Вирусы

Мне кажется, что в этой группе состоят только альтернативно одарённые!!!

«Brain» может быть и не был самым сложным вирусом, но в 1986 году он стал первым червем, который был нацелен на персональные компьютеры с операционной системой DOS от Microsoft.

Вирус занимал огромную часть оперативной памяти и вызывал на экранах мониторов сообщения о заражении.

Вирус также показывал информацию для пользователя, что необходимо позвонить по определенному номеру телефона, чтобы деактивировать его. Номер принадлежал двум братьям из Пакистана, разработчикам вируса «Brain», которые утверждали, что они не пытались создать столько проблем; они написали вирус как средство защиты от копирования для медицинского программного обеспечения ... но потом кто-то пришел и скопировал кусок кода, а братья получили больше, чем они рассчитывали, - просьбы о дезинфекции со всего мира.

Мораль этой истории? Будьте осторожны с тем, что вы программируете.

Одним из видов вирусов являются загрузочные вирусы, которые во время проникновения на компьютер заражают загрузочный сектор и boot-сектор винчестера. Загрузочные вирусы функционируют на стандартных алгоритмах запуска операционной системы при перезагрузке или включении компьютера.

Во время загрузки ОС проводятся необходимые тесты установленного оборудования (дисков, памяти и т.д.).  Стандартная программа системной загрузки во время запуска читает первый сектор загрузочного диска (выставляется в зависимости от указанных параметров, установленных в BIOS Setup,  может загружаться либо CD-ROM, либо жесткий диск, либо флешка и т.д.) и полностью передает на него управление.

В случае компакт-диска во время загрузки системы управление получает boot-сектор, который анализирует и высчитывает адреса системных файлов ОС и начинает заносить их в память, после чего запускает на выполнение.

Во время заражения компакт дисков загрузочные вирусы самостоятельно «подставляют» свой программный код вместо запущенной программы, которая получает управление при загрузке операционной системы. Каким же образом происходит заражение? Компьютерный вирус как бы “заставляет” операционную систему во время ее запуска считать его основной код в память и после этого передать управление не исходной программе, а коду вируса.

Заражение посредством дискет сегодня не актуально, так как их полностью заменили легкие, компактные и емкие usb-флешки. Заражение происходит путем записи вирусного кода вместо исходного кода boot-сектора самой флешки.  Жесткий диск заражается следующими способами: вирус записывает свой код либо вместо кода загрузочного диска, либо вместо кода MBR.

Во время заражения диска вирус переносит оригинальный boot-сектор в любой другой сектор диска (зачастую в первый свободный). В том случае, если длина загрузочного вируса больше длины сектора, то сам код разбивается на несколько частей и заносятся в разные сектора.

Известно несколько вариантов занесения вируса на жесткий диск: в свободных секторах логического диска, в редко или вообще неиспользуемых системных секторах, в секторах, которые располагаются за пределами локального диска.

Если продолжение загрузочного вируса располагается в свободных кластерах диска, то обычно  вирус помечает эти кластеры в FAT как сбойные. Этот способ очень часто используется вирусами «Ping-Pong», «Brain» и некоторыми другими.

В вирусах под названием «Stoned» задействован совершенно другой метод. Вирусы действуют следующим образом: перемещают загрузочный сектор в редко или вообще неиспользуемый сектор.

Spyware (шпионское программное обеспечение, программа-шпион) — программа, которая скрытным образом устанавливается на компьютер, смартфон, персональный цифровой помощник с целью сбора информации о конфигурации компьютера, копировании информации из памяти устройства, копировании данных пользователя, аудио/видео записи пользователя или пользовательской активности без согласия последнего. Также могут производить другие действия: изменение настроек, установка программ без ведома пользователя, перенаправление действий пользователя. В настоящий момент существует множество определений и толкований термина spyware. Организация «Anti-Spyware Coalition», в которой состоят многие крупные производители антишпионского и антивирусного программного обеспечения, определяет его как мониторинговый программный продукт, установленный и применяемый без должного оповещения пользователя, его согласия и контроля со стороны пользователя.

Особенности функционирования

Spyware могут осуществлять широкий круг задач, например:

собирать информацию о привычках пользования Интернетом и наиболее часто посещаемые сайты (программа отслеживания);

запоминать нажатия клавиш на клавиатуре (кейлоггеры) и записывать скриншоты экрана (screen scraper) и в дальнейшем отправлять информацию создателю spyware;

несанкционированно и удалённо управлять компьютером (remote control software) — бэкдоры, ботнеты, droneware;

инсталлировать на компьютер пользователя дополнительные программы;

использоваться для несанкционированного анализа состояния систем безопасности (security analysis software) — сканеры портов и уязвимостей и взломщики паролей;

изменять параметры операционной системы (system modifying software) — руткиты, перехватчики управления (hijackers) и пр. — результатом чего является снижение скорости соединения с Интернетом или потеря соединения как такового, открывание других домашних страниц или удаление тех или иных программ;

перенаправлять активность браузеров, что влечёт за собой посещение веб-сайтов вслепую с риском заражения вирусами.

