Люди склонны легкомысленно пользоваться терминологией сферы информационной безопасности. Однако важно правильно классифицировать вредоносные программы, потому что знание того, как распространяются их различные типы, имеет жизненно важное значение для их сдерживания и удаления, пишет издание CSO.
Этот краткий бестиарий по определению вредоносных программ поможет вам правильно понять термины, если вам придется взаимодействовать с людьми из этой сферы.
Компьютерный вирус - это то, как большинство средств массовой информации и обычные конечные пользователи называют каждую вредоносную программу, о которой сообщается в новостях. К счастью, большинство вредоносных программ не являются вирусами. Компьютерный вирус модифицирует другие легитимные файлы хоста (или указатели на них) таким образом, что при запуске файла у жертвы запускается и вирус.
Чистые компьютерные вирусы сегодня - редкость, они составляют менее 10% всех вредоносных программ. Это хорошо: вирусы - единственный тип вредоносного ПО, которое «заражает» другие файлы. Это делает их особенно трудными для очистки, поскольку вредоносное ПО должно быть извлечено из легитимной программы. Это всегда было нетривиально, а сегодня практически невозможно. Лучшие антивирусные программы не умеют делать это правильно и во многих (если не в большинстве) случаях просто помещают файлы в карантин или вместо этого удаляют их.
Черви существуют даже дольше, чем компьютерные вирусы, еще во времена мэйнфреймов. Электронная почта ввела их в моду в конце 1990-х, и в течение почти десятилетия профессионалов в области компьютерной безопасности осаждали вредоносные черви, которые приходили в виде вложений в сообщения. Один человек откроет зараженное электронное письмо, и вся компания будет заражена в кратчайшие сроки.
Отличительная черта компьютерного червя в том, что он самовоспроизводится. Возьмем, к примеру, печально известного червя Iloveyou: когда он сработал, он поразил почти всех пользователей электронной почты в мире, перегрузил телефонные системы (мошенническими сообщениями), отключил телевизионные сети и даже задержал на полдня выпуск ежедневной газеты. Несколько других червей, включая SQL Slammer и MS Blaster, обеспечили ему место в истории компьютерной безопасности.
Что делает эффективного червя настолько разрушительным, так это его способность распространяться без каких-либо действий со стороны конечного пользователя. Вирусы, напротив, требуют, чтобы конечный пользователь хотя бы запустил его, прежде чем он сможет попытаться заразить другие невинные файлы и пользователей. Черви используют другие файлы и программы для выполнения грязной работы. Например, червь SQL Slammer использовал (исправленную) уязвимость в Microsoft SQL, чтобы вызвать переполнение буфера почти на каждом непропатченном сервере SQL, подключенном к Интернету, примерно за 10 минут - рекорд скорости, который сохраняется и по сей день.
Компьютерные черви были заменены троянскими вредоносными программами, которые стали излюбленным оружием хакеров. Трояны маскируются под легальные программы, но содержат вредоносные инструкции. Они существуют вечно, даже дольше, чем компьютерные вирусы, но захватили современные компьютеры больше, чем любой другой тип вредоносного ПО.
Чтобы выполнить свою работу, жертва должна запустить троян. Трояны обычно приходят по электронной почте или навязываются пользователям, когда они посещают зараженные веб-сайты. Самый популярный тип троянов - это поддельная антивирусная программа, которая появляется и сообщает, что вы заражены, а затем предлагает вам запустить программу для очистки компьютера. Пользователи заглатывают приманку, и троянец пускает корни.
В частности, среди киберпреступников стали популярны трояны удаленного доступа (RAT). RAT позволяют злоумышленнику получить удаленный контроль над компьютером жертвы, часто с намерением продвинуться дальше и заразить всю сеть. Этот тип троянцев разработан, чтобы избежать обнаружения. Злоумышленникам даже не нужно писать свои собственные трояны. Сотни стандартных RAT доступны на подпольных рынках.
От троянов сложно защититься по двум причинам: их легко написать (киберпреступники обычно производят и продают комплекты для создания троянов) и распространять, обманывая конечных пользователей, - с чем не могут бороться патчи, брандмауэры и другие традиционные средства защиты. Создатели вредоносных программ ежемесячно выпускают миллионы троянов. Поставщики защиты от вредоносных программ изо всех сил стараются бороться с троянами, но у такого вредоносного ПО слишком много сигнатур, чтобы успевать за ними.
Сегодня большинство вредоносных программ представляет собой комбинацию традиционных вредоносных программ, часто включая части троянов и червей, а иногда и вирусов. Обычно вредоносная программа представляется конечному пользователю как троян, но после запуска она атакует других жертв по сети, как червь.
Многие из сегодняшних вредоносных программ считаются руткитами или стелс-программами. По сути, вредоносные программы пытаются изменить базовую операционную систему, чтобы получить полный контроль и скрыться от программ защиты. Чтобы избавиться от этих типов программ, необходимо удалить из памяти управляющий компонент, начиная со сканирования на наличие вредоносных программ.
Боты, по сути, представляют собой комбинации троянов и червей, которые пытаются сделать отдельных уязвимых клиентов частью более крупной вредоносной сети. У бот-мастеров есть один или несколько серверов «управления и контроля», на которые клиенты-боты проверяют, чтобы получить обновленные инструкции. Размер бот-сетей варьируется от нескольких тысяч взломанных компьютеров до огромных сетей с сотнями тысяч систем, находящихся под контролем одного хозяина ботнета. Эти ботнеты часто сдают в аренду другим преступникам, которые затем используют их в своих гнусных целях.
Вредоносные программы, которые шифруют ваши данные и удерживают их в качестве заложников в ожидании выплаты криптовалюты, составляли огромный процент вредоносных программ в последние несколько лет, и этот процент все еще растет. Программы-вымогатели часто наносят вред компаниям, социальным учреждениям и даже целым городам.
