Pirms sāku rakstīt šo rakstu, es tikos ar vienu no vietējās antivīrusu nozares dibinātājiem Jevgeņijs Kasperskis, kurš man pastāstīja dažus skaitļus par Krievijas un pasaules antivīrusu tirgus stāvokli. Es runāju arī ar slavenā antivīrusu uzņēmuma DialogNauka pārstāvi, menedžeri darbam ar lielajiem klientiem Maksimu Skidu. No sarunas uzzināju interesantu faktu – izrādās, ka antivīrusu industrija tūlīt svinēs savu pirmo desmitgadi.

Protams, antivīrusi parādījās pirms vairāk nekā desmit gadiem. Tomēr sākumā tie tika izplatīti kā bezmaksas pretlīdzeklis. Pienākuma nebija pakalpojumu atbalsts, jo projekti nebija bezpeļņas. Kā nozare pretvīrusu programmu izveides un nodrošināšanas pakalpojums izveidojās ap 1992. gadu, nevis agrāk, kas nozīmē, ka tas drīz svinēs savu desmito gadadienu. Desmit gadi ir ļoti īss laika posms veselas nozares dzimšanai un attīstībai ar simtiem miljonu dolāru lielu apgrozījumu. Šajā laikā radās pilnīgi jauns tirgus, izveidojās zināms preču saraksts un parādījās tik daudz jaunu terminu, ka ar tiem pietiktu veselai enciklopēdijai. Jāpiebilst, ka nepieredzējušam lietotājam dažkārt pat grūti atšķirt zinātnisku terminu no komerciāla nosaukuma. Protams, lai lietotu pretvīrusu programmas, nav jāzina visas vīrusu uzbūves un uzvedības detaļas, bet gan vispārēja izpratne par to, kādas galvenās vīrusu grupas ir izveidojušās līdz šim, kādi principi ir iestrādāti algoritmus ļaunprogrammatūra un tas, kā tiek sadalīts pasaules un Krievijas antivīrusu tirgus, noderēs diezgan plašam lasītāju lokam, kuriem šis raksts ir adresēts.

Desmit gadu antivīrusu tirgus attīstība Krievijā

Kā jau minēts, antivīrusu tirgus ir savas desmitās gadadienas priekšvakarā. Tieši 1992. gadā tika izveidots a/s DialogNauka, kas iezīmēja sākumu Lozinska slavenās Aidstest programmas aktīvai popularizēšanai vietējā tirgū; Kopš tā laika Aidstest sāka izplatīt komerciāli.

Aptuveni tajā pašā laikā Jevgeņijs Kasperskis organizēja nelielu komercnodaļu KAMI, kurā sākotnēji strādāja trīs cilvēki. Arī 1992. gadā programma McAfee VirusScan ātri iekaroja Amerikas tirgu. Krievijā tirgus tolaik attīstījās diezgan lēni, un vismaz līdz 1994. gadam (1. att.) aina izskatījās aptuveni šādi: dominējošo stāvokli ieņēma uzņēmums DialogNauka (ap 80%), kas pieder Kaspersky Anti-Virus. mazāk nekā 5% no tirgus, visi pārējie - vēl 15% no tirgus. 1995. gadā Jevgeņijs Kasperskis nodeva savu antivīrusu uz 32 bitu Intel

Windows platformas

, Novell NetWare un OS/2, kā rezultātā produktu sāka aktīvi reklamēt tirgū.

Divējāda lietojuma programmu veids ir uzvedības bloķētāji, kas analizē citu programmu uzvedību un bloķē tās, kad tiek atklātas aizdomīgas darbības. Uzvedības blokatori atšķiras no klasiskā antivīrusa ar antivīrusu kodolu, kas "atpazīst" un ārstē vīrusus, kas tika analizēti laboratorijā un kuriem tika noteikts ārstēšanas algoritms, jo viņi nevar ārstēt vīrusus, jo neko par tiem nezina. Šī bloķētāju īpašība ir noderīga, jo tie var strādāt ar jebkuriem vīrusiem, arī nezināmiem. Tas jo īpaši attiecas uz šodienu, jo vīrusu un antivīrusu izplatītāji izmanto vienus un tos pašus datu pārraides kanālus, tas ir, internetu. Šajā gadījumā vīrusam vienmēr ir zināms priekšdarbs (aizkavēšanās laiks), jo antivīrusu kompānijai vienmēr ir vajadzīgs laiks, lai pašam iegūtu vīrusu, analizētu to un uzrakstītu atbilstošus ārstēšanas moduļus. Programmas no divējāda lietojuma grupas ļauj bloķēt vīrusa izplatību, līdz uzņēmums raksta ārstēšanas moduli. pieņem, ka vīrusa darbības maina kontrolsummu. Tomēr, veicot sinhronas izmaiņas divos dažādos segmentos, kontrolsumma var palikt nemainīga, mainoties failam. Algoritma konstruēšanas galvenais uzdevums ir nodrošināt, lai failā veiktās izmaiņas garantētu izraisītu izmaiņas kontrolsummā.

Polimorfo vīrusu noteikšanas metodes

Attēlā 6. attēlā parādīta ar vīrusu inficētas programmas (a) un ar šifrētu vīrusu inficētas programmas (b) darbība. Pirmajā gadījumā vīrusa darbības shēma ir šāda: programma tiek izpildīta, kādā brīdī sāk izpildīt vīrusa kodu un pēc tam programma tiek izpildīta vēlreiz. Šifrētas programmas gadījumā viss ir sarežģītāk.