Некоторые образцы

Ниже приведены распространённые spyware, которые демонстрируют разнообразие вариантов поведения. Отметим, что так же как и для вирусов, для spyware исследователи дали имена, которые могут отличаться от тех, которые придумали их создатели. Spyware могут быть сгруппированы в семьи, основанные не на общем программном коде, а на сходном поведении. Например, ряд программ, распространяемых Claria Corporation, известны под общим названием Gator. Подобным образом, программы, которые часто инсталлируются вместе, могут быть описаны как части единого пакета spyware, даже если они функционируют отдельно.

CoolWebSearch. Группа программ, использующая уязвимости в Internet Explorer. Перенаправляет трафик на рекламу на веб-сайтах, включая coolwebsearch.com. Выдаёт всплывающие рекламные окна, переписывает результаты поисковых запросов и изменяет файл hosts инфицированного компьютера для перенаправления DNS на эти веб-сайты.

HuntBar, также WinTools или Adware.Websearch. Инсталлируется совместно с загрузкой ActiveX с партнёрских сайтов или посредством всплывающих окон, выдаваемых другой spyware (пример того, как одна spyware может инсталлировать ещё больше spyware). Эти программы добавляют панели инструментов для Internet Explorer, отслеживают привычку посещения веб-сайтов, перенаправляют партнёрские ссылки и выдают всплывающие рекламные окна.

Internet Optimizer, также известный как DyFuCa. Перенаправляет в Internet Explorer страницы с ошибками на рекламу. Когда пользователь вводит нерабочую ссылку или набирает неправильный URL, то видит страницу с рекламой. Однако, поскольку охраняемые паролями веб-сайты (HTTP Basic authentication) используют такой же механизм, как ошибки HTTP, Internet Optimizer делает невозможным для пользователя доступ к веб-сайтам с парольной защитой. Internet Optimizerклассифицируется как Browser Helper Object и загружается всякий раз при запуске Internet Explorer. Internet Optimizer не задерживается файрволами и антивирусными программами, поскольку рассматривается как легитимная часть приложения. Internet Optimizer также классифицируется как загрузчик, то есть программа, способная загружать, инсталлировать и запускать другие программы без ведома пользователя.

Zango (прежде 180 Solutions). Передаёт детальную информацию рекламодателям о веб-страницах, посещаемых пользователем. Также меняет HTTP-запросы со ссылок на веб-сайты партнёрских рекламодателей, которые, в свою очередь, дают возможность нечестных доходов для 180 Solutions. Открывает всплывающие окна, перекрывающие веб-страницы компаний-конкурентов.

Троя́нская программа (также — троя́н, троя́нец, троя́нский конь) — разновидность вредоносной программы, проникающая в компьютер под видом легального программного обеспечения, в отличие от вирусов и червей, которые распространяются самопроизвольно. В данную категорию входят программы, осуществляющие различные неподтверждённые пользователем действия: сбор информации банковских карт ит. и её передачу злоумышленнику, её использование, удаление или злонамеренное изменение, нарушение работоспособности компьютера, использование ресурсов компьютера в целях майнинга, использование IP для нелегальной торговли

Примеры троянских программ: HookDump, Back Orifice, Pinch, TDL-4, Trojan.Winlock.

Свое общее название троянские программы получили за сходство механизма проникновения в компьютер пользователя с описанным в эпизоды Илиады, рассказывающем о «Троянском коне» — дарёном деревянном коне, использованном для проникновения в Трою, что и стало причиной падения Трои. В Коне, подаренном в знак лже-перемирия, прятались воины Одиссея, ночью выбравшиеся из Коня и открывшие ворота основным силам объединенной греческой армии. Больша́я часть троянских программ действуют подобным образом — маскируется под безвредные или полезные программы, чтобы пользователь запустил их на своем компьютере. Считается, что первым этот термин в контексте компьютерной безопасности употребил в своём отчёте «Computer Security Technology Planning Study» Дэниэл Эдвардс, сотрудник АНБ.

Распространение

Троянские программы распространяются людьми — как непосредственно загружаются в компьютерные системы злоумышленниками-инсайдерами, так и побуждают пользователей загружать и/или запускать их на своих системах.

Для достижения последнего троянские программы помещаются злоумышленниками на открытые или индексируемые ресурсы (файл-серверы и системы файлообмена), носители информации, присылаются с помощью служб обмена сообщениями (например, электронной почтой), попадают на компьютер через бреши безопасности или загружаются самим пользователем с адресов, полученных одним из перечисленных способов.

Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы (в том числе, третьи)[2].

