Вредоносные программы можно разделить на три группы:
-
Компьютерные вирусы.
-
Cетевые черви.
-
Троянские программы.
Компьютерные вирусы - это программы, которые умеют размножаться и внедрять свои копии в другие программы, т.е. заражать уже существующие файлы. Обычно это исполняемые файлы (*.exe, *.com) или файлы, содержащие макропроцедуры (*.doc, *.xls), которые в результате заражения становятся вредоносными.
Классические вирусы
Компьютерный вирус, как правило, попадает на компьютер-жертву по причинам, не зависящим от функционала кода. Обычно виноват пользователь, который не проверяет антивирусной программой информацию, попадающую на компьютер, в результате чего, собственно, и происходит заражение. Способов «подцепить» классический вирус довольно много:
-
внешние носители информации;
-
интернет ресурсы;
-
файлы, распространяющиеся по сети (lan, internet).
Перезаписывающие вирусы (overwriting). Самый распространенный способ заражения. Вирус переписывает код программы (заменяет его своим), после чего, естественно, файл перестает работать.
Паразитические вирусы (parasitic). К таковым относятся все вирусы, которые изменяют содержимое файла, но при этом оставляют его работоспособным. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting).
Вирусы-компаньоны (companion). Данный способ подразумевает создание файла-двойника, при этом код файла-жертвы не изменяется. Обычно вирус изменяет расширение файла (например, с .exe на .com), потом создает свою копию с именем, идентичным имени файла-жертвы, и дает ему расширение, тоже идентичное. Ничего не подозревающий пользователь запускает любимую программу и не подозревает, что это вирус. Вирус, в свою очередь, заражает еще несколько файлов и запускает программу, затребованную пользователем.
Загрузочные вирусы заражают загрузочный сектор гибкого диска и boot-сектор или master boot record (mbr) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера — после необходимых тестов установленного оборудования (памяти, дисков и т.д.)
Сетевые черви
Сетевой червь — это вредоносный программный код, распространяющий свои копии по локальным или/и глобальным сетям с целью проникновения на компьютер-жертву, запуска своей копии на этом компьютере и дальнейшего распространения. Для распространения черви используют электронную почту, isq, p2p- и irc-сети, lan, сети обмена данными между мобильными устройствами. Большинство червей распространяются в файлах (вложение в письмо, ссылка на файл и т.д.). Но существуют и черви, которые распространяются в виде сетевых пакетов. Такие разновидности проникают непосредственно в память компьютера и сразу начинают действовать резидентно. Для проникновения на компьютер-жертву используются несколько путей: самостоятельный (пакетные черви), пользовательский (социальный инжиниринг), а также различные бреши в системах безопасности операционной системы и приложений. Некоторые черви обладают свойствами других типов вредоносного программного обеспечения (чаще всего это троянские программы). Классы сетевых червей:
-
Почтовые черви (email-worm).
-
Черви, использующие интернет-пейджеры (im-worm).
-
Черви в irc-каналах (irc-worm).
-
Черви для файлообменных сетей (p2p-worm).
Троянские программы
Троянская программа — это вредоносный код, совершающий не санкционированные пользователем действия (например, кража информации, уничтожение или модификация информации, использование ресурсов машины в злонамеренных целях и т.д.). Троянские программы являются наиболее распространенными в киберсреде, так как существует множество конструкторов, позволяющих даже неопытному пользователю создавать собственные программы данного типа.
Сокрытие присутствия в операционной системе (rootkit). Понятие rootkit пришло к нам из unix. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root. Так как инструменты типа rootkit на сегодняшний день «прижились» и на других ОС (в том числе на windows), следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.
Прочие вредоносные программы
К прочим вредоносным относятся разнообразные программы, не представляющие угрозы непосредственно компьютеру, на котором исполняются, а разработанные для создания других вирусов или троянских программ, организации dos-атак на удаленные серверы, взлома других компьютеров и т.п. .
-
Сетевые атаки (dos, ddos). Эти «утилиты» используются нарушителями для организации атак на отказ в обслуживании.
-
Взломщики удаленных компьютеров (exploit, hacktool)
-
Замусоривание» сети (flood). Забивание интернет-каналов бесполезной информацией.
-
Фатальные сетевые атаки (nuker).
-
Шифровальщики вредоносного ПО (filecryptor, polycryptor)