Programma tiek izpildīta, pēc tam tiek ieslēgts dekodētājs, kas atšifrē vīrusu, pēc tam vīruss tiek apstrādāts un galvenais programmas kods tiek izpildīts vēlreiz.

Vīrusa kods katrā gadījumā tiek šifrēts atšķirīgi. Ja nešifrēta vīrusa gadījumā atsauces salīdzinājums ļauj “atpazīt” vīrusu pēc kāda pastāvīga paraksta, tad šifrētā formā paraksts nav redzams. Tajā pašā laikā ir gandrīz neiespējami meklēt dekodētāju, jo tas ir ļoti mazs, un ir bezjēdzīgi noteikt tik kompaktu elementu, jo strauji palielinās viltus pozitīvu rezultātu skaits.

Protams, antivīrusi parādījās pirms vairāk nekā desmit gadiem. Tomēr sākumā tie tika izplatīti kā bezmaksas pretlīdzeklis. Pakalpojumam nebija pienācīga atbalsta, jo projekti nebija bezpeļņas. Kā nozare pretvīrusu programmu izveides un nodrošināšanas pakalpojums izveidojās ap 1992. gadu, nevis agrāk, kas nozīmē, ka tas drīz svinēs savu desmito gadadienu. Desmit gadi ir ļoti īss laika posms veselas nozares dzimšanai un attīstībai ar simtiem miljonu dolāru lielu apgrozījumu. Šajā laikā radās pilnīgi jauns tirgus, izveidojās zināms preču saraksts un parādījās tik daudz jaunu terminu, ka ar tiem pietiktu veselai enciklopēdijai. Jāpiebilst, ka nepieredzējušam lietotājam dažkārt pat grūti atšķirt zinātnisku terminu no komerciāla nosaukuma. Protams, lai lietotu pretvīrusu programmas, nav jāzina visas vīrusu uzbūves un uzvedības detaļas, bet gan vispārēja izpratne par to, kādas galvenās vīrusu grupas mūsdienās ir izveidojušās, kādi principi ir iestrādāti ļaunprogrammatūras algoritmi un tas, kā tiek sadalīts pasaules un Krievijas antivīrusu tirgus, noderēs diezgan plašam lasītāju lokam, kuriem šis raksts ir adresēts.

Desmit gadu antivīrusu tirgus attīstība Krievijā

Kā jau minēts, antivīrusu tirgus ir savas desmitās gadadienas priekšvakarā.

Aptuveni tajā pašā laikā Jevgeņijs Kasperskis organizēja nelielu komercnodaļu KAMI, kurā sākotnēji strādāja trīs cilvēki. Arī 1992. gadā programma McAfee VirusScan ātri iekaroja Amerikas tirgu. Krievijā tirgus tolaik attīstījās diezgan lēni, un vismaz līdz 1994. gadam (1. att.) aina izskatījās aptuveni šādi: dominējošo stāvokli ieņēma uzņēmums DialogNauka (ap 80%), kas pieder Kaspersky Anti-Virus. mazāk nekā 5% no tirgus, visi pārējie - vēl 15% no tirgus. 1995. gadā Jevgeņijs Kasperskis nodeva savu antivīrusu uz 32 bitu Intel

Windows platformas

, Novell NetWare un OS/2, kā rezultātā produktu sāka aktīvi reklamēt tirgū.

Kontrolsummas algoritms pieņem, ka vīrusa darbības maina kontrolsummu. Tomēr, veicot sinhronas izmaiņas divos dažādos segmentos, kontrolsumma var palikt nemainīga, mainoties failam. Algoritma konstruēšanas galvenais uzdevums ir nodrošināt, lai failā veiktās izmaiņas garantētu izraisītu izmaiņas kontrolsummā.

Polimorfo vīrusu noteikšanas metodes

Attēlā 6. attēlā parādīta ar vīrusu inficētas programmas (a) un ar šifrētu vīrusu inficētas programmas (b) darbība. Pirmajā gadījumā vīrusa darbības shēma ir šāda: programma tiek izpildīta, kādā brīdī sāk izpildīt vīrusa kodu un pēc tam programma tiek izpildīta vēlreiz. Šifrētas programmas gadījumā viss ir sarežģītāk.

Programma tiek izpildīta, pēc tam tiek ieslēgts dekodētājs, kas atšifrē vīrusu, pēc tam vīruss tiek apstrādāts un galvenais programmas kods tiek izpildīts vēlreiz.

Vīrusu rakstīšanas rašanās vēsture ir ārkārtīgi interesanta – tā joprojām gaida savu rūpīgo pētnieku! Joprojām nav vienprātības par brīdi, ko varētu uzskatīt par oficiālo vīrusa parādīšanās dienu, tāpat kā nebija kritēriju, saskaņā ar kuriem to vai citu programmatūru varētu apvienot un atšķirt pētniecības eksperimentus un mērķtiecīgi uzrakstītu programmu ar ļaunprātīgām funkcijām.

1949. gadā Džons fon Naumans, ievērojams ungāru izcelsmes amerikāņu matemātiķis, kurš sniedza nozīmīgu ieguldījumu kvantu fizikā, kvantu loģikā, funkcionālajā analīzē, kopu teorijā, datorzinātnē, ekonomikā un citās zinātnes nozarēs, izstrādāja matemātikas teoriju sevis radīšanai. - programmu pavairošana. Šis bija pirmais mēģinājums izveidot šādas parādības teoriju, taču tas neizraisīja lielu interesi zinātnieku aprindās, jo tam nebija acīmredzamas praktiskas nozīmes.

