utilisateur.

En fait, les virus de macro ne sont pas une « espèce » indépendante, mais simplement l'une des variétés d'une grande famille de programmes malveillants : les virus de script. Leur isolement est dû uniquement au fait que ce sont les macrovirus qui ont jeté les bases de toute cette famille, d'ailleurs, les virus « adaptés » aux programmes Microsoft Office, reçu le plus répandu de tout le clan. Il convient également de noter que les virus de script constituent un sous-groupe des virus de fichiers. Ces virus sont écrits dans différents langages de script (VBS, JS, BAT, PHP, etc.).

Une caractéristique commune des virus de script est leur liaison à l’un des langages de programmation « intégrés ». Chaque virus est lié à un « trou » spécifique dans la protection de l’un des Programmes Windows et n'est pas un programme indépendant, mais un ensemble d'instructions qui obligent le « moteur » généralement inoffensif du programme à effectuer des actions destructrices qui ne lui sont pas typiques.

Comme c'est le cas avec Documents Word, l'utilisation de microprogrammes (scripts, applets Java, etc.) en soi n'est pas un crime - la plupart d'entre eux fonctionnent de manière assez paisible, rendant la page plus attrayante ou plus pratique. Chat, livre d'or, système de vote, compteur - nos pages doivent toutes ces commodités à des microprogrammes - "scripts". Quant aux applets Java, leur présence sur la page est également justifiée : elles permettent, par exemple, d'afficher un menu pratique et fonctionnel qui se développe sous le curseur de la souris...

Les commodités sont des commodités, mais n'oubliez pas que tous ces applets et scripts sont de véritables programmes à part entière. De plus, beaucoup d’entre eux se lancent et fonctionnent non pas quelque part, sur un serveur inconnu, mais directement sur votre ordinateur ! Et en y insérant un virus, les créateurs de la page pourront accéder au contenu de votre disque dur. Les conséquences sont déjà connues – du simple vol de mot de passe au formatage du disque dur.

Bien entendu, vous devrez faire face à des « scripts tueurs » cent fois moins souvent qu'avec des virus ordinaires. À propos, dans ce cas, il y a peu d'espoir pour les antivirus conventionnels, mais un programme malveillant ouvert avec la page devra surmonter la protection du navigateur lui-même, dont les créateurs sont bien conscients de ce genre de choses.

Revenons un instant à Paramètres Internet Explorateur, - notamment dans le menu Outils/Options Internet/Sécurité. Internet Explorer nous offre plusieurs niveaux de sécurité. En plus du niveau de protection standard (zone Internet) nous pouvons renforcer (zone Limite) ou baissez votre garde (zone Nœuds fiables). En appuyant sur le bouton Un autre, nous pouvons ajuster manuellement la sécurité du navigateur.

Cependant, la plupart des virus de script se propagent par courrier électronique (ces virus sont souvent appelés « vers Internet »). Les virus sont peut-être les représentants les plus brillants de cette famille. Lettre d'amour Et Anna Kournikova, dont les attaques ont eu lieu au cours de la saison 2001-2002, ces deux virus ont utilisé la même technique, basée non seulement sur la faible protection du système d'exploitation, mais aussi sur la naïveté des utilisateurs.

Nous rappelons que les virus se transmettent le plus souvent par des messages électroniques contenant des fichiers joints. Rappelons également qu'un virus peut pénétrer dans un ordinateur soit via des programmes (fichiers exécutables avec l'extension *.exe, *.com.), soit via Documents Microsoft Bureau. On retient aussi que du côté des images ou fichiers sonores Il semble qu’aucun problème ne puisse nous menacer. Et donc, après avoir trouvé de manière inattendue dans la boîte aux lettres une lettre avec une image attachée (à en juger par le nom du fichier et son extension), nous la lançons immédiatement avec plaisir... Et nous découvrons qu'un « script » de virus malveillant se cachait sous l'image . C’est bien que nous le détections immédiatement, et pas après que le virus ait réussi à détruire complètement toutes vos données.

L'astuce des créateurs de virus est simple : le fichier, qui nous semblait comme une image, avait une double extension ! Par exemple, AnnaKournikova. jpg. vbs

C'est la deuxième extension qui constitue le véritable type de fichier, tandis que la première fait simplement partie de son nom. Et comme l'extension Windows vbs est bien connue, elle la cache sans hésiter aux yeux des utilisateurs, ne laissant que le nom à l'écran AnnaKournikova. jpg

Et Windows fait cela avec tous les types de fichiers enregistrés : l'autorisation est supprimée et le type de fichier doit être indiqué par une icône. Ce à quoi, hélas, nous prêtons rarement attention.

C’est un bon piège, mais il est plus facile à repérer : l’astuce de la « double expansion » ne fonctionne pas si on active au préalable le mode d’affichage du type de fichier. Vous pouvez le faire en utilisant le menu Propriétés du dossier sur Panneaux de contrôle Windows : cliquez sur cette icône, puis ouvrez le favori Voir et décoche la ligne Masquer les extensions pour les types de fichiers enregistrés.

Souviens-toi: Seuls quelques types de fichiers sont autorisés en « pièce jointe » à un e-mail. Relativement sûr fichiers txt, jpg, gif, tif, bmp, mp3, wma.

Voici la liste, c'est sûr dangereux types de fichiers :

En fait, la liste des « porteurs de virus » potentiels comprend plus d’une douzaine de types de fichiers. Mais ceux-ci sont plus courants que d’autres.