Типы вирусов и их основные свойства. Основные виды вредоносных программ

Компьютерный вирус — разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. По этой причине вирусы относят к вредоносным программам.

Неспециалисты ошибочно относят к компьютерным вирусам и другие виды вредоносных программ - программы-шпионы и даже спам. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.

Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному Кодексу РФ (глава 28, статья 273).

Типы вирусов
Анти-антивирусный вирус (Anti-antivirus Virus, Retrovirus) - компьютерная вирусная программа объектом нападения которой являются антивирусные программы.
Антивирусный вирус (Antivirus Virus) - компьютерная вирусная программа, объектом нападения которой являются другие компьютерные вирусы.
Вариант вируса, штамм, модификация (Variant) - модифицированный вариант одного и того же вируса. Изменения в вирусный код могут вноситься как автором вируса, так и третьим лицом.
Вирусная программа-червь (Worm-virus) - паразитическая программа, обладающая механизмом саморазмножения. Программа способна размножать свои копии, но не поражать другие компьютерные программы. Проникает на компьютер из сети (чаще всего как вложение в сообщениях электронной почты или через сеть Интернет) и рассылает свои функциональные копии на другие компьютерные сети.
Вирусный код, сигнатура (Signature) - система символов и однозначных правил их интерпретации, используемая для предоставления информации в виде данных. Представляет собой набор символов или последовательность байтов, которые, как предполагается, могут быть свойственны, а, следовательно, и обнаружены в каком-то определенном вирусе, в каждой его копии, и только в нем. Антивирусные сканеры используют сигнатуру для нахождения вирусов. Пoлиморфные вирусы не имеют сигнатуры.
Вирусный мистификатор (Hoax) - не являющееся вирусом почтовое сообщение. На компьютер пользователя мистификация приходит в виде письма, написанного в подчеркнуто нейтральном тоне, в котором указывается на якобы распространяющийся новый вирус.
Большинство вирусных мистификаций обладают одной или несколькими характеристиками, описанными ниже. Имя вируса, на которое ссылается автор сообщения составляется не по правилам, используемым большинством антивирусных компаний. Особо отмечается, что "вирус" пока не обнаруживается антивирусными программами. Пользователю предлагается найти некий файл с помощью поискового средства Windows и удалить его с диска. В письме содержится призыв в случае обнаружения указанного файла сообщить об этом всем своим знакомым и все тем, чьи адреса есть в адресной книге пользователя. Несмотря на всю безобидность подобного розыгрыша опасность его очевидна - массовая рассылка копий этого бесполезного сообщения загружает почтовый трафик и отнимает время пользователей.

Вирусы-спутники, вирусы-компаньоны (Virus-companion) - формально являются файловыми вирусами. Не внедряются в исполняемые программы.
Такие вирусы используют особенность системы DOS, позволяющую программному файлу с тем же названием, но другим расширением действовать с разными приоритетами.
Под приоритетом понимают присваиваемый задаче, программе или операции признак, определяющий очередность их выполнения вычислительной системой.
Большинство таких вирусов создают .COM-файл, который обладает более высоким приоритетом нежели .EXE-файлы с тем же самым названием. При запуске файла по имени (без указания расширения) будет запущен файл с расширением .СОМ.

Такие вирусы могут быть резидентными и маскировать файлы-двойники.
"Дроппер" (Dropper) - файл-носитель, устанавливающий вирус в систему. Техника, иногда используемая вирусописателями для "прикрытия" вирусов от антивирусных программ.
Другие названия вируса (Other virus names): антивирусные компании, как правило, дают разные названия одним и тем же вирусам, исходя из собственных правил формирования вирусного имени. В большинстве случаев основное имя вируса (например, Klez, Badtrans, Nimda) одинаково и присутствует в наименовании этого вируса, независимо от антивирусной компании. Различаются в основном префиксы и суффиксы имени вируса, правила использования которых у каждой компании могут быть свои. В частности, если в классификации вирусов, принятой в компании ООО "Доктор Веб", версии одного и того же вируса нумеруются числами, начиная с 1, в компании Symantec для этих же целей используются заглавные буквы английского алфавита.
Зоологический вирус (Zoo virus) - вирус, существующий только в антивирусных лабораториях, в коллекциях исследователей вирусов и не встречается в "дикой природе".
Компьютерные вирусы (Computer viruses) - это программы или фрагменты программного кода, которые, попав на компьютер, могут вопреки воле пользователя выполнять различные операции на этом компьютере - создавать или удалять объекты, модифицировать файлы данных или программные файлы, осуществлять действия по собственному распространению по локальным вычислительным сетям или по сети Интернет. Модификация программных файлов, файлов данных или загрузочных секторов дисков таким образом, что последние сами становятся носителями вирусного кода и в свою очередь могут осуществлять вышеперечисленные операции, называется заражением (инфицированием) и является важнейшей функцией компьютерных вирусов. В зависимости от типов заражаемых объектов выделяются различные типы вирусов.
Полиморфные вирусы (Polymorphic viruses) - или вирусы с самомодифицирующимися расшифровщиками (по Н.Н.Безрукову) - вирусы, использующие помимо шифрования кода специальную процедуру расшифровки, изменяющую саму себя в каждом новом экземпляре вируса, что ведет к отсутствию у него байтовых сигнатур. Расшифровщик не является постоянным - он уникален для каждого экземпляра вируса.
MtE вирусы (MtE viruses) - полиморфные вирусы, созданные с помощью генератора полиморфизма MtE (Mutant Engine). Такой генератор представляет собой специальный алгоритм, который отвечает за функции шифровки/расшифровки и генерацию расшифровщиков и присоединяется к любому объектному коду вируса. Такой расшифровщик не имеет ни одного постоянного бита, длина его всегда разная.
Pезидентный (в памяти) вирус (Memory resident virus) - постоянно присутствующий в памяти вирус, написанный, как правило, на языке Ассемблер или Си.
Такие вирусы обладают возможностью более эффективно заражать программы и противодействовать антивирусным средствам. Занимает небольшой объем памяти. Пребывает в состоянии готовности к продолжению выполнения своей задачи до выгрузки, перезагрузки или выключения компьютера. Активизируется и выполняет заданные вирусописателем действия, например, при достижении компьютером определенного состояния (срабатывания таймера, др.). Все бутовые вирусы резидентны.
Скрипт-вирусы (Script virus) - вирусы, написанные на языках Visual Basic, Visual Basic Script, Java Script, Jscript.
На компьютер пользователя такие вирусы, чаще всего, проникают в виде почтовых сообщений, содержащих во вложениях файлы-сценарии. Программы на языках Visual Basic и Java Script могут располагаться как в отдельных файлах, так и встраиваться в HTML-документ и в таком случае интерпретироваться браузером, причем не только с удаленного сервера, но и с локального диска.
Стелс вирусы (Stealth virus) - вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.

Так называемая Стелс-технология может включать в себя:

1. затруднение обнаружения вируса в оперативной памяти
2. затруднение трассировки и дезассемблирования вируса
3. маскировку процесса заражения
4. затруднение обнаружения вируса в зараженной программе и загрузочном секторе.

В зависимости от видов заражаемых объектов, компьютерные вирусы классифицируют по следующим типам:
Файловые вирусы (File viruses) - вирусы, заражающие двоичные файлы (в основном, исполняемые файлы и динамические библиотеки). Чаще всего, такие файлы имеют расширение .EXE, .COM, .DLL, .SYS. Также могут инфицировать файлы с расширениями .DRV, .BIN, .OVL и .OVY.
Такие вирусы внедряются в файлы операционной системы, активируются при запуске пораженной программы и затем распространяются.
Загрузочные (бутовые) вирусы (Boot viruses) - вирусы, которые заражают загрузочные записи (Boot record) дискет, разделов жестких дисков, а также MBR (Master Boot Record) жестких дисков.
Макрокомандные вирусы (макровирусы) (Macroviruses) - вирусы, заражающие файлы документов, используемые приложениями Microsoft Office и другими программами, допускающие наличие макрокоманд (чаще всего на языке Visual Basic). Благоприятным фактором распространения вируса служит то, что все основные компоненты Microsoft Office могут содержать встроенные программы (макросы) на полнофункциональном языке программирования, а в Microsoft Word эти макросы автоматически запускаются при открытии любого документа, его закрытии, сохранении и т.д.
Кроме того, имеется так называемый общий шаблон NORMAL.DOT. Макросы, помещенные в этот общий шаблон, автоматически запускаются при открытии любого документа. Учитывая то, что копирование макросов из документа в документ (в частности в общий шаблон) выполняется всего одной командой, среда Microsoft Word идеальна для существования макрокомандных вирусов.