Nav arī vienošanās par nosaukuma “datorvīruss” izcelsmi. Saskaņā ar vienu versiju, tas notika 1983. gada 10. novembrī, kad Dienvidkalifornijas universitātes absolvents Freds Koens drošības seminārā Lehigh universitātē (Pensilvānija, ASV) demonstrēja programmu VAX 11/750 sistēmā programmatūras objekti. Šo programmu var pamatoti uzskatīt par vienu no pirmajiem datorvīrusa prototipiem.

Koens ieviesa kodu, ko viņš ierakstīja vienā no Unix komandām, un piecu minūšu laikā pēc tā palaišanas datorā viņš ieguva kontroli pār sistēmu. Citās četrās demonstrācijās pilna piekļuve tika panākta pusstundas laikā, atstājot sakautu visus tobrīd pastāvošos aizsardzības mehānismus.

Pastāv versija, ka terminu “vīruss” izmantoja Freda zinātniskais padomnieks, viens no RSA kriptogrāfijas algoritma veidotājiem Leonards Adlemans, lai aprakstītu programmu, kas kopē pati sevi.

Gadu vēlāk 7. informācijas drošības konferencē F. Koens sniedz zinātnisku definīciju terminam “datorvīruss” kā programmai, kas spēj “inficēt” citas programmas, pārveidojot tās, lai ieviestu savas kopijas un izpildītu. noteiktas darbības. Atzīmēsim, ka F. Koens noteikti nebija novators šajā jomā. Teorētiski apsvērumi par programmām, kas tiek izplatītas, kopējot no datora uz datoru un praktiska īstenošana ir veiksmīgi īstenoti iepriekš. Taču tieši F. Koena prezentācija lika ekspertiem nopietni runāt par iespējamo kaitējumu, ko var radīt apzināti uzbrukumi. Tikai piecpadsmit gadus vēlāk izplatījās ļaunprātīga programmatūra programmatūra ir ieguvusi satraucošus apmērus, kurus nevar radikāli samazināt.

Savā ziņā 15 gadus vecais skolnieks no Pensilvānijas Ričs Skrenta apsteidza F. Koenu. Viņa mīļākā spēle bija izjokot ar draugiem, pārveidojot Apple II spēļu kodu, kā rezultātā pēkšņi izslēdzās datori vai tika veiktas citas darbības. 1982. gadā viņš uzrakstīja Elk Cloner, pašreplicējošu sāknēšanas vīrusu, kas inficēja Apple II, izmantojot disketi. Katrā 50. datora pārstartēšanas reizē parādījās ziņojums, kurā bija teikts: "Tas pārņems jūsu diskus, tas pārņems jūsu mikroshēmas. Jā, tas ir Cloner! Tas pielips jums kā līme, tas iefiltrēsies jūsu atmiņā. Cloner jūs sveicina!"

R. Skrenta programma nesniedzās tālu ārpus viņa draugu loka. Laurus plūca programmētāja domas “šedevrs”, kas parādījās dažus gadus vēlāk. Programmu Brain 1988. gadā izveidoja divi brāļi no Pakistānas, kuri tiek uzskatīti par personālo datoru inficēšanu, izmantojot viņu izveidotās sirds uzraudzības programmas nelikumīgas kopijas. Vīruss saturēja autortiesību paziņojumu ar brāļu vārdiem un tālruņu numuriem, tāpēc inficēto iekārtu lietotāji varēja tieši sazināties ar vīrusu autoriem, lai saņemtu “vakcīnu”. Pirmajai Brain versijai sekoja daudzas modifikācijas, kas bija tīri komerciālas.

1988. gadā Kornela universitātes absolvents Roberts Tappans Moriss jaunākais, Nacionālās drošības aģentūras galvenā zinātnieka dēls, izlaida pirmo plaši izplatīto datortārpu, lai gan eksperimentāli darbi šajā jomā ir veikti kopš 70. gadu beigām. Šāda veida programmas visbiežāk neveic nekādas destruktīvas manipulācijas ar lietotāja failiem un tiecas pēc iespējas ātrāk un plašāk izplatīties, samazinot tīklu efektivitāti.

Saskaņā ar dažām aplēsēm tas uzbruka no 5% līdz 10% tajā laikā tīklam pievienoto iekārtu, no kurām lielākā daļa piederēja universitātēm un pētniecības organizācijām. Tārps izmantoja ievainojamības vairākās programmās, tostarp Sendmail. R. T. Moriss kļuva par pirmo personu, kas notiesāta par datornoziegumiem un saņēma 3 gadu nosacītu sodu. Tomēr tas viņam netraucēja vēlāk kļūt par Masačūsetsas Tehnoloģiju institūta (MIT) profesoru.

Ļaunprātīga programmatūra savu nākamo lielo soli spēra 90. gados, pieaugot pieprasījumam pēc personālajiem datoriem un lietotāju skaits e-pasts. Elektroniskie sakari ir nodrošinājuši daudz efektīvāku datoru inficēšanās ceļu nekā ar datu nesēju palīdzību. Izplatības ātruma piemērs bija Melisas vīruss 1999. gadā, kas iefiltrējās 250 tūkstošos sistēmu. Tomēr tas bija nekaitīgs, izņemot to, ka vienmēr, kad laiks un datums sakrita, piemēram, 5:20 un 20. maijs, ekrānā parādījās citāts no Simpsoniem.