Типы троянских программ[править | править код]

Троянские программы чаще всего разрабатываются для вредоносных целей. Существует классификация, где они разбиваются на категории, основанные на том, как трояны внедряются в систему и наносят ей вред. Существует 5 основных типов[2]:

удалённый доступ

уничтожение данных

загрузчик

сервер

дезактиватор программ безопасности

Расширения троянских программ

Троянские программы обычно имеют следующие расширения:

.exe, .com (под видом игр, офисных приложений и других легальных программ, расширение может быть не видно, если в Windows отключено отображение расширений, возможны файлы с «двойным» расширением, например, image.jpg.exe);

.js, .vbs, .jse, .vbe, .bat, .cmd, .sh (скрипты; расширение может быть не видно, иногда файлы этих форматов можно прочитать в редакторе кода);

.html, .htm, .shtml, .shtm, .xhtml, .xht, .hta (HTML документы; могут скачивать вирусы и другие вредоносные программы из Интернета, перенаправлять на вирусные и ложные сайты; файлы .hta работают вне браузера и может выполнять опасные действия непосредственно на компьютере);

.pif (ярлык с возможностью выполнения вредоносных действий);

.docm, .xlsm и т. п. (в электронных документах могут быть опасные макросы, обычно расширение заканчивается на «m»);

.xml, .xsl, .svg, .xaml (XML-документы, аналогично HTML);

.scr (программа, работающая зачастую скрытно);

некоторые другие.

Цели

Целью троянской программы может быть[2]:

закачивание и скачивание файлов;

копирование ложных ссылок, ведущих на поддельные вебсайты, чаты или другие сайты с регистрацией;

создание помех работе пользователя;

кража данных, представляющих ценность или тайну, в том числе информации для аутентификации, для несанкционированного доступа к ресурсам, выуживание деталей касательно банковских счетов, которые могут быть использованы в преступных целях;

распространение других вредоносных программ, таких как вирусы;

уничтожение данных (стирание или переписывание данных на диске, труднозамечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей;

сбор адресов электронной почты и использование их для рассылки спама;

слежка за пользователем и тайное сообщение третьим лицам сведений, таких как, например, привычка посещать конкретные сайты;

регистрация нажатий клавиш с целью кражи информации такого рода как пароли и номера кредитных карточек;

дезактивация или создание помех работе антивирусных программ и файервола;

для самоутверждения вирусодела или просто «повеселиться».

Маскировка

Троянская программа может имитировать имя и иконку существующей, несуществующей, или просто привлекательной программы, компонента, или файла данных (например картинки), как для запуска пользователем, так и для маскировки в системе своего присутствия.

Троянская программа может в той или иной мере имитировать или даже полноценно выполнять задачу, под которую она маскируется (в последнем случае вредоносный код встраивается злоумышленником в существующую программу).

Работа

Задачи, которые могут выполнять троянские программы, бесчисленны (как бесчисленны и существующие ныне в мире компьютерные вредоносные программы), но в основном они идут по следующим направлениям:

нарушение работы других программ (вплоть до зависания компьютера, решаемого лишь перезагрузкой, и невозможности их запуска);

настойчивое, независимое от владельца предлагание в качестве стартовой страницы спам-ссылок, рекламы или порносайтов;

распространение по компьютеру пользователя порнографии;

превращение языка текстовых документов в бинарный код;

мошенничество (например, при открывании определённого сайта пользователь может увидеть окно, в котором ему предлагают сделать определённое действие, иначе произойдёт что-то труднопоправимое — бессрочная блокировка пользователя со стороны сайта, потеря банковского счета и т. п., иногда за деньги, получение доступа к управлению компьютером и установки вредоносного ПО);

простое списывание

Методы удаления

В целом, троянские программы обнаруживаются и удаляются антивирусным и антишпионским ПО точно так же, как и остальные вредоносные программы.

«Storm» («Штром») получил свое название от способа заражения.

В начале 2007 года пользователи начали получать электронные письма с темой «230 погибших от бури в Европе» и с ссылкой на эту историю.

Ни за что не нажимайте! Нет! Один клик приведет вас на зараженный сайт, и вы загрузите вирус, хотите ли вы этого или нет.

О «Storm» говорили все новостные заголовки, в то время, как вирус оставался все таким же опасным, заражая миллионы компьютеров.

Более того, «Storm» в течение времени становился все хитрее, рассылая электронные письма от имени технической поддержки интернет-провайдера, где говорилось, что необходимо было перейти по некой ссылке для обновления системы безопасности. Но после клика обычно система безопасности не обновлялась, а подвергалась нападению вируса, который отправлял ссылки на онлайн-порно, фотографии знаменитостей или электронные открытки.

На сегодняшний день «Storm» остается одним из главных вирусов, атакующих системы безопасности по всему миру, и продолжает распространяться снова и снова, в том числе через ссылки, вставленные в сообщения в блогах и на досках объявлений. Будьте внимательны!