Статьи‎ > ‎

Различия между программами-шпионами и вирусами


Программы-шпионы и вирусы являются разновидностями вредоносного программного обеспечения. Защищаться нужно и от первых, и от вторых. 

Чем же они отличаются?

  • Программы-шпионы, также называемые программами для показа рекламы, собирают сведения о пользователе без его надлежащего уведомления и согласия. 
  • Компьютерный вирус распространяет программы, как правило, вредоносные, с одного компьютера на другой. 
Программы-шпионы устанавливаются на компьютерах разными способами. Например, они могут быть установлены при заражении компьютера вирусом. Кроме того, эти программы могут быть неосознанно загружены и установлены самим пользователем вместе с другим программным обеспечением.

Итак, программы-шпионы — это особый вид нежелательных программ для тайного сбора сведений о пользователе.

Вирусы — это программы, которые скрытно распространяются с компьютера на компьютер, часто через электронную почту или службы обмена мгновенными сообщениями.

И программы-шпионы, и вирусы могут наносить вред компьютеру или приводить к потере важных данных.

Spyware (шпионское программное обеспечение) — программа, которая скрытным образом устанавливается на компьютер с целью сбора информации о конфигурации компьютера, пользователе, пользовательской активности без согласия последнего. 

Также могут производить другие действия: изменение настроек, установка программ без ведома пользователя, перенаправление действий пользователя.

В настоящий момент существует множество определений и толкований термина spyware. Организация «Anti-Spyware Coalition», в которой состоят многие крупные производители антишпионского и антивирусного программного обеспечения, определяет его как мониторинговый программный продукт, установленный и применяемый без должного оповещения пользователя, его согласия и контроля со стороны пользователя.


Особенности функционирования

Spyware могут осуществлять широкий круг задач, например:
  • собирать информацию о привычках пользования Интернетом и наиболее часто посещаемые сайты (программа отслеживания); 
  • запоминать нажатия клавиш на клавиатуре (кейлоггеры) и записывать скриншоты экрана (screen scraper) и в дальнейшем отправлять информацию создателю spyware; 
  • несанкционированно и удалённо управлять компьютером (remote control software) — бэкдоры, ботнеты, droneware; 
  • инсталлировать на компьютер пользователя дополнительные программы; 
  • использоваться для несанкционированного анализа состояния систем безопасности (security analysis software) — сканеры портов и уязвимостей и взломщики паролей; 
  • изменять параметры операционной системы (system modifying software) — руткиты, перехватчики управления (hijackers) и пр. — результатом чего является снижение скорости соединения с Интернетом или потеря соединения как такового, открывание других домашних страниц или удаление тех или иных программ; 
  • перенаправлять активность браузеров, что влечёт за собой посещение веб-сайтов вслепую с риском заражения вирусами. 


Сфера использования


Среди возможных применений «потенциально нежелательных технологий» есть как законные, так и мошеннические.

Законные виды применения:
  • Tracking Software (программы отслеживания) широко и совершенно законно применяются для мониторинга персональных компьютеров. 
  • Adware может открыто включаться в состав бесплатного и условно-бесплатного программного обеспечения. Пользователь соглашается на просмотр рекламы, чтобы иметь какую-либо дополнительную возможность (например — пользоваться данной программой бесплатно). В таком случае наличие программы для показа рекламы должно явно прописываться в соглашении конечного пользователя (EULA). 
  • Программы удалённого контроля и управления могут применяться для удалённой технической поддержки или доступа к собственным ресурсам, которые расположены на удалённом компьютере. 
  • Дозвонщики (диалеры) могут давать возможность получить доступ к ресурсам, нужным пользователю (например — дозвон к Интернет-провайдеру для подключения к сети Интернет). 
  • Программы для модификации системы могут применяться и для персонализации, желательной для пользователя. 
  • Программы для автоматической загрузки могут применяться для автоматической загрузки обновлений прикладных программ и обновлений ОС. 
  • Программы для анализа состояния системы безопасности применяются для исследования защищённости компьютерных систем и в других совершенно законных целях. 
  • Технологии пассивного отслеживания могут быть полезны для персонализации веб-страниц, которые посещает пользователь. 

Защита цифровых авторских прав

Некоторые технологии защиты от копирования являются spyware. В 2005 году было обнаружено, что Sony BMG Music Entertainment использовало руткиты в своей технологии защиты от копирования XCP. Подобно spyware, их было не только трудно обнаружить и деинсталлировать, но к тому же они были настолько некачественно написаны, что большинство попыток удалить их приводило компьютер в состояние отказа функционирования.

Начиная с 25 апреля 2006 года, приложение от Windows Genuine Advantage Notifications (Microsoft) инсталлировалось на многих компьютерах как «критическое обновление безопасности». В то время как главной целью этого сознательно не поддающегося деинсталляции приложения являлось подтверждение того, что копия Windows на машине приобретена и инсталлирована легально, оно также инсталлировало программу, которая обвинялась в ежедневных «звонках домой», подобно spyware. Это приложение можно было удалить с помощью программы RemoveWGA.


Телефонное мошенничество

Создатели spyware могут совершать мошенничество на телефонных линиях с помощью программ типа «диалер». Диалер может перенастроить модем для дозвона на дорогостоящие телефонные номера вместо обычного ISP. Соединение с этими не вызывающими доверия номерами идёт по международным или межконтинентальным тарифам, следствием чего являются непомерно высокие суммы в телефонных счетах. Диалер неэффективен на компьютерах без модема или не подсоединённых к телефонной линии.


Личные взаимоотношения

Spyware используются для скрытного отслеживания электронной активности партнёров в интимных отношениях, обычно для раскрытия случаев неверности. По крайней мере один из пакетов программ, Loverspy, был специально разработан для таких целей.


Некоторые образцы

Ниже приведены распространённые spyware, которые демонстрируют разнообразие варианты поведения. Отметим, что так же как и для вирусов, для spyware исследователи дали имена, которые могут отличаться от тех, которые придумали их создатели. 

  • Spyware могут быть сгруппированы в семьи, основанные не на общем программном коде, а на сходном поведении. Например, ряд программ, распространяемых Claria Corporation, известны под общим названием Gator. Подобным образом, программы, которые часто инсталлируются вместе, могут быть описаны как части единого пакета spyware, даже если они функционируют отдельно. 
  • CoolWebSearch. Группа программ, использующая уязвимости в Internet Explorer. Перенаправляет трафик на рекламу на веб-сайтах, включая coolwebsearch.com. Выдаёт всплывающие рекламные окна, переписывает результаты поисковых запросов и изменяет файл hosts инфицированного компьютера для перенаправления DNS на эти веб-сайты. 
  • HuntBar, также WinTools или Adware.Websearch. Инсталлируется совместно с загрузкой ActiveX с партнёрских сайтов или посредством всплывающих окон, выдаваемых другой spyware (пример того, как одна spyware может инсталлировать ещё больше spyware). Эти программы добавляют панели инструментов для Internet Explorer, отслеживают привычку посещения веб-сайтов, перенаправляют партнёрские ссылки и выдают всплывающие рекламные окна. 
  • Internet Optimizer, также известный как DyFuCa. Перенаправляет в Internet Explorer страницы с ошибками на рекламу. Когда пользователь вводит нерабочую ссылку или набирает неправильный URL, то видит страницу с рекламой. Однако, поскольку охраняемые паролями веб-сайты (HTTP Basic authentication) используют такой же механизм, как ошибки HTTP, Internet Optimizer делает невозможным для пользователя доступ к веб-сайтам с парольной защитой. Internet Optimizer классифицируется как Browser Helper Object и загружается всякий раз при запуске Internet Explorer. Internet Optimizer не задерживается файрволами и антивирусными программами, поскольку рассматривается как легитимная часть приложения. Internet Optimizer также классифицируется как загрузчик, то есть программа, способная загружать, инсталлировать и запускать другие программы без ведома пользователя. 
  • Zango (прежде 180 Solutions). Передаёт детальную информацию рекламодателям о веб-страницах, посещаемых пользователем. Также меняет HTTP-запросы со ссылок на веб-сайты партнёрских рекламодателей, которые, в свою очередь, дают возможность нечестных доходов для 180 Solutions. Открывает всплывающие окна, перекрывающие веб-страницы компаний-конкурентов. 
  • Trojan.Zlob или просто Zlob. Загружается на компьютер через кодек ActiveX и докладывает на сервер такую информацию, как история поиска, веб-сайты, которые вы посещали, и даже нажатия клавиш. Недавно выяснилось, что Zlob способен аннулировать установки роутеров. 