Gadu vēlāk parādījās Love Bug, kas pazīstams arī kā LoveLetter. Īsā laikā vīruss izplatījās visā pasaulē! To uzrakstīja filipīniešu students, un tas tika nosūtīts e-pastā ar tematu "Es tevi mīlu". Tiklīdz lietotājs mēģināja atvērt pielikumu, vīruss nosūtīja sevi caur Microsoft Outlook uz visām kontaktpersonu sarakstā norādītajām adresēm. Pēc tam viņš lejupielādēja Trojas programmu, lai savāktu informāciju, kas interesē filipīniešus. LoveLetter uzbruka aptuveni 55 miljoniem datoru un inficēja no 2,5 līdz 3 miljoniem. Viņa nodarīto zaudējumu apmērs tika lēsts 10 miljardu apmērā, taču students izvairījās no soda, jo Filipīnās tajā laikā nebija likumdošanas ietvara kibernoziedznieku apkarošanai [Born Denis, http://www.wired.com].

Vīrusu lavīna izplatība ir kļuvusi par lielu problēmu lielākajai daļai uzņēmumu un valsts aģentūru. Šobrīd ir zināms vairāk nekā miljons datorvīrusu un katru mēnesi parādās vairāk nekā 3000 jaunu šķirņu ["Vīrusu enciklopēdija", http://www.viruslist.com/ru/viruses/encyclopedia.].

Datorvīruss ir speciāli uzrakstīta programma, kas var sevi “piesaistīt” citām programmām, t.i. "inficēt tos", lai veiktu dažādas nevēlamas darbības datorā, skaitļošanā vai informācijas sistēma un tiešsaistē.

Kad šāda programma sāk darboties, vīruss parasti pārņem kontroli vispirms. Vīruss var darboties neatkarīgi, veicot noteiktas ļaunprātīgas darbības (pārveidojot failus vai failu sadales tabulu diskā, aizsērējot RAM, maina zvanu adresāciju uz ārējās ierīces, ģenerē ļaunprātīgu lietojumprogrammu, zog paroles un datus utt.) vai “inficē” citas programmas. Inficētās programmas var pārsūtīt uz citu datoru, izmantojot disketes vai lokālo tīklu.

Vīrusu uzbrukumu organizēšanas formas ir ļoti dažādas, taču kopumā tās praktiski var “izkaisīt” šādās kategorijās:

• attālināta iespiešanās datorā - programmas, kas iegūst nesankcionētu piekļuvi citam datoram, izmantojot internetu (vai lokālo tīklu);
• lokālā datora iespiešanās - programmas, kas iegūst nesankcionētu piekļuvi datoram, kurā tās vēlāk strādā;
• attālā datora bloķēšana - programmas, kas, izmantojot internetu (vai tīklu), bloķē visa attālā datora darbību vai atsevišķa programma uz tā;
• lokālā datora bloķēšana - programmas, kas bloķē tā datora darbību, kurā tās darbojas;
• tīkla skeneri - programmas, kas apkopo informāciju par tīklu, lai noteiktu, kuri datori un tajos darbojošās programmas ir potenciāli neaizsargātas pret uzbrukumiem;
• programmu ievainojamības skeneri - programmas, kas skenē lielas datoru grupas internetā, meklējot datorus, kas ir neaizsargāti pret noteikta veida uzbrukumiem;
• paroļu uzlauzēji - programmas, kas šifrētos paroļu failos atklāj viegli uzminējamas paroles;
• tīkla analizatori (sniffers) - programmas, kas klausās tīkla trafiku; Viņiem bieži ir iespēja automātiski izcelt lietotājvārdus, paroles un numurus kredītkartes no satiksmes;
• pārsūtīto datu modificēšana vai informācijas aizstāšana;
• uzticama objekta aizstāšana ar izplatītu objektu datortīkls(strādāt viņa vārdā) vai viltotu izplatīta gaisa kuģa objektu (DBC).
• "sociālā inženierija" ir nesankcionēta piekļuve informācijai, kas nav programmatūras uzlaušana. Mērķis ir maldināt darbiniekus (tīkla vai sistēmas administratori, lietotāji, vadītāji), lai iegūtu sistēmas paroles vai citu informāciju, kas palīdzēs apdraudēt sistēmas drošību.

Ļaunprātīga programmatūra ietver tīkla tārpus, klasiskos failu vīrusus, Trojas zirgus, hakeru utilītas un citas programmas, kas apzināti nodara kaitējumu datoram, kurā tie tiek izpildīti, vai citiem tīkla datoriem.

Tīkla tārpi

Galvenais veids, kā tārpu veidi atšķiras viens no otra, ir tārpa izplatīšanās metode - kā tas pārsūta savu kopiju uz attāliem datoriem. Citas pazīmes, ka CP atšķiras viena no otras, ir tārpa kopijas palaišanas metodes inficētajā datorā, ievadīšanas metodes sistēmā, kā arī polimorfisms, slepenība un citas īpašības, kas raksturīgas cita veida ļaunprātīgai programmatūrai (vīrusiem un Trojas zirgiem). ).

Piemērs - E-mail-Worm - e-pasta tārpi. Šajā tārpu kategorijā ietilpst tie, kas izmanto e-pastu, lai izplatītu. Šajā gadījumā tārps nosūta vai nu savu kopiju kā pielikumu e-pasts, vai saite uz jūsu failu, kas atrodas kādā tīkla resursā (piemēram, URL uz inficētu failu, kas atrodas uzlauztā vai hakeru vietnē). Pirmajā gadījumā tārpa kods tiek aktivizēts, kad tiek atvērts (palaists) inficēts pielikums, otrajā - kad tiek atvērta saite uz inficētu failu. Abos gadījumos efekts ir vienāds – tiek aktivizēts tārpa kods.

Pasta tārpi izmanto dažādas metodes inficētu ziņojumu sūtīšanai. Visizplatītākie:

• tiešs savienojums ar SMTP serveri, izmantojot tārpa kodā iebūvēto pasta bibliotēku;
• MS Outlook pakalpojumu izmantošana;
• lietojums Windows funkcijas MAPI.

E-pasta tārpi izmanto dažādas metodes, lai meklētu e-pasta adreses, uz kurām tiks nosūtīti inficētie e-pasta ziņojumi. Pasta tārpi:

• sūtīt sevi uz visām adresēm, kas atrodamas adrešu grāmata MS Outlook;
• nolasa adreses no WAB adrešu datu bāzes;
• skenē “piemērotos” failus diskā un atlasa tajos rindas, kas ir e-pasta adreses;
• sūtīt sevi uz visām adresēm, kas atrodamas vēstulēs pastkaste(tajā pašā laikā daži pasta tārpi “atbild” uz pastkastītē atrastajām vēstulēm).

Daudzi tārpi izmanto vairākas no šīm metodēm vienlaikus. Ir arī citi veidi, kā atrast e-pasta adreses. Cita veida tārpi: IM-Worm - tārpi, kas izmanto interneta peidžerus, IRC-Worm - tārpi IRC kanālos, Net-Worm - citi tīkla tārpi.

Klasiskie datorvīrusi

Šajā kategorijā ietilpst programmas, kas izplata savas kopijas dažādos resursos lokālais dators ar mērķi: turpmākai jūsu koda palaišanai pēc jebkādām lietotāja darbībām vai turpmākai ieviešanai citos datora resursos.

Atšķirībā no tārpiem, vīrusi neizmanto tīkla pakalpojumus, lai iekļūtu citos datoros. Vīrusa kopija sasniedz attālos datorus tikai tad, ja inficētais objekts kāda iemesla dēļ, kas nav vīrusa funkcionalitāte, tiek aktivizēts citā datorā, piemēram:

• inficējot pieejamos diskus, vīruss iekļuva failos, kas atrodas tīkla resursā;
• vīruss ir pārkopējies noņemamajā datu nesējā vai inficēts tajā esošajos failos;
• lietotājs nosūtīja e-pastu ar inficētu pielikumu.

Daži vīrusi satur cita veida ļaunprātīgas programmatūras īpašības, piemēram, aizmugures durvju procedūru vai Trojas zirgu, kas iznīcina informāciju diskā.

Daudzas tabulas un grafiskie redaktori, dizaina sistēmām, tekstapstrādes programmām ir savas makro valodas (makro), lai automatizētu atkārtotu darbību izpildi. Šīm makro valodām bieži ir sarežģīta struktūra un bagātīgs komandu kopums. Makrovīrusi ir programmas makro valodās, kas iebūvētas šādās datu apstrādes sistēmās. Reproducēšanai šīs klases vīrusi izmanto makrovalodu iespējas un ar to palīdzību pārsūta sevi no viena inficētā faila (dokumenta vai tabulas) uz citiem.

Skriptu vīrusi

Jāņem vērā arī tas, ka skriptu vīrusi ir failu vīrusu apakšgrupa. Šie vīrusi ir rakstīti dažādās skriptu valodās (VBS, JS, BAT, PHP utt.). Tie vai nu inficē citas skriptu programmas (MS Windows vai Linux komandu un pakalpojumu failus), vai arī ir daudzkomponentu vīrusu daļas. Tāpat šie vīrusi var inficēt arī citu formātu (piemēram, HTML) failus, ja tajos var izpildīt skriptus.

Trojas zirgi

Šajā kategorijā ietilpst programmas, kas veic dažādas lietotāja neatļautas darbības: informācijas vākšanu un nodošanu uzbrucējam, tās iznīcināšanu vai ļaunprātīgu modificēšanu, datora darbības pārtraukšanu un datora resursu izmantošanu nepiedienīgiem mērķiem. Dažas Trojas programmu kategorijas rada bojājumus attālie datori un tīkli, netraucējot inficētā datora darbību (piemēram, Trojas programmas, kas paredzētas masveida DoS uzbrukumiem attāliem tīkla resursiem).

Trojas programmas ir dažādas un atšķiras viena no otras ar darbībām, ko tās veic inficētā datorā:

• Backdoor — Trojas attālās administrēšanas utilītas.
• Trojas zirgs-PSW - paroles zādzība.
• Trojan-AOL ir Trojas programmu saime, kas “zog” piekļuves kodus AOL (America Online) tīklam. To lielā skaita dēļ viņi ir iedalīti īpašā grupā.
• Trojan-Clicker — interneta klikšķinātāji. Trojas programmu saime, kuras galvenā funkcija ir organizēt nesankcionētu piekļuvi interneta resursiem (parasti Web lapām). Tas tiek panākts, vai nu nosūtot atbilstošās komandas pārlūkprogrammai, vai arī nomainot sistēmas faili, kas norāda interneta resursu “standarta” adreses (piemēram, hosts fails operētājsistēmā MS Windows).
• Trojan-Downloader - citu ļaunprātīgu programmu piegāde.
• Trojan-Dropper - citu ļaunprātīgu programmu instalētāji. Šīs klases Trojas programmas ir rakstītas, lai slepeni instalētu citas programmas, un tās gandrīz vienmēr tiek izmantotas, lai uz cietušā datora “ieslīdētu” vīrusus vai citas Trojas programmas.
• Trojas starpniekserveris — Trojas starpniekserveri. Trojas programmu saime, kas slepeni nodrošina anonīmu piekļuvi dažādiem interneta resursiem. Parasti izmanto surogātpasta sūtīšanai.
• Trojan-Spy - spiegprogrammatūra. Šie Trojas zirgi veic inficētā datora lietotāja elektronisku spiegošanu: no tastatūras ievadīta informācija, ekrānuzņēmumi, saraksts aktīvās lietojumprogrammas un lietotāja darbības ar tām tiek saglabātas kādā failā diskā un periodiski nosūtītas uzbrucējam. Šāda veida Trojas zirgi bieži tiek izmantoti, lai nozagtu lietotāja informāciju. dažādas sistēmas tiešsaistes maksājumi un banku sistēmas.
• Trojas zirgs - citas Trojas programmas. Šajā kategorijā ietilpst arī “daudzfunkcionāli” Trojas zirgi, piemēram, tie, kas vienlaikus izspiego lietotāju un nodrošina starpniekservera pakalpojumu attālam uzbrucējam.
• Trojas ArcBomb - "bumbas" arhīvos. Tie ir arhīvi, kas īpaši izstrādāti tā, lai izraisītu neparastu arhivētāju uzvedību, mēģinot dearhivēt datus - iesaldējot vai būtiski palēninot datoru vai aizpildot disku ar lielu daudzumu “tukšu” datu. "Arhīva bumbas" ir īpaši bīstamas failu un pasta serveri, ja serveris izmanto kaut kādu automātiskās apstrādes sistēmu ienākošajai informācijai, “arhīva bumba” var vienkārši apturēt servera darbību.
• Trojan-Notifier - paziņojums par veiksmīgu uzbrukumu. Trojas zirgi šāda veida ir paredzēti, lai informētu tā “īpašnieku” par inficētu datoru. Šajā gadījumā uz “īpašnieka” adresi tiek nosūtīta informācija par datoru, piemēram, datora IP adrese, numurs atvērta osta, e-pasta adrese utt. Nosūtīšana tiek veikta dažādos veidos: pa e-pastu, speciāli izstrādāta adrese “saimnieka” tīmekļa lapai, ICQ ziņojums. Šīs Trojas zirgu programmas tiek izmantotas daudzkomponentu Trojas zirgu komplektos, lai informētu savu “kapteini” par Trojas zirgu komponentu veiksmīgu instalēšanu uzbruktajā sistēmā.

Skriptu vīrusi un tārpi

Datorvīrusu veidi

Mūsdienās nav neviena cilvēka, kurš nebūtu dzirdējis par datorvīrusiem. Kas tas ir, kas tie ir? datorvīrusu veidi un ļaunprātīgu programmatūru, mēģināsim to noskaidrot šajā rakstā. Tātad, datorvīrusi var iedalīt šādos veidos:

Reklāmas un informācijas programmas attiecas uz programmām, kas papildus savai galvenajai funkcijai parāda arī reklāmas banerus un visa veida uznirstošos reklāmas logus. Šādus reklāmas ziņojumus dažreiz var būt diezgan grūti paslēpt vai atspējot. Tādas reklāmas programmas Strādājot, tie ir balstīti uz datoru lietotāju uzvedību un ir diezgan problemātiski sistēmas drošības apsvērumu dēļ.

Aizmugures durvis

Slēptās administrēšanas utilītas ļauj apiet drošības sistēmas un nodot instalējošā lietotāja datoru savā kontrolē. Programma, kas darbojas slepenā režīmā, sniedz hakeram neierobežotas tiesības kontrolēt sistēmu. Ar šādu backdoor programmu palīdzību ir iespējams piekļūt lietotāja personīgajiem un privātajiem datiem. Bieži vien šādas programmas tiek izmantotas, lai inficētu sistēmu ar datorvīrusiem un slepeni instalētu ļaunprātīgu programmatūru bez lietotāja ziņas.

Boot vīrusi

Bieži galvenais sāknēšanas sektors jūsu HDD ietekmē īpaši sāknēšanas vīrusi. Šāda veida vīrusi aizstāj informāciju, kas nepieciešama vienmērīgai sistēmas palaišanai. Viena no šādas ļaunprātīgas programmas sekām ir nespēja lejupielādēt operētājsistēma...

Botu tīkls

Botu tīkls ir pilnvērtīgs tīkls internetā, kas ir pakļauts uzbrucēja administrēšanai un sastāv no daudziem inficētiem datoriem, kas mijiedarbojas viens ar otru. Kontrole pār šādu tīklu tiek panākta, izmantojot vīrusus vai Trojas zirgus, kas iekļūst sistēmā. Darbības laikā ļaunprātīga programmatūra nekādā veidā neizpaužas, gaidot komandas no uzbrucēja. Šādi tīkli tiek izmantoti SPAM ziņojumu sūtīšanai vai organizēšanai DDoS uzbrukumi ieslēgts nepieciešamie serveri. Interesanti, ka inficēto datoru lietotājiem var nebūt ne jausmas, kas notiek tīklā.

Ekspluatēt

Izmantošana (burtiski drošības caurums) ir skripts vai programma, kas izmanto konkrētus OS vai jebkuras programmas caurumus un ievainojamības. Līdzīgā veidā sistēmā iekļūst programmas, ar kurām var iegūt administratora piekļuves tiesības.

