К весне 2011 года крупнейшая в мире вирусная база «Лаборатории Касперского» насчитывала более 5 млн оригинальных образцов зловредов и вредоносных программ. Таков итог двадцатидвухлетней борьбы Евгения Касперского и его команды с вирусами и прочей цифровой нечистью.
Что такое вредоносные программы? В прошлом компьютерам угрожали преимущественно вирусы и «черви». Создание и распространение вирусов и «червей» получило название кибервандализма.
Технологии и методы заражения компьютеров с тех пор ушли вперед, и этих двух понятий стало недостаточно для описания всего существующего многообразия вредоносных программ.
Большинство вредоносных программ (malware) объединяет все программы, создаваемые и используемые для осуществления несанкционированных и зачастую драматических воздействий на мирного пользователя. Вирусы, backdoor-программы (создаваемые для незаконного удаленного администрирования), клавиатурные шпионы, программы для кражи паролей и другие типы троянцев, макровирусы для Word и Excel, вирусы сектора загрузки, скриптовые вирусы (BAT-вирусы, windows shell-вирусы, java-вирусы и т.д.) и скриптовые троянцы, мошенническое ПО, шпионские и рекламные программы – это далеко не полный список того, что классифицируется как вредоносные программы.
Эволюция вредоносных программ движется в сторону усложнения функционала и совершенствования методов сокрытия в системе. Руткиты, заражение и модификация системных компонентов, стремление к «неистребимости» – вот основные признаки самых опасных и сложных угроз сегодня. Предотвратить заражение такими программами зачастую гораздо проще, чем вылечить уже зараженный компьютер.
Сейчас наиболее значительную угрозу представляют собой программы, созданные злоумышленниками для извлечения незаконных доходов. Кибервандалы превратились в киберпреступников и кибермошенников.
В чем разница между вирусом и «червем»? Основной целью этих программ было самораспространение, то есть разойтись как можно шире и нагадить как можно больше; некоторые программы также причиняли вред файлам и самим компьютерам.
«Черви» считаются подклассом вирусов, но обладают характерными особенностями. «Червь» размножается (воспроизводит себя), не заражая другие файлы. Он внедряется один раз на конкретный компьютер и ищет способы распространиться далее на другие компьютеры.
Вирус заражает тем большее количество файлов, чем дольше он находится на компьютере необнаруженным. «Червь» создает единственную копию своего кода. В отличие от вируса, код «червя» самостоятелен. Другими словами, «червь» – это отдельный файл, в то время как вирус – это код, который внедряется в существующие файлы.
Что такое троянская программа и почему она так называется? В античной мифологии троянский конь – это деревянная полая конструкция в форме коня, внутри которой греки проникли в Трою и таким образом смогли покорить и разрушить город. По классическому определению, «троянец» – это программа, которая внешне выглядит как легальный программный продукт, но при запуске совершает вредоносные действия. Троянские программы не могут распространяться сами по себе, и этим они отличаются от вирусов и «червей». Обычно «троянцы» скрытно устанавливаются на компьютер и выполняют вредоносные действия без ведома пользователя.
«Трояны» разных видов составляют большую часть современных вредоносных программ; все они пишутся специально для выполнения конкретной зловредной функции.
Некоторые регистрируют последовательность нажимаемых на клавиатуре клавиш, другие делают снимки экрана при посещении пользователем сайтов, предлагающих банковские услуги, третьи загружают на компьютер дополнительный вредоносный код, предоставляют хакеру удаленный доступ к компьютеру и т.д. Все эти программы объединяет то, что они позволяют злоумышленникам собирать конфиденциальную информацию и использовать ее для кражи денег у пользователей.
Чаще всего встречаются backdoor-«троянцы» (утилиты удаленного администрирования, часто включают в себя клавиатурные шпионы), «троянцы»-шпионы, «троянцы» для кражи паролей и «троянцы»-прокси, превращающие ваш компьютер в машину для рассылки спама.
Backdoor – программа скрытого удаленного администрирования. Также известные как «бэкдоры». Являются разновидностью троянских программ (trojans), предоставляющих злоумышленнику возможность несанкционированного удаленного управления зараженным компьютером.
Что такое DoS– (DDoS-) атака? DoS-атака (сетевая атака, Denial of Service – отказ в обслуживании пользователей) производится с целью срыва или затруднения нормальной работы веб-сайта, сервера или другого сетевого ресурса. Хакеры осуществляют такие атаки разными способами. Один из них – это отправка на сервер многочисленных запросов, которая может привести к затруднению или срыву работы, если ресурсов сервера окажется недостаточно для их обработки.
DDoS-атака (Distributed Denial of Service – распределенная сетевая атака) отличается от DoS-атаки тем, что запросы на атакуемый ресурс производятся с большого количества машин. Одна зараженная машина часто используется хакерами как «ведущая», и управляет атакой, производимой с других, так называемых зомби-машин.
Что такое фишинг? Фишинг – это особый вид кибер-мошенничества, направленный на то, чтобы обманным путем заставить вас раскрыть персональные данные, как правило финансового характера. Мошенники создают поддельный веб-сайт, который выглядит как сайт банка (или как любой другой сайт, через который производятся финансовые операции, например eBay). Затем преступники пытаются завлечь вас на этот сайт, чтобы вы ввели на нем конфиденциальные данные, такие как логин, пароль или PIN-код. Часто для этого мошенники с помощью спама распространяют ссылку на этот сайт.
Что такое руткит? «Руткит» (rootkit) – это набор программ, используемый хакерами для сокрытия своего присутствия в системе при попытках неавторизованного доступа к компьютеру. Термин пришел из Unix-систем и обозначает методы, которые авторы троянских программ, работающих под Windows, используют для маскировки вредоносной активности своих зловредов. Установленные в системе руткиты не только не видны пользователям, но и избегают обнаружения антивирусным ПО за счет того, что многие пользователи входят в систему как администраторы, не создавая отдельной учетной записи с ограниченными правами для ежедневной работы, для злоумышленников задача внедрения руткитов упрощается.
Что такое drive-by (попутная) загрузка? При drive-by загрузке компьютер заражается при посещении веб-сайта, содержащего вредоносный код. Кибермошенники ищут в Интернете веб-серверы, уязвимые для взлома, чтобы вписать вредоносный код на веб-страницы (часто в виде вредоносного скрипта). Если в операционной системе или на приложениях не установлены обновления безопасности, то при посещении зараженного веб-сайта вредоносный код загружается на ваш компьютер автоматически.