Интернет

Вирусы и другие вредоносные программы. Классификация вредоносных программ

18.04.2019

\\ 19.04.2010 16:35

Трудно найти современного человека, который бы не пользовался электронной почтой и другими Интернет-ресурсами, а значит, не подвергался бы угрозе атак вредоносных программ. Рассмотрим основные виды вредоносных программ.

Блокировщики Windows

Блокировщики Windows – это вредоносные программы , которые, согласно классификации, именуются Trojan.Winlock. Блокировщики Windows при старте системы Windows выводят поверх всех окон сообщение о том, что доступ в систему заблокирован, и для того, чтобы данное окно исчезло, необходимо отправить платное СМС-сообщение. В качестве причины блокировки программа могла информировать о том, что на компьютере установлена якобы нелицензионная операционная система или другое программное обеспечение (реже используются другие «поводы»). Известны случаи распространения конструкторов данных вредоносных программ за определённую сумму – приобрести их мог любой желающий. В последнее время блокировщики Windows стали более агрессивными. СМС-сообщения для разблокировки существенно подорожали. Некоторые модификации могут и не содержать в себе правильного кода для разблокировки, и, соответственно, пользователь после отправки денег злоумышленникам остается ни с чем. Данные программы не удаляются автоматически из системы по прошествии некоторого времени. Блокировщики Windows научились препятствовать запуску множества программ, способных упростить исследование блокировщика на заражённой системе или просто завершающих работу системы при попытке запуска такого ПО.
В случае заражения системы очередной модификацией Trojan.Winlock не следует перенаправлять деньги злоумышленникам! В случае подобной атаки немедленно обратитесь в техподдержку используемого антивируса.

Компьютерный вирус «червь»

Категория программ компьютерный вирус червь использует для распространения сетевые ресурсы. Черви проникают в компьютер, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Помимо сетевых адресов часто используются данные адресной книги почтовых клиентов. Представители этого класса вредоносных программ иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

Вирусы - программы, которые заражают другие программы - добавляют в них свой код, чтобы получить управление при запуске зараженных файлов. Это простое определение дает возможность выявить основное действие, выполняемое вирусом - заражение. Скорость распространения вирусов несколько ниже, чем у червей.

Вирус троянская программа

программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к «зависанию», воруют конфиденциальную информацию и т.д. Вирус Троянская программа (вопреки распространённому мнению) не является вирусом в традиционном понимании этого термина, т.е. не заражает другие программы или данные; троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом «полезного» программного обеспечения. При этом вред, наносимый ими, может во много раз превышать потери от традиционной вирусной атаки.
Внутри данной классификации можно выделить некоторые типы вредоносных программ , особо активные в последний период:

Лжеантивирусы

Попадают под категорию Троянских программ - Trojan.Fakealert. Эти программы при запуске внешне похожи на настоящие антивирусные программы, но не являются таковыми. Лжеантивирусы имеют цель завлечь пользователя на специально подготовленный вредоносный сайт, на котором он должен приобрести якобы полную версию продукта.
Как правило, лжеантивирусы распространяются в виде приложений к спам-письмам или через специально подготовленные вредоносные сайты. При этом чаще всего таким образом передаётся загрузчик лжеантивируса, который при запуске загружает с сервера злоумышленников компоненты, составляющие основной функционал. Упор во вредоносном ПО этого типа делается на визуальную часть – программа отображает системные окна Windows, которые сообщают о том, что данный антивирус якобы интегрирован в систему. Основное окно программы показывает процесс сканирования компьютера и имитирует обнаружение вирусов.
После того, как пользователь заплатит деньги за якобы полную версию такого антивируса, его беды отнюдь не заканчиваются - он остаётся "на крючке", и в систему могут быть загружены какие-либо другие вредоносные объекты.