Mānīšana (burtiski joks, meli, mānīšana, joks, maldināšana)

Jau vairākus gadus daudzi interneta lietotāji saņem elektroniskas ziņas par vīrusiem, kas it kā tiek izplatīti pa e-pastu. Šādi brīdinājumi tiek masveidā izsūtīti ar asaru pilnu lūgumu, lai tie tiktu nosūtīti visiem kontaktiem jūsu personīgajā sarakstā.

Slazdi

Honeypot (medus pods) ir tīkla pakalpojums, kuras uzdevums ir uzraudzīt visu tīklu un reģistrēt uzbrukumus, kad notiek uzliesmojums. Parastais lietotājs pilnībā nezina par šāda pakalpojuma esamību. Ja hakeris pēta un uzrauga tīkla nepilnības, viņš var izmantot pakalpojumus, ko piedāvā šāds slazds. Tas tiks ierakstīts žurnālfailos un arī aktivizēs automātisku trauksmi.

Makro vīrusi

Makrovīrusi ir ļoti mazas programmas, kas ir rakstītas lietojumprogrammu makro valodā. Šādas programmas tiek izplatītas tikai starp tiem dokumentiem, kas tika izveidoti tieši šai lietojumprogrammai.

Lai aktivizētu šādas kaitīgās programmas, ir jāpalaiž lietojumprogramma, kā arī jāizpilda inficēts makro fails. Atšķirība no parastajiem makrovīrusiem ir tāda, ka infekcija notiek lietojumprogrammas dokumentos, nevis lietojumprogrammas startēšanas failos.

Lauksaimniecība

Pharming ir slēpta manipulācija ar pārlūkprogrammas resursdatora failu, lai novirzītu lietotāju uz viltotu vietni. Krāpnieki uztur lielus serverus, tajos tiek glabāta liela viltotu interneta lapu datubāze. Manipulējot ar resursdatora failu, izmantojot Trojas zirgu vai vīrusu, ir pilnīgi iespējams manipulēt ar inficēto sistēmu. Rezultātā inficētā sistēma ielādēs tikai viltotas vietnes, pat ja pārlūkprogrammas rindā ievadīsiet pareizo adresi.

Pikšķerēšana

Pikšķerēšana burtiski tiek tulkota kā lietotāja personiskās informācijas “makšķerēšana”, atrodoties internetā. Uzbrucējs nosūta potenciālajam upurim e-pastu, norādot, ka ir nepieciešams nosūtīt personisko informāciju apstiprināšanai. Bieži vien tas ir lietotāja vārds un uzvārds, nepieciešamās paroles, PIN kodi lai piekļūtu lietotāju kontiem tiešsaistē. Izmantojot šādus zagtus datus, hakeris var uzdoties par citu personu un veikt jebkādas darbības tās vārdā.

Polimorfie vīrusi

Polimorfie vīrusi ir vīrusi, kas savā darbā izmanto maskēšanos un transformāciju. Šajā procesā viņi var mainīt savu programmas kods paši un tāpēc tos ir ļoti grūti noteikt, jo paraksts laika gaitā mainās.

Programmatūras vīrusi

Datorvīruss ir izplatīta programma, kurai ir iespēja patstāvīgi pievienoties citām darbojošām programmām, tādējādi ietekmējot to darbību. Vīrusi patstāvīgi izplata savas kopijas, kas tos ievērojami atšķir no Trojas programmām. Tāpat atšķirība starp vīrusu un tārpu ir tāda, ka, lai vīruss darbotos, ir nepieciešama programma, kurai tas var pievienot savu kodu.

Rootkit

Rootkit ir noteikta kopa programmatūra, kas tiek slēpti instalēta lietotāja sistēmā, nodrošinot, ka kibernoziedznieka personīgā pieteikšanās un dažādi procesi tiek slēpti, vienlaikus veicot datu kopijas.

Skriptu vīrusi un tārpi

Šāda veida datorvīrusus ir diezgan vienkārši rakstīt, un tie tiek izplatīti galvenokārt pa e-pastu. Skriptu vīrusi izmanto skriptu valodas, lai pievienotos jaunizveidotiem skriptiem vai izplatītos, izmantojot darbības tīkla funkcijas. Inficēšanās bieži notiek pa e-pastu vai failu apmaiņas rezultātā starp lietotājiem. Tārps ir programma, kas pati pavairojas, bet kas inficē citas programmas. Kad tārpi vairojas, tie nevar kļūt par daļu no citām programmām, kas tos atšķir no parastajiem datorvīrusu veidiem.

Spiegprogrammatūra

Spiegi var nosūtīt lietotāja personas datus trešajām personām bez viņa ziņas. Spiegprogrammatūra tajā pašā laikā viņi analizē lietotāja uzvedību internetā, kā arī, pamatojoties uz savāktajiem datiem, rāda lietotājam sludinājumus vai uznirstošos logus (uznirstošos logus), kas noteikti interesēs lietotāju.

Faktiski makrovīrusi nav neatkarīga “suga”, bet tikai viena no lielas kaitīgo programmu saimes šķirnēm - skriptu vīrusi. Viņu izolācija ir saistīta tikai ar to, ka tieši makrovīrusi lika pamatu visai šai ģimenei, turklāt programmām “pielāgoti” vīrusi. Microsoft Office, saņēma visplašāk izplatīto no visa klana. Jāņem vērā arī tas, ka skriptu vīrusi ir failu vīrusu apakšgrupa. Šie vīrusi ir rakstīti dažādās skriptu valodās (VBS, JS, BAT, PHP utt.).