Юридические вопросы

Вопреки утверждениям потребителей, изготовители spyware заявляют, что пользователи на самом деле дают согласие на инсталляцию. Spyware, поставляемое в комплекте с дистрибутивом, может быть упомянуто в деловой лексике пользовательского соглашения (EULA). Многие по привычке игнорируют прочтение и вникание в смысл этого документа и просто нажимают кнопку «Согласен».

До настоящего времени судебная система не решила, ответственны ли рекламодатели за spyware, показывающее их рекламу. Во многих случаях компании, чья продукция появлялась в рекламах, инициированных spyware, не ведут дела с фирмой-изготовителем spyware напрямую. Скорее, они заключают договор с рекламным агентством, которое, в свою очередь, заключает контракт с третьей стороной, которой платят за количество «всплываний». Некоторые ведущие фирмы, такие как Dell, Mercedes-Benz расторгли контракты со своими рекламными агентствами, использовавшими spyware в целях показа рекламы.

В 2003 году Gator (ныне Claria Corporation) подал в суд на веб-сайт PC Pitstop за описание их продукции как spyware. PC Pitstop согласился не использовать термин spyware, но продолжал описывать ущерб, причиняемый продуктами Gator. В результате прецедента другие антивирусные и анти-spyware компании используют для обозначения таких продуктов другие термины, такие как «потенциально нежелательные программы» или «grayware».

Методы лечения и предотвращения

Если угроза со стороны spyware становится более чем назойливой, существует ряд методов для борьбы с ними. Среди них программы, разработанные для удаления или блокирования внедрения spyware, также как и различные советы пользователю, направленные на снижение вероятности попадания spyware в систему.

Тем не менее, spyware остаётся дорогостоящей проблемой. Когда значительное число элементов spyware инфицировало ОС, единственным средством остаётся сохранение файлов данных пользователя и полная переустановка ОС.

Меры по предотвращению заражения
  • Использование браузеров, отличных от Internet Explorer — Chrome, Opera, Mozilla Firefox и др. Хотя нет совершенно безопасного браузера, Internet Explorer представляет бо́льший риск по части заражения из-за своей обширной пользовательской базы. 
  • Использование файрволов и прокси-серверы для блокировки доступа к сайтам, известным как распространители spyware. 
  • Использование hosts-файла, препятствующего возможности соединения компьютера с сайтами, известным как распространители spyware. Однако spyware легко могут обойти этот тип защиты, если производят соединение с удалённым хостом по IP-адресу, а не по имени домена. 
  • Скачивание программ только из доверенных источников (предпочтительно с веб-сайтов производителя), поскольку некоторые spyware могут встраиваться в дистрибутивы программ. 
  • Использование антивирусных программ с максимально «свежими» вирусными базами. 

Программы анти-spyware

Программы, такие как Ad-Aware (бесплатно для некоммерческого использования, дополнительные услуги платные) от Lavasoft и Spyware Doctor от PC Tools (бесплатное сканирование, удаление spyware платное) стремительно завоевали популярность как эффективные инструменты удаления и, в некоторых случаях, препятствия внедрению spyware.

Adware (англ. Ad, Advertisement — реклама и Software — программное обеспечение) — программное обеспечение, содержащее рекламу.

Вид программного обеспечения,при использовании которого пользователю принудительно показывается реклама.

Термином adware называют также вредоносное ПО, показывающее рекламу (чаще всего — в интернет-браузере).

Базовое назначение Adware — это неявная форма оплаты за использование программного обеспечения, осуществляющаяся за счёт показа пользователю Adware-программы рекламной информации (соответственно рекламодатели платят за показ их рекламы рекламному агентству, рекламное агентство — разработчику Adware программы).
Связь со шпионским ПО

Многие adware осуществляют действия, присущие Spyware: показывают рекламные заставки, базирующиеся на результатах шпионской деятельности на компьютере, могут устанавливаться без согласия пользователя. Примеры: Exact Advertising от BargainBuddy, Gator Software от Claria Corporation (может быть установлен тайным способом, демонстрирует всплывающие окна с рекламой).

Некоторые программы adware при деинсталляции не удаляют рекламный модуль.

Другие действия, характерные для spyware, такие как доклад о веб-сайтах, посещаемых пользователем, происходят в фоновом режиме. Данные используются для целевого рекламного эффекта.

Примеры программ

Примером программы adware может служить официальный клиент ICQ (в отличие, например, от клиентов Miranda IM, Kopete и т. д.) или медиаконвертер MediaCoder, распространяемый по условию свободного ПО, но официальная сборка которого содержит многочисленные баннеры рекламы.

Movieland, или же Moviepass.tv или Popcorn.net — служба скачивания видео, которая была предметом тысяч жалоб за постоянную назойливую демонстрацию всплывающих окон и требований оплаты. Федеральная комиссия по торговле США собрала материалы дела по поводу жалоб на Movieland и 11 других ответчиков, обвиняемых в создании национальной схемы по использованию обмана и принуждения для взимания платежей с клиентов. Сторона обвинения утверждала, что программа «неоднократно открывает несоразмерные рекламные окна, которые не могут быть закрыты или минимизированы, сопровождаемые музыкой, звучащей около 1 минуты, и требует платежа в сумме 29,95 $ для прекращения показа всплывающих окон, а также требует, чтобы клиенты, подписавшиеся на трёхдневную бесплатную пробную версию, но не успевшие аннулировать членство до истечения пробного периода, также платили».

Компью́терный ви́рус — разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. По этой причине вирусы относят к вредоносным программам.

Неспециалисты ошибочно относят к компьютерным вирусам и другие виды вредоносных программ - программы-шпионы и даже спам. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.
Распространение


Механизм

Вирусы распространяются, копируя свое тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты, и т. д.) вместе с эксплоитом, использующим уязвимость.

Каналы Дискеты Самый распространённый канал заражения в 1980-90 годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах. Флеш-накопители (флешки) В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры(MP3-плееры), сотовые телефоны. Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В последней версии MS Windows под торговым названием Windows 7 возможность автозапуска файлов с переносных носителей была устранена. Флешки — основной источник заражения для компьютеров, не подключённых к Интернету. Электронная почта Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше. Системы обмена мгновенными сообщениями Также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями. Веб-страницы Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер. Интернет и локальные сети (черви) Черви — вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

Противодействие обнаружению

Во времена MS-DOS были распространены стелс-вирусы, перехватывающие прерывания для обращения к операционной системе. Вирус таким образом мог скрывать свои файлы из дерева каталогов или подставлять вместо зараженного файла исходную копию. С широким распространением антивирусных сканеров, проверяющих перед запуском любой код на наличие сигнатур или выполнение подозрительных действий, этой технологии стало недостаточно. Сокрытие вируса из списка процессов или дерева каталогов для того, чтобы не привлекать лишнее внимание пользователя, является базовым приемом, однако для борьбы с антивирусами требуются более изощренные методы. Для противодействия сканированию на наличие сигнатур применяется шифрование кода и полиморфизм. Эти техники часто применяются вместе, поскольку для расшифрования зашифрованной части вируса необходимо оставлять расшифровщик незашифрованным, что позволяет обнаруживать его по сигнатуре. Поэтому для изменения расшифровщика применяют полиморфизм - модификацию последовательности команд, не изменяющую выполняемых действий. Это возможно благодаря весьма разнообразной и гибкой системе команд процессоров Intel, в которой одно и то же элементарное действие, например сложение двух чисел, может быть выполнено несколькими последовательностями команд. Также применяется перемешивание кода, когда отдельные команды случайным образом разупорядочиваются и соединяются безусловными переходами. Передовым фронтом вирусных технологий считается метаморфизм, который часто путают с полиморфизмом. Расшифровщик полиморфного вируса относительно прост, его функция - расшифровать основное тело вируса после внедрения, то есть после того как его код будет проверен антивирусом и запущен. Он не содержит самого полиморфного движка, который находится в зашифрованной части вируса и генерирует расшифровщик. В отличие от этого, метаморфный вирус может вообще не применять шифрование, поскольку сам при каждой репликации переписывает весь свой код.