Большинство программ-вымогателей являются троянскими программами, что означает, что они должны распространяться с помощью какой-либо социальной инженерии. После запуска большинство из них ищут и шифруют файлы пользователей в течение нескольких минут, хотя некоторые из них сейчас придерживаются «выжидательного» подхода. Наблюдая за пользователем в течение нескольких часов перед включением процедуры шифрования, администратор вредоносного ПО может точно выяснить, сколько денежных средств в качестве выкупа может себе позволить потратить жертва, а также обязательно удалить или зашифровать другие предположительно безопасные резервные копии.
Заражение программами-вымогателями можно предотвратить так же, как и любым другим типом вредоносных программ, но после непосредственного запуска может быть трудно обратить вспять ущерб без хорошей проверенной резервной копии. Согласно некоторым исследованиям, около четверти жертв вынуждены выплатить выкуп, и около 30 процентов из них до сих пор не смогли разблокировать свои файлы. В любом случае для разблокировки зашифрованных файлов, если это возможно, требуются определенные инструменты, ключи дешифрования и больше, чем немного удачи. Лучший совет - убедитесь, что у вас есть хорошая автономная резервная копия всех важных файлов.
Бесфайловые вредоносные программы - это не совсем другая категория вредоносных программ, а скорее описание того, как они эксплуатируются и продолжают действовать. Традиционные вредоносные программы путешествуют и заражают новые компьютеры с помощью файловой системы. Бесфайловые вредоносные программы, которые сегодня составляют более 50 процентов таких программ и продолжают расти, - это вредоносные программы, которые напрямую не используют файлы или файловую систему. Вместо этого они эксплуатируются и распространяются только в памяти или с использованием других «нефайловых» объектов ОС, таких как ключи реестра, API-интерфейсы или запланированные задачи.
Многие бесфайловые атаки начинаются с использования существующей легитимной программы, превращаясь в новый «подпроцесс» или с использования существующих легитимных инструментов, встроенных в ОС (например, Microsoft PowerShell). Конечным результатом является то, что бесфайловые атаки труднее обнаружить и остановить. Если вы еще не очень хорошо знакомы с распространенными методами и программами бесфайловых атак, вам, вероятно, стоит их изучить, если вы хотите сделать карьеру в области компьютерной безопасности.
Если вам повезет, единственная вредоносная программа, с которой вы контактируете, - это рекламное ПО, которое пытается предоставить взломанному конечному пользователю нежелательную, потенциально вредоносную рекламу. Обычная рекламная программа может перенаправлять поисковые запросы пользователя в браузере на похожие веб-страницы, содержащие другие рекламные продукты.
Не следует путать с рекламным ПО, вредоносная реклама - это использование законной рекламы или рекламных сетей для скрытой доставки вредоносного ПО на компьютеры ничего не подозревающих пользователей. Например, киберпреступник может заплатить за размещение рекламы на законном веб-сайте. Когда пользователь нажимает на объявление, код в объявлении либо перенаправляет его на вредоносный веб-сайт, либо устанавливает вредоносное ПО на компьютер. В некоторых случаях вредоносное ПО, встроенное в рекламу, может запускаться автоматически без каких-либо действий со стороны пользователя - метод, называемый «попутной загрузкой».
Известно также, что киберпреступники взламывают законные рекламные сети, которые доставляют рекламу на многие веб-сайты. Вот почему популярные веб-сайты, такие как New York Times, Spotify и сайт Лондонской фондовой биржи, часто становятся целями для вредоносной рекламы, подвергая опасности своих пользователей.
Цель киберпреступников, использующих вредоносную рекламу, - конечно же, заработать деньги. Вредоносная реклама может распространять любые виды вредоносных программ, приносящих прибыль, включая программы-вымогатели, скрипты криптомайнинга или банковские трояны.
Шпионское ПО чаще всего используется людьми, которые хотят проверить компьютерную деятельность своих близких. Конечно, в целевых атаках преступники могут использовать шпионское ПО для регистрации нажатий клавиш жертвами и получения доступа к паролям или интеллектуальной собственности.
Рекламное и шпионское ПО, как правило, удалить легче всего, часто потому, что они не так опасны по своим намерениям, как другие типы вредоносных программ. Найдите вредоносный исполняемый файл и предотвратите его выполнение - готово.
Гораздо более серьезную проблему, чем фактическое рекламное или шпионское ПО, вызывает механизм, который использовался для он использовал для несанкционированного доступа к компьютеру или пользователю, будь то социальная инженерия, непропатченное программное обеспечение или еще дюжина других основных причин эксплойтов. Это связано с тем, что, хотя намерения шпионского или рекламного ПО не столь страшны, как, скажем, трояна, они оба используют одни и те же методы для взлома. Наличие рекламного/шпионского ПО должно служить предупреждением о том, что у устройства или пользователя есть какая-то слабость, которую нужно исправить, прежде чем возникнет реальная проблема.
К сожалению, поиск и удаление отдельных компонентов вредоносной программы может оказаться глупой затеей. Легко ошибиться и упустить какой-либо компонент. Кроме того, вы не знаете, изменила ли вредоносная программа систему таким образом, что сделать ее полностью надежной снова будет невозможно.
Если вы хорошо не обучены удалению вредоносных программ и экспертизе, сделайте резервную копию данных (при необходимости), отформатируйте диск и переустановите программы и данные при обнаружении вредоносного ПО на компьютере. Обновите его и убедитесь, что конечные пользователи знают, что они сделали не так. Таким образом, вы получите надежную компьютерную платформу и продвинетесь вперед в битве без каких-либо рисков и неудобных вопросов.
Автор: Roger A. GrimesНажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться