- •Содержание
- •Введение
- •1. Классификация и описание
- •1.1. Классификация
- •1.2. Описание
- •1.2.1. Сетевые вирусы (черви)
- •1.2.2. Троянские программы
- •1.2.2.1. Mail Senders
- •1.2.2.2. BackDoor
- •1.2.2.3. Log Writers или Key loggers
- •1.2.2.4. Trojan-Downloader
- •1.2.2.5. RootKit
- •1.3. Снифферы (Нюхачи)
- •1.4. DoS, dDoS - сетевые атаки
- •1.5.4. FileCryptor, PolyCryptor - скрытие от антивирусных программ
- •1.5.5. PolyEngine - полиморфные генераторы
- •1.5.6. VirTool
- •1.5.7. Социальный инжиниринг
- •1.6. Условно опасные программы
- •1.6.1. Riskware
- •1.6.2. Adware
- •1.6.3. Pornware
- •2. Цели создания вредоносных программ или кому это выгодно
- •2.1. Компьютерное хулиганство
- •2.2. Мелкое воровство
- •2.3. Криминальный бизнес
- •2.4. Обслуживание спам-бизнеса
- •2.5. Распределённые сетевые атаки
- •2.6. Создание сетей «зомби-машин»
- •2.7. Звонки на платные телефонные номера или посылка платных sms-сообщений
- •2.8. Воровство интернет-денег
- •2.9. Воровство банковской информации
- •2.10. Воровство прочей конфиденциальной информации
- •2.11. Кибер-шантаж
- •2.12. Разработка «средств доставки»
- •2.13. Точечные атаки
- •2.14. Прочие виды криминальной деятельности
- •2.15. Полулегальный бизнес
- •2.16. Принудительная реклама (Adware)
- •2.17. Порнографический бизнес, платные веб-ресурсы
- •2.18. Ложные анти-шпионские (Anti-Spyware) или антивирусные утилиты
- •3. Средства защиты от вредоносных программ
- •Заключение
- •Список литературы
1.5.4. FileCryptor, PolyCryptor - скрытие от антивирусных программ
Хакерские утилиты, использующиеся для шифрования других вредоносных программ с целью скрытия их содержимого от антивирусной проверки.
1.5.5. PolyEngine - полиморфные генераторы
Полиморфные генераторы не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т. е. открытия, закрытия и записи в файлы, чтения и записи секторов и т. д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика.
Обычно полиморфные генераторы распространяются их авторами без ограничений в виде файла-архива. Основным файлом в архиве любого генератора является объектный модуль, содержащий этот генератор. Во всех встречавшихся генераторах этот модуль содержит внешнюю (external) функцию - вызов программы генератора.
1.5.6. VirTool
Утилиты, предназначенные для облегчения написания компьютерных вирусов и для их изучения в хакерских целях.
1.5.7. Социальный инжиниринг
Социальный инжиниринг не относится к вредоносным программам или вирусам. Он призвана запутать пользователей, усыпить их бдительность, замаскировать вредоносную программу под какой либо патч или полезную программу, заманить пользователя на заведомо зараженный сайт.
В первую очередь на уловки соц. Инжиниринга попадаются не опытные пользователи всемирной паутины, но в последнее время вирусописатели идут на всевозможные хитрости, что даже опытные пользователи не всегда способны распознать уловку от правды.
Примерами данной технологии являются: всевозможные письма с текстом открыть прикрепленный к письму файл или зайти на сайт по указанной ссылке, для скачивания обновлений, патчей, просьбы якобы от службы технической поддержки или администраторов почтового сервера отослать свой пароль к вашему электронному ящику и пр.
Так, например червь Swen, выдавал себя за специальный патч от компании Microsoft, якобы устраняющий все известные уязвимости. Письмо, содержало легко узнаваемые элементы официального сайта Microsoft, ссылки на другие ресурсы данной компании и грамотно составленный текст.
Социальный инжиниринг активно используется не только в вирусах, но и самими хакерами для получения конфиденциальной информации от пользователей.
1.6. Условно опасные программы
Иногда антивирус не может без помощи пользователя определить, опасна или нет та или иная программа. Некоторые программы обладают набором функций, которые могут причинить вред пользователю только при выполнении ряда условий. Более того, подобные программы могут легально продаваться и использоваться в повседневной работе, например, системных администраторов. Однако в руках злоумышленника такие программы могут обернуться инструментом, с помощью которого можно причинить вред ничего не подозревающему пользователю.
В настоящее время к условно опасным программам Лаборатория Касперского относит программы классов Riskware, Adware и Pornware.
1.6.1. Riskware
К классу программ Riskware относятся легальные программы (некоторые из них свободно продаются и широко используются в легальных целях), которые, тем не менее, в руках злоумышленника способны причинить вред пользователю и его данным.
В списке программ класса Riskware можно обнаружить легальные утилиты удаленного администрирования, программы-клиенты IRC, звонилки-дайлеры, скачиватели-даунлоадеры, мониторы любой активности, утилиты для работы с паролями, а также многочисленные интернет-серверы служб FTP, Web, Proxy и Telnet.
Все эти программы не являются вредоносными сами по себе, однако обладают функционалом, которым могут воспользоваться злоумышленники для причинения вреда пользователям.
Возьмем, например, программу удаленного администрирования WinVNC. Данная программа позволяет получать доступ к интерфейсу удаленного компьютера и используется для удаленного управления и наблюдения за удаленной машиной.
Таким образом, данная программа является легальной, свободно распространяемой и необходимой в работе добропорядочных системных администраторов или других технических специалистов.
В качестве другого примера утилита mIRC. Это легальная программа, являющаяся клиентом IRC-cети.
Расширенным функционалом утилиты mIRC могут воспользоваться злоумышленники - регулярно появляются троянские программы (в частности, бэкдоры), использующие функции mIRC в своей работе.
Так, любой IRC-бэкдор способен без ведома пользователя дописать в файл конфигурации mIRC собственные скрипты и успешно выполнить свои деструктивные функции на пораженной машине. При этом пользователь mIRC не будет даже подозревать о функционировании на его компьютере вредоносной троянской программы.
Зачастую вредоносные программы самостоятельно устанавливают на пользовательский компьютер клиент mIRC для последующего использования его в собственных целях. В качестве места размещения mIRC в этом случае, как правило, выступает папка Windows и ее подпапки. Обнаружение mIRC в этих папках практически однозначно свидетельствует о факте заражения компьютера какими-то вредоносными программами.