Рукиты

Эти вредоносные программы скрывают своё присутствие в системе, а также позволяют работать в скрытом от глаз пользователя и большинства антивирусов режиме другим вредоносным программам, которые они загружают с вредоносных интернет-сайтов. Например, Рукиты могут находиться в составе какой-либо другой вирусной программы или находиться в составе антивируса.
Наиболее заметными вредоносными программами данного класса стало семейство BackDoor.Tdss (название приводится по классификации Dr.Web). За 2009 год компания "Доктор Веб" оперативно выпустила несколько горячих дополнений сканера с графическим интерфейсом, включающего в себя обновлённый антируткит-модуль Dr.Web Shield для противодействия новым руткит-технологиям. Рукиты – одна из последних модификаций – оснащены инструментами сокрытия в системе. К примеру, специально создаваемый зашифрованный виртуальный диск и механизм обхода некоторых типов поведенческих анализаторов.

За последние несколько лет популярность сетевых видеорегистраторов (NVR) существенно выросла. Конкуренция между готовыми программно-аппаратными комплексами NVR и решениями на основе программного обеспечения становится все острее.

Среди наиболее перспективных функций видеоанализа является отслеживание перемещений объектов - трекинг. Рассмотрим как алгоритмы построения траекторий по одной камере, так и технологии, позволяющие получить более общую, связную информацию по нескольким камерам системы.

Виды вредоносных программ

Вредоносная программа (malware) – это термин для обозначения любого программного обеспечения, специально созданного для того, чтобы причинять ущерб отдельному компьютеру или компьютерной сети. Рассмотрим основные разновидности вредоносных программ.

Компьютерный вирус – программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения.

Логическая бомба – это программа или фрагмент кода в программе, реализующий некоторую функцию при выполнении определенного условия, например, условием может быть наступление заданной даты. «Взрываясь», логическая бомба реализует нежелательную для пользователя функцию, например, удаляет некоторые данные.

Троянский конь – программа, выполняющая в дополнение к основным еще и дополнительные действия, не описанные в документации. Троянский конь представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу. Троянский конь обычно действует в рамках полномочий одного пользователя, но в интересах другого пользователя (злоумышленника).

Червь (сетевой червь) – тип вредоносных программ, распространяющихся в компьютерной сети, способных к преодолению систем защиты, а также к созданию и дальнейшему распространению своих копий и осуществлению иных вредоносных действий. Наилучший способ защиты – принятие мер предосторожности при работе в сети.

Захватчик паролей – это программа, специально разработанная для воровства паролей. Сценарий может быть следующим. Программа выводит на экран сообщение об окончания сеанса работы, а затем – запрос на ввод логина и пароля для входа в систему. Введенные пользователем данные пересылаются владельцу программы-захватчика. Для предотвращения этой угрозы перед вводом запрашиваемых данных необходимо убедиться, что Вы вводите имя и пароль именно системной программе, а не какой-нибудь другой.

Клавиатурный шпион (кейлоггер) – программное или аппаратное средство, основным назначением которого является скрытый мониторинг нажатий клавиш и ведение журнала этих нажатий. Кейлоггер безопасен для системы, однако он может быть очень опасным для пользователя: с помощью кейлоггера можно перехватить пароли и другую конфиденциальную информацию, вводимую пользователем с помощью клавиатуры. В результате злоумышленник узнает коды и номера счетов в электронных платежных системах, логины, пароли к системам электронной почты и т. д. Большинство антивирусных программ распознают известные кейлоггеры, и метод защиты от них не отличается от метода защиты от любого другого вредоносного программного обеспечения.

Условием, способствующим реализации многих видов угроз безопасности информации является наличие в программном коде «люков». Люк – это не описанная в документации на программный продукт возможность работы с этим программным продуктом. В результате пользователь получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности, выход в привилегированный режим). Люки чаще всего являются результатом забывчивости разработчиков. Например, в качестве люка может быть использован временный механизм прямого доступа к частям программы, созданный для облегчения процесса отладки и не удаленный по ее окончании. Защита от люков только одна – не допускать их появления в программе.

