Життєвий цикл
Так само як для вірусів, життєвий цикл хробаків можна розділити на певні стадії:
Проникнення в систему
Активація
Пошук "жертв"
Підготовка копій
Поширення копій
Мережні хробаки - чирви, що використають для поширення протоколи Інтернет і локальні мережі. Звичайно цей тип хробаків поширюється з використанням неправильної обробки деякими додатками базових пакетів стека протоколів tcp/ip
Поштові хробаки - чирви, що поширюються у форматі повідомлень електронної пошти
IRC-хробаки - хробаки, що поширюються по каналах IRC (Internet Relay Chat)
P2P-хробаки - чирви, що поширюються за допомогою пірінгових (peer-to-peer) файлообміних мереж
IM-хробаки - хробаки, що використають для поширення системи миттєвого обміну повідомленнями (IM, Instant Messenger - ICQ, MSN Messenger, AIM й ін.)
Способи активації
Для активації необхідно активна участь користувача
Для активації участь користувача не потрібно зовсім або досить лише пасивної участі
Під пасивною участю користувача в другій групі розуміється, наприклад, перегляд листів у поштовому клієнті, при якому користувач не відкриває вкладені файли, але його комп'ютер, проте, виявляється зараженим.
Віруси – трояни
Троян (троянський кінь) — тип шкідливих програм, основною метою яких є шкідливий вплив стосовно комп'ютерної системи. Трояни відрізняються відсутністю механізму створення власних копій. Деякі трояни здатні до автономного подолання систем захисту КС, з метою проникнення й зараження системи. У загальному випадку, троян попадає в систему разом з вірусом або хробаком, у результаті необачних дій користувача або ж активних дій зловмисника.
Життєвий цикл
Проникнення на комп'ютер
Активація
Виконання закладених функцій
Це, саме собою, не означає малого часу життя троянів. Навпроти, троян може тривалий час непомітно перебувати в пам'яті комп'ютера, ніяк не видаючи своєї присутності, доти, поки не буде виявлений антивірусними засобами.
Способи проникнення
Маскування — троян видає себе за корисний додаток, що користувач самостійно завантажує з Інтернет і запускає.
Приклад. Trojan.SymbOS.Hobble.a є архівом для операційної системи Symbian (SIS-архівом).
Кооперація з вірусами й хробаками — троян подорожує разом із хробаками або, рідше, з вірусами.
Активація
Тут прийоми ті ж, що й у хробаків: очікування запуску файлу користувачем, або використання автоматичного запуску.
Виконувані функції
Клавіатурні шпигуни - трояни, що постійно перебувають у пам'яті й дані, що зберігають всі, вступники від клавіатури з метою наступної передачі цих даних зловмисникові. Викрадачі паролів - трояни, також призначені для одержання паролів, але не використають спостереження за клавіатурою. У таких троянах реалізовані способи добування паролів з файлів, у яких ці паролі зберігаються різними додатками.
Утиліти вилученого керування - трояни, що забезпечують повний вилучений контроль над комп'ютером користувача.
Люки (backdoor) - трояни які надають зловмисникові обмежений контроль над комп'ютером користувача.
Анонімні smtp-сервера й проксі - трояни, що виконують функції поштових серверів або проксі й, що використаються в першому випадку для спам-розсилань, а в другому для замітання слідів хакерами. <!-- [endif] -->
Утиліти дозвону - порівняно новий тип троянів, що представляє собою утиліти dial-up доступу в Інтернет через дорогі поштові служби. Такі трояни прописуються в системі як утиліти дозвону за замовчуванням і спричиняють величезні рахунки за користування Інтернетом.
Модифікатори настроювань браузера - трояни, які міняють стартову сторінку в браузері, сторінку пошуку або ще які-небудь настроювання, відкривають додаткові вікна браузера, імітують натискання на банери й т.п. <!-- [endif] -->
Логічні бомби - частіше не стільки трояни, скільки троянські складових хробаків і вірусів, суть роботи яких полягає в тому, щоб за певних умов (дата, час доби, дії користувача, команда ззовні) зробити певну дію: наприклад, знищення даних
Що таке антивіруси
Антивірус - програмний засіб, призначений для боротьби з вірусами.
Як треба з визначення, основними завданнями антивірусу є:
Перешкоджання проникненню вірусів у комп'ютерну систему
Виявлення наявності вірусів у комп'ютерній системі
Усунення вірусів з комп'ютерної системи без нанесення ушкоджень іншим об'єктам системи
Мінімізація збитку від дій вірусів
Технології виявлення вірусів
Технології, застосовувані в антивірусах, можна розбити на дві групи -
Технології сигнатурного аналізу
Технології імовірнісного аналізу
Сигнатурний аналіз - метод виявлення вірусів, що полягає в перевірці наявності у файлах сигнатур вірусів.
Сигнатурний аналіз є найбільш відомим методом виявлення вірусів і використається практично у всіх сучасних антивірусах. Для проведення перевірки антивірусу необхідний набір вірусних сигнатур, що зберігається в антивірусній базі.
Антивірусна база - база даних, у якій зберігаються сигнатури вірусів.
Через те, що сигнатурний аналіз припускає перевірку файлів на наявність сигнатур вірусів, антивірусна база має потребу в періодичному відновленні для підтримки актуальності антивірусу. Сам принцип роботи сигнатурного аналізу також визначає границі його функціональності - можливість виявляти лише вже відомі віруси - проти нових вірусів сигнатурний сканер неспроможний.
Евристичний аналіз - технологія, заснована на імовірнісних алгоритмах, результатом роботи яких є виявлення підозрілих об'єктів.
Евристичний аналіз застосовується для виявлення невідомих вірусів, і, як наслідок, не припускає лікування.
Поведінковий аналіз - технологія, у якій рішення про характер об'єкта, що перевіряє, приймається на основі аналізу виконуваних їм операцій.
Засоби захисту, що вшивають в BIOS, також можна віднести до поведінкових аналізаторів. При спробі внести зміни в MBR комп'ютера, аналізатор блокує дія й виводить відповідне повідомлення користувачеві.
Крім цього поведінкові аналізатори можуть відслідковувати спроби прямого доступу до файлів, внесення змін у завантажувальний запис дискет, форматування жорстких дисків і т.д.
Аналіз контрольних сум - це спосіб відстеження змін в об'єктах комп'ютерної системи. На підставі аналізу характеру змін - одночасність, масовість, ідентичні зміни довжин файлів - можна робити вивід про зараження системи.
Режими роботи антивірусів
Крім технологій, що використовуються, антивіруси відрізняються друг від друга умовами експлуатації.
антивіруси можна розділити на дві великі категорії:
Призначені для безперервної роботи - до цієї категорії відносяться засоби перевірки при доступі, поштові фільтри, системи сканування трафіку Інтернет, інші засоби, що сканують потоки даних
Призначені для періодичного запуску - різного роду засобу перевірки за запитом, призначені для однократного сканування певних об'єктів. До таких засобів можна віднести сканер на вимогу файлової системи в антивірусному комплексі для робочої станції, сканер на вимогу поштових скриньок і загальних папок в антивірусному комплексі для поштової системи (зокрема, для Microsoft Exchange)
Як показує практика, запобігти виникненню проблеми набагато простіше, ніж намагатися згодом неї вирішити. Саме тому сучасні антивірусні комплекси здебільшого мають на увазі безперервний режим експлуатації. Проте, засобу періодичної перевірки набагато ефективніше при боротьбі з наслідками зараження й тому не менш необхідні.