Классификация

Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ.

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). 

Принято разделять вирусы:
  • по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макровирусы, вирусы, поражающие исходный код, сетевые черви); 
  • по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux); 
  • по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты); 
  • по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.); 
  • по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.). 

Механизмы распространения

Все механизмы («векторы атаки») распространения червей делятся на две большие группы:
  • Использование уязвимостей в операционной системе или программном обеспечении, установленном на компьютере. Например, вредоносная программа Conficker для своего распространения использовала уязвимость в операционной системе Windows. Такие черви способны распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме.
  • Используя средства так называемой социальной инженерии провоцируется запуск вредоносной программы самим пользователем. Данный метод широко применяется в спам-рассылках, социальных сетях и т.д.

Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.


Структура

Черви могут состоять из различных частей.

Часто выделяют так называемые резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл-кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.

Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивирусного программного обеспечения или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой TFTP-клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого-либо вреда (например, DoS-атаки).

Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь-жертва при помощи почтового клиента или Интернет-браузера добровольно скачивает и запускает червя целиком.


Способы защиты


По причине того, что сетевые черви для своего проникновения в систему пользователя используют уязвимости в стороннем программном обеспечении или операционной системе использования сигнатурных антивирусных мониторовнедостаточно для защиты от червей. Также, при использовании методов социальной инженерии пользователя под благовидным предлогом вынуждают запустить вредоносную программу, даже несмотря на предупреждение со стороны антивирусного программного обеспечения. Таким образом, для комплексного обеспечения защиты от современных червей, и любых других вредоносных программ, необходимо использование проактивной защиты.

Многовекторный червь — сетевой червь, применяющий для своего распространения несколько разных механизмов (векторов атаки), например, электронную почту и эксплойт ошибки в операционной системе.Черви повреждают файлы и негативно влияют на работу компьютера. 

Признаки того, что компьютер заражен вирусом:
  • компьютер работает медленнее, чем обычно;
  • компьютер перестает отвечать на запросы и часто блокируется;
  • каждые несколько минут происходит отказ системы и перезагрузка;
  • компьютер самопроизвольно перезагружается и работает со сбоями;
  • приложения работают некорректно;
  • диски или дисководы недоступны;
  • печать выполняется с ошибками;
  • появляются необычные сообщения об ошибках;
  • открываются искаженные меню и диалоговые окна.

Вредоносная программа (буквальный перевод англоязычного термина Malware, malicious — злонамеренный и software — программное обеспечение, жаргонное название — «малварь», «маловарь», «мыловарь» и даже «мыловарня») — это любое программное обеспечение, предназначенное для обеспечения получения несанкционированного доступа к информации, хранимой на ЭВМ, с целью причинения вреда (ущерба) владельцу информации и/или владельцу ЭВМ (сети ЭВМ).

Классификация вредоносных программ

У каждой компании-разработчика антивирусного программного обеспечения существует собственная корпоративная классификация и номенклатура вредоносных программ.
Классификация вредоносных программ по номенклатуре компании «Доктор Веб»
Классификация вредоносных программ по номенклатуре компании «Лаборатория Касперского»

Деятельность, осуществляемая вредоносными программами

Вредоносные программы могут осуществлять следующую нелегальную деятельность:
  • создание помех работе:
  • уничтожение пользовательских данных, вывод из строя аппаратного обеспечениия (см. «Чернобыльский вирус»);
  • блокировка компьютера с целью шантажа и вымогательства денежных средств с возможностью разблокировки за плату, а также шифрование файлов пользователя(см. Ransomware);
  • сбор информации о активности пользователя во время сеанса работы с компьютером, а также похищение данных, представляющих ценность или тайну, например, логин-пароль от системы Дистанционного Банковского Обслуживания, учетные записи электронной почты, различных сайтов или социальных сетей:
  • перенаправление пользователя на поддельные веб-сайты, зачастую точь-в-точь повторяющие оригинальные веб-ресурсы, с целью получения от пользователя учетных данных от аккаунта;
  • прямое похищение данных, сохранённых на жёстком диске пользователя;
  • регистрация нажатий клавиш (Keylogger) с целью кражи информации такого рода, как пароли и номера кредитных карточек;
  • помимо всего прочего, функционал современных вредоносных программ позволяет использовать зараженные компьютеры по всему миру в различных целях:
  • получение несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него, в том числе прямое управление компьютером;
  • зараженный компьютер, в составе ботнета, может быть использован для проведения DDoS-атак;
  • сбор адресов электронной почты и распространение спама, в том числе в составе ботнета;
  • использование телефонного модема для совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах;