Аннотация: В лекции рассмотрены виды программно-математического воздействия: троянские кони, вирусы, сетевые черви. Особенности их функционирования, проникновения, основные свойства и классификация. В конце лекции приведен анализ трех наиболее популярных средств защиты информации: антивирусных программ, межсетевых экранов и систем обнаружения вторжений.

Вредоносные программы и их классификация

Программно-математическое воздействие - это воздействие на защищаемую информацию с помощью вредоносных программ .

Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы . Иными словами вредоносной программой называют некоторый самостоятельный набор инструкций, который способен выполнять следующее:

  1. скрывать свое присутствие в компьютере;
  2. обладать способностью к самоуничтожению, маскировкой под легальные программы и копирования себя в другие области оперативной или внешней памяти;
  3. модифицировать (разрушать, искажать) код других программ;
  4. самостоятельно выполнять деструктивные функции – копирование, модификацию, уничтожение, блокирование и т.п.
  5. искажать, блокировать или подменять выводимую во внешний канал связи или на внешний носитель информацию.

Основными путями проникновения вредоносных программ в АС, в частности, на компьютер, являются сетевое взаимодействие и съемные носители информации (флешки, диски и т.п.). При этом внедрение в систему может носить случайный характер.

Основными видами вредоносных программ являются:

  • программные закладки;
  • программные вирусы;
  • сетевые черви ;
  • другие вредоносные программы, предназначенные для осуществления НСД.

К программным закладкам относятся программы и фрагменты программного кода, предназначенные для формирования недекларированных возможностей легального программного обеспечения.

Недекларированные возможности программного обеспечения – функциональные возможности программного обеспечения, не описанные в документации . Программная закладка часто служит проводником для других вирусов и, как правило, не обнаруживаются стандартными средствами антивирусного контроля.

Закладки иногда делят на программные и аппаратные, но фактически все закладки – программные, так как под аппаратными закладками подразумеваются так называемые прошивки.

Программные закладки различают в зависимости от метода их внедрения в систему:

  • программно-аппаратные. Это закладки, интегрированные в программно-аппаратные средства ПК ( BIOS , прошивки периферийного оборудования);
  • загрузочные. Это закладки, интегрированные в программы начальной загрузки (программы- загрузчики ), располагающиеся в загрузочных секторах ;
  • драйверные. Это закладки, интегрированные в драйверы (файлами, необходимые операционной системе для управления подключенными к компьютеру периферийными устройствами);
  • прикладные. Это закладки, интегрированные в прикладное программное обеспечение (текстовые редакторы, графические редакторы, различные утилиты и т.п.);
  • исполняемые. Это закладки, интегрированные в исполняемые программные модули. Программные модули чаще всего представляют собой пакетные файлы, которые состоят из команд операционной системы, выполняемых одна за другой, как если бы их набирали на клавиатуре компьютера;
  • закладки-имитаторы. Это закладки, которые с помощью похожего интерфейса имитируют программы, в ходе работы которых требуется вводить конфиденциальную информацию;

Для выявления программных закладок часто используется качественный подход, заключающийся в наблюдении за функционированием системы, а именно:

  • снижение быстродействия;
  • изменение состава и длины файлов;
  • частичное или полное блокирование работы системы и ее компонентов;
  • имитация физических (аппаратных) сбоев работы вычислительных средств и периферийных устройств;
  • переадресация сообщений;
  • обход программно-аппаратных средств криптографического преобразования информации;
  • обеспечение доступа в систему с несанкционированных устройств.

Существуют также диагностические методы обнаружения закладок. Так, например, антивирусы успешно находят загрузочные закладки. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor, входящий в распространенный комплекс утилит Norton Utilities. К наиболее распространенным программным закладкам относится " троянский конь ".

Троянским конем называется:

  • программа, которая, являясь частью другой программы с известными пользователю функциями, способна втайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба;
  • программа с известными ее пользователю функциями, в которую были внесены изменения, чтобы, помимо этих функций, она могла втайне от него выполнять некоторые другие (разрушительные) действия.

