Додаток А. Види комп'ютерних загроз

На головну  Назад  Вперед

Під терміном «загроза» в даній класифікації слід мати на увазі будь-який програмний засіб, який напряму або опосередковано здатен заподіяти шкоди комп'ютеру, мережі, інформації або правам користувача (тобто шкідливі та інші небажані програми). В ширшому сенсі термін «загроза» може означати будь-яку потенційну небезпеку для комп'ютера або мережі (тобто її уразливість, яка може бути використана для проведення хакерських атак).

Всі описані нижче типи програм потенційно здатні наразити на небезпеку дані користувача або їхню конфіденційність. Програми, які не приховують своєї присутності в системі (наприклад, деякі програми для розсилання спаму або аналізатори трафіку), зазвичай не зараховують до комп'ютерних загроз, хоча за визначених обставин вони також можуть заподіяти шкоди користувачу.

Комп'ютерні віруси

Даний тип комп'ютерних загроз характеризується здатністю впроваджувати свій код у виконуваний код інших програм. Таке впровадження називається інфікуванням. В більшості випадків інфікований файл сам стає носієм вірусу, а впроваджений код не обов'язково повністю відповідає оригіналу. Більша частина вірусів створюється для пошкодження або знищення даних.

В компанії «Доктор Веб» віруси поділяють за типом файлів, які вони інфікують:

Файлові віруси інфікують файли операційної системи (зазвичай виконувані файли та динамічні бібліотеки) та активізуються при зверненні до інфікованого файла.

Макро-віруси інфікують документи, з якими працюють програми з пакета Microsoft® Office (та інші програми, які використовують макроси, написані, наприклад, мовою Visual Basic). Макроси – це вбудовані програми, написані повноцінною мовою програмування, які можуть запускатися за визначених умов (наприклад, в Microsoft® Word макроси можуть запускатися при відкритті, закритті або збереженні документу).

Скрипт-віруси пишуться мовами сценаріїв (скриптів) та в більшості випадків інфікують інші файли сценаріїв (наприклад, службові файли операційної системи). Вони можуть інфікувати також інші типи файлів, які підтримують виконання сценаріїв, користуючись уразливими сценаріями в веб-програмах.

Завантажувальні віруси інфікують завантажувальні сектори дисків та розділів, а також головні завантажувальні сектора жорстких дисків. Вони займають дужа мало пам'яті та залишаються готовими до виконання своїх функцій доти, доки не буде проведене вивантаження, перевантаження або завершення роботи системи.

Більшість вірусів мають захисні механізми проти виявлення. Методи захисту від виявлення постійно удосконалюються, тому для антивірусних програм розробляються нові способи подолання цього захисту. Віруси можна розділити за принципом захисту від виявлення:

Шифровані віруси шифрують свій код при кожному новому інфікуванні, що ускладнює його виявлення в файлі, пам'яті або завантажувальному секторі. Кожний екземпляр такого вірусу містить тільки короткий спільний фрагмент (процедуру розшифрування), який можна вибрати як сигнатуру.

Поліморфні віруси використовують, окрім шифрування коду, спеціальну процедуру розшифрування, що змінює саму себе в кожному новому екземплярі вірусу, що призводить до відсутності у такого вірусу байтових сигнатур.

Стелс-віруси (віруси-невидимки) застосовують спеціальні дії для маскування своєї діяльності з метою приховування своєї присутності в інфікованих об'єктах. Такий вірус знімає характеристики об'єкта перед його інфікуванням, а потім передає старі данні при запиті операційної системи або програми, що шукає змінені файли.

Віруси також можна класифікувати за мовою, якою вони написані (більшість пишуться мовою асемблера, але є також і віруси, написані високорівневими мовами програмування, мовами сценаріїв тощо) та за операційними системами, що ними інфікуються.

Комп'ютерні хробаки

Останнім часом шкідливі програми типу «комп'ютерний хробак» стали набагато поширенішими, ніж віруси та інші шкідливі програми. Як і віруси, такі програми здатні створювати свої копії, але при цьому вони не інфікують інші об'єкти. Хробак проникає на комп'ютер з мережі (найчастіше як вкладення у повідомлення електронної пошти або через мережу Інтернет) та розсилає свої функціональні копії на інші комп'ютери. Для початку поширення хробаки можуть використовувати як дії користувача, так і автоматичний режим вибору та атаки комп'ютера.

Хробаки не обов'язково цілком складаються з одного файла (тіла хробака). У багатьох хробаків є так звана інфекційна частина (шел-код), яка завантажується в оперативну пам'ять комп'ютера та «довантажує» з мережі безпосередньо саме тіло хробака в виді виконуваного файла. Поки в системі немає тіла хробака, від нього можна позбавитися перезавантаженням комп'ютера (при якій скидається оперативна пам'ять). Якщо ж системі виявляється тіло хробака, то впоратися з ним може тільки антивірус.

За рахунок інтенсивного поширення хробаки здатні вивести з ладу цілі мережі, навіть якщо вони не несуть жодного корисного навантаження (не заподіюють прямої шкоди системі).

В компанії «Доктор Веб» хробаків поділяють за способом (середовищем) поширення:

Мережні хробаки поширюються за допомогою різних мережних протоколів та протоколів обміну файлами.

Почтові хробаки поширюються за допомогою поштових протоколів (POP3, SMTP тощо).

Чат-хробаки поширюються, використовуючи популярні програми для пересилання миттєвих повідомлень (ICQ, IM, IRC тощо).