Шифрованные вирусы (Encrypted viruses) - вирусы, которые сами шифруют свой код для затруднения их дезассемблирования и обнаружения в файле, памяти или секторе. Каждый экземпляр такого вируса будет содержать только короткий общий фрагмент – процедуру расшифровки, который можно выбрать в качестве сигнатуры. В случае каждого инфицирования он автоматически зашифровывает себя, и каждый раз по-разному. Таким способом вирус пытается избежать обнаружения антивирусными программами.

Вредоносные программы, сетевые атаки и виды интернет-мошенничества.

Атаки методом подбора пароля (Brute force attacks) - так называемые атаки методом "грубой силы". Как правило, пользователи применяют простейшие пароли, например "123", "admin" и т.д. Этим и пользуются компьютерные злоумышленники, которые при помощи специальных троянских программ вычисляют необходимый для проникновения в сеть пароль методом подбора - на основании заложенного в эту программу словаря паролей или генерируя случайные последовательности символов.
Бомбы с часовыми механизмами (Time bombs) - одна из разновидностей логических бомб, в которых срабатывание скрытого модуля определяется временем.
Дифейсмент (Defacement) - искажение веб-страниц. Вид компьютерного вандализма, иногда являющийся для хакера забавой, а иногда средством выражения политических пристрастий. Искажения могут производится в какой-то части сайта или выражаться в полной замене существующих на сайте страниц (чаще всего, стартовой).
DoS-атаки (DoS-attacks) - или атаки на отказ в обслуживании. Популярный у злоумышленников вид сетевых атак, граничащий с терроризмом, заключающийся в посылке огромного числа запросов с требованием услуги на атакуемый сервер с целью выведения его из строя. При достижении определенного количества запросов (ограниченного аппаратными возможностями сервера), последний не справляется с такими запросами, что приводит к отказу в обслуживании. Как правило, такой атаке предшествует спуфинг. DoS-атаки стали широко используемым средством запугивания и шантажа конкурентов.
Зомби (Zombies) - маленькие компьютерные программы, разносимые по сети Интернет компьютерными червями. Программы-зомби устанавливают себя в пораженной системе и ждут дальнейших команд к действию.
Клавиатурные перехватчики (Keyloggers) - вид троянских программ, чьей основной функцией является перехват данных, вводимых пользователем через клавиатуру. Объектами похищения являются персональные и сетевые пароли доступа, логины, данные кредитных карт и другая персональная информация.
Логические бомбы (Logic bombs) - вид Троянского коня - скрытые модули, встроенные в ранее разработанную и широко используемую программу. Являются средством компьютерного саботажа. Такой модуль является безвредным до определенного события, при наступлении которого он срабатывает (нажатие пользователем определенных кнопок клавиатуры, изменение в файле или наступление определенной даты или времени).
Люки (Backdoors) - программы, обеспечивающие вход в систему или получение привилегированной функции (режима работы) в обход существующей системы полномочий. Часто используются для обхода существующей системы безопасности. Люки не инфицируют файлы, но прописывают себя в реестр, модифицируя таким образом ключи реестра.
Почтовые бомбы (Mail bombs) - один из простейших видов сетевых атак. Злоумышленником посылается на компьютер пользователя или почтовый сервер компании одно огромное сообщение, или множество (десятки тысяч) почтовых сообщений, что приводит к выводу системы из строя. В антивирусных продуктах Dr.Web для почтовых серверов предусмотрен специальный механизм защиты от таких атак.
Скамминг (Scamming) - от английского "scamming", что означает "жульничество", вид интернет-мошенничества. Заключается в привлечении клиентов, якобы брачными агентствами (на самом деле скам-агентствами), с целью выуживания у них денег брачными аферами.
Сниффинг (Sniffing) - вид сетевой атаки, также называется "пассивное прослушивание сети". Несанкционированное прослушивание сети и наблюдение за данными производится при помощи специальной не вредоносной программой - пакетным сниффером, который осуществляет перехват всех сетевых пакетов домена за которым идет наблюдение. Перехваченные таким сниффером данные могут быть использованы злоумышленниками для легального проникновения в сеть на правах фальшивого пользователя.
Спуфинг (Spoofing) - вид сетевой атаки, заключающейся в получении обманным путем доступа в сеть посредством имитации соединения. Используется для обхода систем управления доступом на основе IP адресов, а также для набирающей сейчас обороты маскировки ложных сайтов под их легальных двойников или просто под законные бизнесы.
Троянские кони (Троянцы) (Trojan Horses) - вредоносные программы, содержащие скрытый модуль, осуществляющий несанкционированные пользователем действия в компьютере. Эти действия не обязательно будут разрушительными, но они всегда направлены во вред пользователю. Название этого типа атак происходит от известной легенды о деревянной статуе коня, использованной греками для проникновения в Трою.
Троянские программы-вандалы подменяют какую-либо из часто запускаемых программ, выполняют ее функции или имитируют такое исполнение, одновременно производя какие-либо вредоносные действия (стирают файлы, разрушают каталоги, форматируют диски, отсылают пароли или другую конфиденциальную информацию, хранящуюся на ПК пользователя). Некоторые Троянские программы содержат механизм обновления своих компонент из сети Интернет.
Фишинг (Phishing) - технология интернет-мошенничества, заключающаяся в краже личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. При помощи спамерских рассылок или почтовых червей потенциальным жертвам рассылаются подложные письма, якобы от имени легальных организаций, в которых их просят зайти на подделанный преступниками "сайт" такого учреждения и подтвердить пароли, PIN-коды и другую личную информацию, используемую в последствии злоумышленниками для кражи денег со счета жертвы и в других преступлениях. 

Нежелательные программы

Апплеты (applets) - прикладные программы, небольшие Java-приложения, встраиваемые в HTML страницы. По своей сути, эти программы не вредоносные, но могут использоваться в злонамеренных целях. Особенно апплеты опасны для любителей онлайновых игр, т.к. в них апплеты Java требуются обязательно. Апплеты, как и шпионское ПО, могут использоваться для отправки собранной на компьютере информации третьей стороне.
Веб-жучки (Web bugs) - средство слежения за пользователями сети Интернет. Представляют собой прозрачные, размером 1х1 пиксель графические файлы, используемые для сбора статистической информации о заходящем на сайт пользователе, которая может включать дату и время просмотра, тип браузера, данные монитора, настройки JavaScript, cookie, адрес в сети Интернет. Такие жучки используют и спамеры, включая их в рассылаемые письма, что дает им возможность определять существует или нет в действительности такой адрес.
Вирусные мистификаторы (Hoaxes) - не являющиеся вредоносными почтовые сообщения, написанные в подчеркнуто нейтральном тоне, в котором указывается, например, на якобы распространяющийся новый вирус.
Большинство вирусных мистификаций обладают одной или несколькими ниже следуемыми характеристиками. Имя вируса, на которое ссылается автор сообщения, составляется не по правилам, используемым большинством антивирусных компаний. Особо отмечается, что "вирус" пока не обнаруживается антивирусными программами. Пользователю предлагается найти некий файл и удалить его с диска. В письме содержится призыв, в случае обнаружения указанного файла, сообщить об этом всем своим знакомым и все тем, чьи адреса есть в адресной книге пользователя. Несмотря на всю безобидность подобного розыгрыша, опасность его очевидна - массовая рассылка копий бесполезного сообщения загружает почтовый трафик и отнимает время пользователей.
Всплывающие окна (pop-ups) – программы, не наносящие вред, вид рекламного ПО, имеющего вид внезапно возникающих на экране монитора рекламных окошек маленького формата.
"Горшочки с медом" (Honey pots) - страницы-приманки, по описанию ресурса в поисковике и ключевым словам отвечающие требованиям поиска, но которые, на самом деле, только завлекают пользователя, а реально содержат на своих страницах всевозможные программы-эксплойты и различный нежелательный или вредоносный софт.
Дозвонщики (Dialers) - специальные компьютерные программы, разработанные для сканирования некоего диапазона телефонных номеров для нахождения такого, на который ответит модем. В дальнейшем злоумышленники используют найденные номера для накручивания оплаты за телефон жертве или для незаметного подключения пользователя через модем к дорогостоящим платным телефонным службам.
Зомби (Zombies) - маленькие компьютерные программы, разносимые по сети Интернет компьютерными червями. Программы-зомби устанавливают себя в пораженной системе и ждут дальнейших команд к действию.
Перехватчики страниц (Hijackers) - от английского hijack - "захватывать", вид нежелательной компьютерной программы, целью написания которой является принудительная установка нужной ее заказчику страницы в качестве стартовой на компьютере, в который смог проникнуть такой троянец. Программы используют бреши в системе безопасности интернет-браузеров и прописывают себя в системный реестр. Как правило, ручная чистка реестра не помогает, так как такие троянцы имеют функцию восстановления нужных им данных в реестре и средства маскировки под системные файлы. Использование таких программ практикуется владельцами массово посещаемых сайтов - музыкальных, игровых, сайтов для взрослых.