Перечислим основные виды троянских программ и их возможности:

  • Trojan-Notifier - Оповещение об успешной атаке. Троянцы данного типа предназначены для сообщения своему "хозяину" о зараженном компьютере. При этом на адрес "хозяина" отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п.
  • Trojan-PSW - Воровство паролей. Они похищают конфиденциальные данные с компьютера и передают их хозяину по электронной почте.
  • Trojan-Clicker - интернет-кликеры - Семейство троянских программ , основная функция которых - организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Методы для этого используются разные, например установка злонамеренной страницы в качестве домашней в браузере.
  • Trojan-DDoS - Trojan - DDoS превращают зараженный компьютер в так называемый бот, который используется для организации атак отказа в доступе на определенный сайт. Далее от владельца сайта требуют заплатить деньги за прекращение атаки.
  • Trojan-Proxy - Троянские прокси-сервера . Семейство троянских программ , скрытно осуществляющих анонимный доступ к различным Интернет-ресурсам. Обычно используются для рассылки спама.
  • Trojan-Spy - Шпионские программы. Они способны отслеживать все ваши действия на зараженном компьютере и передавать данные своему хозяину. В число этих данных могут попасть пароли, аудио и видео файлы с микрофона и видеокамеры, подключенных к компьютеру.
  • Backdoor - Способны выполнять удаленное управление зараженным компьютером. Его возможности безграничны, весь ваш компьютер будет в распоряжении хозяина программы. Он сможет рассылать от вашего имени сообщения, знакомиться со всей информацией на компьютере, или просто разрушить систему и данные без вашего ведома.
  • Trojan-Dropper - Инсталляторы прочих вредоносных программ . Очень похожи на Trojan -Downloader, но они устанавливают злонамеренные программы, которые содержатся в них самих.
  • Rootkit - способны прятаться в системе путем подмены собой различных объектов. Такие трояны весьма неприятны, поскольку способны заменить своим программным кодом исходный код операционной системы, что не дает антивирусу возможности выявить наличие вируса.

Абсолютно все программные закладки, независимо от метода их внедрения в компьютерную систему, срока их пребывания в оперативной памяти и назначения, имеют одну общую черту: обязательное выполнение операции записи в оперативную или внешнюю память системы. При отсутствии данной операции никакого негативного влияния программная закладка оказать не может.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению. Таким образом, обязательным свойством программного вируса является способность создавать свои копии и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Жизненный цикл вируса состоит из следующих этапов:

  • Проникновение на компьютер
  • Активация вируса
  • Поиск объектов для заражения
  • Подготовка вирусных копий
  • Внедрение вирусных копий

Классификация вирусов и сетевых червей представлена на рисунке 10.1.

Вирусный код загрузочного типа позволяет взять управление компьютером на этапе инициализации, еще до запуска самой системы. Загрузочные вирусы записывают себя либо в в boot-сектор, либо в сектор, содержащий системный загрузчик винчестера , либо меняют указатель на активный boot-сектор. Принцип действия загрузочных вирусов основан на алгоритмах запуска ОС при включении или перезагрузке компьютера: после необходимых тестов установленного оборудования (памяти, дисков и т. д.) программа системной загрузки считывает первый физический сектор загрузочного диска и передает управление на А:, С: или CD-ROM, в зависимости от параметров, установленных в BIOS Setup .

В случае дискеты или CD-диска управление получает boot-сектор диска, который анализирует таблицу параметров диска (ВРВ - BIOS Parameter Block ), высчитывает адреса системных файлов ОС, считывает их в память и запускает на выполнение. Системными файлами обычно являются MSDOS.SYS и IO.SYS, либо IBMDOS.COM и IBMBIO.COM, либо другие в зависимости от установленной версии DOS, и/или Windows, или других ОС. Если же на загрузочном диске отсутствуют файлы операционной системы, программа, расположенная в boot-секторе диска, выдает сообщение об ошибке и предлагает заменить загрузочный диск.