Skriptu vīrusu kopīga iezīme ir to saistīšanās ar kādu no “iebūvētajām” programmēšanas valodām. Katrs vīruss ir piesaistīts noteiktam “caurumam” viena no vīrusa aizsardzībā Windows programmas un tā nav neatkarīga programma, bet gan instrukciju kopums, kas piespiež programmas kopumā nekaitīgo “dzinēju” veikt tai neraksturīgas destruktīvas darbības.

Kā tas ir gadījumā ar Word dokumenti, mikroprogrammu (skriptu, Java sīklietotņu u.c.) izmantošana pati par sevi nav nekāds noziegums – lielākā daļa strādā diezgan mierīgi, padarot lapu pievilcīgāku vai ērtāku. Tērzēšana, viesu grāmata, balsošanas sistēma, skaitītājs - visas šīs ērtības mūsu lapas ir parādā mikroprogrammām - "skriptiem". Kas attiecas uz Java sīklietotnēm, tad arī to klātbūtne lapā ir pamatota - tās ļauj, piemēram, parādīt ērtu un funkcionālu izvēlni, kas izvēršas zem peles kursora...

Ērtības ir ērtības, taču neaizmirstiet, ka visas šīs sīklietotnes un skripti ir īstas, pilnvērtīgas programmas. Turklāt daudzi no tiem tiek palaists un darbojas nevis kaut kur tur, nezināmā serverī, bet tieši jūsu datorā! Un, ievietojot tajās vīrusu, lapas veidotāji varēs piekļūt jūsu saturam cietais disks. Sekas jau ir zināmas – no vienkāršas paroles zādzības līdz cietā diska formatēšanai.

Protams, ar “slepkavības skriptiem” nāksies saskarties simts reizes retāk nekā ar parastajiem vīrusiem. Starp citu, šajā gadījumā ir maz cerību uz parastajiem antivīrusiem, taču kopā ar lapu atvērtai kaitīgai programmai būs jāpārvar pašas pārlūkprogrammas aizsardzība, kuras veidotāji šādas lietas labi zina.

Atgriezīsimies uz mirkli Interneta iestatījumi Explorer, - proti, izvēlnē Rīki/Interneta opcijas/Drošība. Internet Explorer piedāvā mums vairākus drošības līmeņus. Papildus standarta aizsardzības līmenim (zona Internets) mēs varam stiprināt (zona Ierobežot) vai nolaidiet aizsargu (zona Uzticami mezgli). Nospiežot pogu Cits, mēs varam manuāli pielāgot pārlūkprogrammas drošību.

Tomēr lielākā daļa skriptu vīrusu izplatās pa e-pastu (šādus vīrusus bieži sauc par "interneta tārpiem"). Varbūt spilgtākie šīs ģimenes pārstāvji ir vīrusi Mīlestības vēstule Un Anna Kurņikova, kuras uzbrukumi notika 2001.-2002.gada sezonā, abi šie vīrusi izmantoja vienu un to pašu paņēmienu, kas balstījās ne tikai uz vājo operētājsistēmas aizsardzību, bet arī uz lietotāju naivumu.

Mēs atceramies, ka vīrusi visbiežāk tiek pārraidīti ar e-pasta ziņojumiem ar pievienotiem failiem. Mēs arī atceramies, ka vīruss var iekļūt datorā, izmantojot programmas (izpildāmos failus ar paplašinājumu *.exe, *.com.), vai caur Microsoft dokumenti Birojs. Tāpat atceramies, ka no bilžu malas vai skaņas failiŠķiet, ka nekādas nepatikšanas mums nevar draudēt. Un tāpēc, negaidīti pastkastītē atraduši vēstuli, kurai pievienota bilde (spriežot pēc faila nosaukuma un paplašinājuma), uzreiz ar prieku palaižam vaļā... Un atklājam, ka zem bildes slēpjas ļaundabīga vīrusa “skripts”. . Labi, ka mēs to atklājam nekavējoties, nevis pēc tam, kad vīruss ir spējis pilnībā iznīcināt visus jūsu datus.

Vīrusa veidotāju triks ir vienkāršs – failam, kas mums šķita kā bilde, bija dubults paplašinājums! Piemēram, Anna Kurņikova. jpg. vbs

Patiesais faila tips ir otrais paplašinājums, savukārt pirmais paplašinājums ir vienkārši tā nosaukuma daļa. Un tā kā vbs Windows paplašinājums ir labi zināms, tas bez vilcināšanās paslēpj to no lietotāju acīm, atstājot ekrānā tikai nosaukumu Anna Kurņikova. jpg

Un Windows to dara ar visiem reģistrētajiem failu tipiem: atļauja tiek atmesta, un faila veids ir jānorāda ar ikonu. Kuram, diemžēl, mēs reti pievēršam uzmanību.

Tas ir labs slazds, taču to ir vieglāk pamanīt: “dubultās paplašināšanas” triks nedarbojas, ja iepriekš aktivizējam faila tipa displeja režīmu. To var izdarīt, izmantojot izvēlni Mapes rekvizīti ieslēgts Vadības paneļi Windows: noklikšķiniet uz šīs ikonas un pēc tam atveriet grāmatzīmi Skatīt un noņemiet atzīmi no līnijas Paslēpt reģistrēto failu tipu paplašinājumus.

Atcerieties: tikai daži failu veidi ir atļauti kā “pielikums” e-pasta ziņojumam. Salīdzinoši droši txt failus, jpg, gif, tif, bmp, mp3, wma.

Šeit noteikti ir saraksts bīstami failu tipi:

Faktiski potenciālo "vīrusu nesēju" sarakstā ir vairāk nekā duci failu tipu. Bet tie ir biežāk nekā citi.