Симптомы заражения:
  • автоматическое открытие окон с незнакомым содержимым при запуске компьютера;
  • блокировка доступа к официальным сайтам антивирусных компаний, или же к сайтам, оказывающим услуги по «лечению» компьютеров от вредоносных программ;
  • появление новых неизвестных процессов в окне «Процессы» диспетчера задач Windows;
  • появление в ветках реестра, отвечающих за автозапуск, новых записей;
  • запрет на изменение настроек компьютера в учётной записи администратора;
  • невозможность запустить исполняемый файл (выдаётся сообщение об ошибке);
  • появление всплывающих окон или системных сообщений с непривычным текстом, в том числе содержащих неизвестные веб-адреса и названия;
  • перезапуск компьютера во время старта какой-либо программы;
  • случайное и/или беспорядочное отключение компьютера;
  • случайное аварийное завершение программ.

Однако, следует учитывать, что несмотря на отсутствие симптомов, компьютер может быть заражен вредоносными программами.

Методы защиты от вредоносных программ

Абсолютной защиты от вредоносных программ, на сегодняшний день, не существует, но с помощью некоторых мер можно существенно снизить риск заражения вредоносными программами. Ниже перечислены основные и наиболее эффективные меры для повышения безопасности:
  • использовать современные операционные системы, имеющие серьёзный уровень защиты от вредоносных программ;
  • своевременно устанавливать обновления;
  • если существует режим автоматического обновления, включить его;
  • помимо антивирусных продуктов, использующих сигнатурные методы поиска вредоносных программ, использовать программное обеспечение, обеспечивающее проактивную защиту от угроз (необходимость использования проактивной защиты обуславливается тем, что сигнатурный антивирус не замечает новые угрозы, еще не внесенные в антивирусные базы);
  • постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере;
  • ограничить физический доступ к компьютеру посторонних лиц;
  • использовать внешние носители информации только от проверенных источников;
  • не открывать компьютерные файлы, полученные от ненадёжных источников;
  • использовать персональный Firewall (аппаратный или программный), контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;

Юридические аспекты

За создание, использование и распространение вредоносных программ предусмотрена различная ответственность, в том числе и уголовная, в законодательстве многих стран мира. Для того, чтобы программа считалась вредоносной, нужны три критерия:
Уничтожение информации или нарушение работы. Таким образом, взломщик защиты от копирования — не вредоносная программа.
Несанкционированная работа. Программа форматирования диска, входящая в комплект любой ОС, не является вредоносной, так как её запуск санкционируется пользователем.
Заведомость — явная цель несанкционированно уничтожить информацию. Программы с ошибкой могут пройти как нарушение прав потребителей или как преступная халатность — но не как вредоносные.

Более чёткие критерии, по которым программные продукты (модули) могут быть отнесены к категории вредоносных программ, до настоящего времени нигде четко не оговорены. Соответственно, для того, чтобы утверждение о вредоносности программы имело юридическую силу, необходимо проведение программно-технической экспертизы с соблюдением всех установленных действующим законодательством формальностей. Впрочем, создание вредоносных программ — преступление против оператора ЭВМ (владельца аппаратного обеспечения либо уполномоченного им человека), нарушение авторского права — против правообладателя.

По материалам корпорации Микрософт(с) и сайта wikipedia.org.
Оплата услуг более 300 провайдеров за WebMoney, RBK Money, Деньги@Mail.Ru, WebCreds и Яндекс.Деньги

Comments