В случае винчестера управление получает программа, расположенная в MBR винчестера . Она анализирует таблицу разбиения диска (Disk Partition Table ), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска С:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.

При заражении дисков загрузочные вирусы подставляют свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика , а коду вируса.

Пример: Вредоносная программа Virus .Boot. Snow .a записывает свой код в MBR жесткого диска или в загрузочные сектора дискет. При этом оригинальные загрузочные сектора шифруются вирусом. После получения управления вирус остается в памяти компьютера (резидентность) и перехватывает прерывания. Иногда вирус проявляет себя визуальным эффектом - на экране компьютера начинает падать снег.


Рис. 10.1.

Файловые вирусы – вирусы, которые заражают непосредственно файлы. Файловые вирусы можно разделить на три группы в зависимости от среды, в которой распространяется вирус:

  1. файловые вирусы – работают непосредственно с ресурсами операционной системы. Пример: один из самых известных вирусов получил название "Чернобыль". Благодаря своему небольшому размеру (1 Кб) вирус заражал PE-файлы таким образом, что их размер не менялся. Для достижения этого эффекта вирус ищет в файлах "пустые" участки, возникающие из-за выравнивания начала каждой секции файла под кратные значения байт. После получения управления вирус перехватывает IFS API, отслеживая вызовы функции обращения к файлам и заражая исполняемые файлы. 26 апреля срабатывает деструктивная функция вируса, которая заключается в стирании Flash BIOS и начальных секторов жестких дисков. Результатом является неспособность компьютера загружаться вообще (в случае успешной попытки стереть Flash BIOS ) либо потеря данных на всех жестких дисках компьютера.
  2. Макровирусы – вирусы, написанные на макроязыках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.п.). Самыми распространенными являются вирусы для программ Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя (свои копии) из одного документа в другой.

    Для существования макровирсуов в конкретном редакторе встроенный в него макроязык должен обладать следующими возможностями:

    • привязка программы на макроязыке к конкретному файлу;
    • копирование макропрограмм из одного файла в другой;
    • получение управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).

    Данным условиям удовлетворяют прикладные программы Microsoft Word, Excel и Microsoft Access. Они содержат в себе макроязыки: Word Basic, Visual Basic for Applications. Современные макроязыки обладают вышеперечисленными особенностями с целью предоставления возможности автоматической обработки данных.

    Большинство макровирусов активны не только в момент открытия ( закрытия) файла , но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов Word/Excel/Office. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не макросов. Известно три подобных приема, все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть следы присутствия вируса). Основной код таких вирусов присутствует либо в самом макросе вируса в виде текстовых строк (иногда – зашифрованных), либо хранится в области переменных документа .

  3. Сетевые вирусы – вирусы, которые для своего распространения используют протоколы и возможности локальных и глобальных сетей. Основным свойством сетевого вируса является возможность самостоятельно тиражировать себя по сети. При этом существуют сетевые вирусы, способные запустить себя на удаленной станции или сервере.

Основные деструктивные действия, выполняемые вирусами и "

  • потеря данных
  • хищение информации.

    • Помимо всего вышеописанного, существуют вирусы комбинированного типа, которые объединяют в себе свойства разных типов вирусов, например, файлового и загрузочного. В виде примера приведем популярный в минувшие годы файловый загрузочный вирус под названием "OneHalf". Этот вирусный код, оказавшись в компьютерной среде операционной системы "MS-DOS" заражал основную запись загрузки. В процессе инициализации компьютера он шифровал секторы основного диска, начиная с конечных. Когда вирус оказывается в памяти, он начинает контролировать любые обращения к шифровальным секторам и может расшифровать их таким образом, что все программы будут работать в штатном режиме. Если вирус "OneHalf" просто стереть из памяти и сектора загрузки, то информация, записанная в шифровальном секторе диска, станет недоступной. Когда вирус зашифровывает часть диска, он предупреждает об этом следующей надписью: " Dis is one half , Press any key to continue...". После этих действий он ждет, когда вы нажмете на любую кнопку и продолжите ра ботать. В вирусе "OneHalf" использованы разные маскировочные механизмы. Он считается невидимым вирусом и выполняет полиморфные алгоритмические функции. Обнаружить и удалить вирусный код "OneHalf" весьма проблематично, потому что, его могут увидеть не все антивирусные программы.

    На этапе подготовки вирусных копий современные вирусы часто используют методы маскировки копий с целью затруднения их нахождения антивирусными средствами :

    • Шифрование - вирус состоит из двух функциональных кусков: собственно вирус и шифратор . Каждая копия вируса состоит из шифратора , случайного ключа и собственно вируса, зашифрованного этим ключом.
    • Метаморфизм - создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода "мусорных" команд, которые практически ничего не делают.

    Сочетание этих двух технологий приводит к появлению следующих типов вирусов.

    • Шифрованный вирус - вирус, использующий простое шифрование со случайным ключом и неизменный шифратор . Такие вирусы легко обнаруживаются по сигнатуре шифратора .
    • Метаморфный вирус - вирус, применяющий метаморфизм ко всему своему телу для создания новых копий.
    • Полиморфный вирус - вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом. При этом часть информации, используемой для получения новых копий шифратора также может быть зашифрована. Например, вирус может реализовывать несколько алгоритмов шифрования и при создании новой копии менять не только команды шифратора , но и сам алгоритм.

    Червь - тип вредоносных программ , распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия. Самым знаменитым червем является червь Moriss, механизмы работы которого подробно описаны в литературе. Червь появился в 1988 году и в течение короткого промежутка времени парализовал работу многих компьютеров в Интернете. данный червь является "классикой" вредоносных программ , а механизмы нападения, разработанные автором при его написании, до сих пор используются злоумышленниками. Moriss являлся самораспространяющейся программой, которая распространяла свои копии по сети, получая привилегированные права доступа на хостах сети за счет использования уязвимостей в операционной системе. Одной из уязвимостей, использованных червем, была уязвимая версия программы sendmail (функция "debug" программы sendmail, которая устанавливала отладочный режим для текущего сеанса связи), а другой - программа fingerd (в ней содержалась ошибка переполнения буфера ). Для поражения систем червь использовал также уязвимость команд rexec и rsh, а также неверно выбранные пользовательские пароли.

    На этапе проникновения в систему черви делятся преимущественно по типам используемых протоколов:

    • Сетевые черви - черви , использующие для распространения протоколы Интернет и локальных сетей. Обычно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов tcp/ip.
    • Почтовые черви - черви , распространяющиеся в формате сообщений электронной почты. Как правило, в письме содержится тело кода или ссылка на зараженный ресурс. Когда вы запускаете прикрепленный файл, червь активизируется; когда вы щелкаете на ссылке, загружаете, а затем открываете файл, червь также начинает выполнять свое вредоносное действие. После этого он продолжает распространять свои копии, разыскивая другие электронные адреса и отправляя по ним зараженные сообщения. Для отправки сообщений червями используются следующие способы: прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку; использование сервисов MS Outlook; использование функций Windows MAPI . Для поиска адресов жертв чаще всего используется адресная книга MS Outlook, но может использоваться также адресная база WAB. Червь может просканировать файлы, хранящиеся на дисках, и выделить из них строки, относящиеся к адресам электронной почты. Черви могут отсылать свои копии по всем адресам, обнаруженным в почтовом ящике (некоторые обладают способностью отвечать на письма в ящике). Встречаются экземпляры, которые могут комбинировать способы.
    • IRC-черви -

    Двумя большими угрозами для сетевых клиентов являются вредоносные программы и фишинг. «Вредоносные программы» – это общее название программ, разработанных для изменения или повреждения данных, программного обеспечения, деталей компьютера. Существуют несколько типов вредоносных программ: вирусы, черви и Трояны.

    Однако, так как вредоносные программы развивались от демонстрации искусства отдельными индивидуумами-программистами до изощренных технологий, разрабатываемых организованными преступными группами, границы между разными категориями начинают размываться.

    Вирусы

    Лучше всего известные типы вредоносных программ, это вирусы. И хотя многие вредоносные программы называют вирусами, они не имеют ничего общего с ними.

    Вирус – это программа, которая была написана, чтобы вставлять копии себя в приложения и данные, а также в критически важные части жесткого диска компьютера. Вирусами называют самовоспроизводящиеся программы и датируют их появление началом 70-х годов. Но широко известны они стали только после развития микрокомпьютеров и Интернета.

    Вирусы внедряют себя в специфические приложения на компьютере и запускаются при первом запуске программы. На этом этапе вирус может создать свою копию на жестком диске и продолжает работать или может работать каждый раз во время запуска приложения. Первые вирусы хранились на дискетах, быстро распространялись и инфицировали дискеты с данными, которые использовались в офисах многими людьми, или с помощью пиратских программ, которые передавались через игры. В наши дни, вирусы хранятся на других устройствах, таких как флеш-карты или распространяются через Интернет-соединения.

    Хотя некоторые вирусы не созданы для причинения ущерба, большинство таких программ разработаны чтобы вредить пользователям, повреждая их данные, атакуя операционную систему или обеспечивая используемые «лазейки», предоставляя взломщикам доступ к компьютеру. Даже если ущерб не предусматривается, вирусы используют память, пространство на диске и понижают производительность компьютера.

    Черви

    Другим типом самовоспроизводящихся вредоносных программ являются черви; также как и вирусы они разработаны чтобы создавать свои копии; но в отличии от вирусов, черви являются автономными приложениями.

    Черви распространяются через сетевые соединения, попадая на неинфицированные компьютеры, а затем используют их ресурсы чтобы передавать еще больше копий через сети.

    Существуют четыре этапа атаки червей:

    1. Первый этап это когда червь проверяет другие компьютеры в поисках уязвимостей, которые можно использовать для внедрения своих копий.
    2. Следующим этапом является проникновение в уязвимый компьютер, посредством выполнения операций для использования уязвимостей. Например, червь может обнаружить открытое сетевое соединение, через которое он может получить удаленный доступ к машине для выполнения своих инструкций.
    3. На третьем этапе червь загружает себя в удаленный компьютер и хранится там. Это часто называется этап «сохранения».
    4. На следующем этапе червь будет саморазмножаться, выбирая новые компьютеры для пробных попыток.

    Черви были изобретены благодаря любопытству и предлагались как способы тестирования сетей или распространения патчей для программ по сети; однако их недостатки намного превышают их преимущества. Даже самый «милый» червь использует ресурсы и может влиять на производительность компьютерной системы.

    Трояны

    Последний главный тип вредоносных программ это Троян (или Троянский конь); назван в честь деревянного коня, который предположительно был тайно провезен с солдатами Греции в древний город Трою.

    Троян маскируется под полностью легитимную программу (как например экранная заставка), но при этом тайно наносит вред – позволяя кому-то получать контроль над компьютером, копируя личную информацию, удаляя информацию, отслеживая набранный на клавиатуре текст, или используя программы для отправки почты чтобы передаваться на другие компьютеры. В отличие от вирусов и червей, Трояны не являются самовоспроизводящимися программами, для распространения между компьютерами они полагаются на свою кажущуюся полезность.

    Некоторые Трояны работают изолированно. Однако, иногда они используют сети, для передачи похищенной информации – такой как пароли, информации о банковских счетах или номера кредитных карт, или же действуют как лазейки для поврежденных компьютеров. Они позволяют взломщикам обходить функции безопасности операционных систем и получать доступ к данным или даже контролировать компьютер посредством сети.