Технологии социальной инженерии - способы получения конфиденциальной информации у пользователей путем введения их в заблуждение. Очень часто это приводит к добровольной выдаче самими пользователями такой информации. Социальная инженерия не использует специальных компьютерных программ, мошенничество построено на тривиальном обмане, использовании доверчивости и наивности людей. Чаще всего рассылаются правдоподобно выглядящие письма от реально существующих кредитных организаций, в которых Вас просят подтвердить пароль доступа к счету и PIN- код кредитной карточки.
Технология ActiveX - технология модификации элементов OCX для создания мультимедийных клиент-серверных приложений, разработанная корпорацией Microsoft. Активно используется злоумышленниками благодаря наличию в ней многочисленных уязвимостей, помогающих проникать на компьютер-жертву. Отключение загрузки элементов ActiveX на компьютер производится через панель меню Internet Explorer "Сервис - Свойства обозревателя - Вкладка безопасность".
Утилиты удаленного администрирования - не вредоносные программы, которые могут использоваться во вредоносных целях. Позволяют осуществлять доступ сеть и проводить в ней действия на расстоянии - из любой точки сети Интернет.
Уязвимость (Vulnerability) - часть программного кода, позволяющая использовать его для нарушения работы системы и проникновения в сети. Сегодня прогресс в скорости применения уязвимостей достиг таких высот, что временной интервал, между публикацией дынных об обнаружении "дыры" и изобретением злоумышленниками средств проникновения в систему через такую уязвимость, исчисляется всего несколькими днями. Особенно "популярны" у хакеров и вирусописателей многочисленные уязвимости в самом распространенном в мире ПО корпорации Microsoft.
Файлы cookies - файлы с данными о пользователе, собираемые веб-серверами и хранящиеся на жестком диске компьютера. При посещении любого веб-сервера в специальных файлах, называемых cookie, сохраняется информация о предпочтениях посетителя ресурса, которая служит средством идентификации пользователя сервером. Данные, полученные из файлов cookies, используются спамерами для составления списков рассылок. Сбор информации в файлы cookie можно отключить в Internet Explorer через панель меню Сервис/Свойства обозревателя/Дополнительно.
Шпионские модули-роботы (Spybots) - не являющиеся вирусами программы, самостоятельные функциональные модули, автономно решающие ту или иную задачу. Используются хакерами для слежения за жизнедеятельностью сети.
Шпионское ПО (Spyware) - опасные для пользователя программы (не вирусы), предназначенные для слежения за системой и отсылки собранной информации третьей стороне – создателю или заказчику такой программы. Среди заказчиков шпионского ПО – спамеры, рекламщики, маркетинговые агенства, спам-агенства, преступные группировки, деятели промышленного шпионажа. Шпионские программы "интересует" системные данные, тип браузера, посещаемые веб-узлы, иногда и содержимое файлов на жестком диске компьютера-жертвы. Такие программы тайно закачиваются на компьютер вместе с каким-нибудь shareware-ПО или при просмотре определенным образом сконструированных HTML – страниц и всплывающих рекламных окон и самоустанавливаются без информирования об этом пользователя. Побочные эффекты от присутствия шпионского ПО на компьютере – нестабильная работа браузера и замедление производительности системы.