Троянські програми

Цей тип шкідливих програм не здатен до самореплікації. Троянські програми підмінюють будь-яку з програм, що запускаються найчастіше, та виконують її функції (або імітують виконання цих функцій), одночасно виконуючи якісь шкідливі дії (пошкодження та видалення даних, пересилання конфіденційної інформації тощо), або уможливлюючи несанкціоноване використання комп'ютера зловмисником, наприклад, для заподіяння шкоди третім особам.

Ці програми мають подібні до вірусів маскувальні та шкідливі функції та навіть можуть бути модулем вірусу, але, як правило, троянські програми поширюються як окремі виконувані файли (викладаються на файлових серверах, записуються на носії інформації або пересилаються в виді вкладень в повідомленнях електронної пошти), які запускаються або самим користувачем, або визначеним процесом системи.

Класифікувати троянські програми дуже важко, по-перше, тому що вони часто поширюються вірусами та хробаками, по-друге, шкідливі дії, які можуть виконувати інші типи загроз, прийнято приписувати тільки троянським програмам. Нижче наведений список деяких типів троянських програм, які в компанії «Доктор Веб» виділяють в окремі класи:

Бекдори – це троянські програми, які дозволяють отримати привілейований доступ до системи, оминаючи існуючий механізм надання доступу та захисту. Бекдори не інфікують файли; вони прописують себе в реєстрі, модифікуючи ключі.

Руткіти призначені для перехоплення системних функцій операційної системи з метою приховування своєї присутності в системі. Окрім того, руткіт може маскувати процеси інших програм, різні ключі реєстру, каталоги, файли. Руткіт поширюється як самостійна програма або як додатковий компонент у складі іншої шкідливої програми. За принципом своєї роботи руткіти умовно поділяють на дві групи: руткіти, що працюють в режимі користувача (перехоплення функцій бібліотек режиму користувача) (User Mode Rootkits – UMR), та руткіти, що працюють в режимі ядра (перехоплення функцій на рівні системного ядра, що значно ускладнює виявлення та знешкодження) (Kernel Mode Rootkits – KMR).

Клавіатурні перехоплювачі (кейлоггери) використовуються для збору даних, які користувач вводить за допомогою клавіатури. Метою таких дій є викрадення особистої інформації (наприклад, мережних паролів, логінів, номерів банківських карток тощо).

Клікери перевизначають посилання при натисненні на них і таким чином перенаправляють користувачів на визначені (можливо, шкідливі) сайти. Зазвичай користувач перенаправляється з метою збільшення рекламного трафіку веб-сайтів або для організації розподілених атак відмови від обслуговування (DDoS-атак).

Проксі-трояни надають зловмиснику анонімний вихід в мережу Інтернет через комп'ютер жертви.

Окрім наведених вище, троянські програми можуть виконувати й інші шкідливі дії, наприклад, змінювати стартову сторінку в веб-браузері або видаляти визначені файли. Проте такі дїі можуть виконуватися й загрозами інших типів (наприклад, вірусами та хробаками).

Програми зламу

Програми зламу створені з метою допомогти зламщику. Найпоширенішим видом подібних програм є сканери портів, які дозволяють виявляти уразливості в міжмережних екранах (файєрволах, брандмауерах) та інших компонентах, які забезпечують безпеку комп'ютера. Окрім хакерів, такими інструментами можуть користуватися адміністратори для перевірки надійності своїх мереж. Іноді до програм зламу відносять програми, що використовують методи соціальної інженерії (елементи соціотехніки).

Рекламні програми

Найчастіше під цим терміном мають на увазі програмний код, вбудований в різне безкоштовне програмне забезпечення, при використанні якого користувачу примусово показується реклама. Але іноді такий код може приховано поширюватися за допомогою інших шкідливих програм та демонструвати рекламу, наприклад в веб-браузерах. Часто рекламні програми працюють на основі даних, зібраних шпигунськими програмами.

Програми-жарти

Цей тип шкідливих програм, які, як і рекламні програми, не заподіюють прямої шкоди системі. Найчастіше вони генерують повідомлення про неіснуючі помилки та погрожують діями, які можуть призвести до пошкодження даних. Їхня основна функція полягає в залякуванні користувача, або нав'язливе його роздратування.

Програми додзвону

Це спеціальні комп'ютерні програми, розроблені для сканування деякого діапазону телефонних номерів для виявлення такого, на який відповідає модем. У подальшому зловмисники використовують знайдені номери для накручування сплати за телефон або для непомітного підключення користувача через модем до дорогих платних телефонних служб.

Потенційно небезпечні програми

Ці програми не створювалися для заподіяння шкоди, але через свої особливості можуть становити загрозу для безпеки системи. До таких програм відносяться не тільки ті, які можуть випадково пошкодити або видалити дані, але й ті, які можуть використовуватися хакерами або іншими програмами для заподіяння шкоди системі. До потенційно небезпечних програм можна віднести різні програми віддаленого спілкування та адміністрування, FTP-сервери тощо.

Підозрілі об'єкти

До підозрілих об'єктів відносяться будь-які потенційні загрози, виявлені за допомогою евристичного аналізу. Такі об'єкти можуть бути будь-яким типом комп'ютерних загроз (можливо, навіть невідомим для спеціалістів з інформаційної безпеки), а можуть виявитися безпечними при помилковому спрацьовуванні. Файли, що містять підозрілі об'єкти, рекомендується поміщати до карантину, а також відправляти на аналіз спеціалістам антивірусної лабораторії «Доктор Веб».