Найти в Дзене
Всё про вирусы и антивирусы
1 подписчик

Как работают вирусы и антивирусы?

2
11 мин
В данной статье я опишу работу вирусов и антивирусов, а также приведу примеры вирусов. Вредоносное ПО (программное обеспечение) — это приложения или код, которые препятствуют нормальному использованию конечных устройств. Когда устройство заражено вредоносным ПО, вы можете столкнуться с несанкционированным доступом, компрометацией данных или блокировкой и требованием заплатить выкуп. Основные виды вредоносного ПО: Теперь разберем каждый из них подробнее: Троянские программы – программы, маскирующиеся под легальное программное обеспечение, чтобы обманом заставить пользователей запустить вредоносные программы на компьютере. Поскольку они выглядят достаточно надежными, пользователи загружают их, неосознанно заражая своё устройство вредоносными программы. Троянские программы – это, своего рода, точки входа злоумышленников в систему. После установки троянской программы на устройство злоумышленники могут использовать ее для удаления, изменения и сбора данных с устройства, а также для слежки
Оглавление

В данной статье я опишу работу вирусов и антивирусов, а также приведу примеры вирусов.

Вредоносное ПО

Вредоносное ПО (программное обеспечение) — это приложения или код, которые препятствуют нормальному использованию конечных устройств. Когда устройство заражено вредоносным ПО, вы можете столкнуться с несанкционированным доступом, компрометацией данных или блокировкой и требованием заплатить выкуп.

Основные виды вредоносного ПО:

  • Шпионские программы
  • Черви
  • Программы-вымогатели и программы-шифровальщики
  • Боты и ботнеты
  • Вирусы
  • Вирусы-майнеры

Теперь разберем каждый из них подробнее:

Троянские программы – программы, маскирующиеся под легальное программное обеспечение, чтобы обманом заставить пользователей запустить вредоносные программы на компьютере. Поскольку они выглядят достаточно надежными, пользователи загружают их, неосознанно заражая своё устройство вредоносными программы. Троянские программы – это, своего рода, точки входа злоумышленников в систему. После установки троянской программы на устройство злоумышленники могут использовать ее для удаления, изменения и сбора данных с устройства, а также для слежки за устройством и получения доступа к сети. Троянские программы являются одними из самых распространенных вредоносных ПО, потому что они маскируются под обычные программы, из-за чего антивирусы чаще всего не могут найти их среди обычных программ.

Пример троянских программ

  • WannaCry был одним из наиболее известных программных троянов, который взломал множество компьютеров и зашифровал данные, требуя выкуп за их расшифровку. Этот программный троян стал широко распространенным в 2017 году и принес огромные убытки компаниям и частным пользователям.

Шпионские программы – разновидность вредоносных программ, скрывающихся на устройстве, отслеживающих активность и осуществляющих кражу конфиденциальной информации: финансовых данных, учетных записей, данных для входа и прочих данных. Шпионские программы могут распространяться через уязвимости программного обеспечения, быть связны с легальными программами или являться частью троянских программ.

Пример шпионских программ

  • Gator. Обычно устанавливается в комплекте с программами для обмена файлами, таким как Kazaa, отслеживает, чем пользователи интересуются в интернете, и использует полученную информацию для показа им конкретной рекламы.

Черви – это один из наиболее часто встречающихся типов вредоносных программ, распространяющихся по компьютерным сетям, используя уязвимости операционной системы. Черви представляют собой отдельные программы, распространяющиеся путем самокопирования с целью заражения других компьютеров, при этом никаких действий со стороны пользователей или злоумышленников не требуется. Благодаря способности быстро распространяться, черви часто используются для выполнения фрагментов кода, созданного для повреждения системы, например, они могут удалять файлы в системе, шифровать данные для атаки программы-вымогателя, красть информацию и создавать ботнеты.

Пример червя

  • SQL Slammer – известный компьютерный червь, который, вместо традиционных методов распространения, генерирует случайные IP-адреса и рассылает на них свой вредоносный код в поисках не защищенных антивирусными программами устройств. Вскоре после появления этого червя, в 2003 году, более 75 000 зараженных компьютеров были без ведома пользователей вовлечены в DDoS-атаки на ряд крупных веб-сайтов. Несмотря на то, что уже в течение долгого времени доступен соответствующий патч безопасности, атаки червя SQL Slammer повторялись в 2016 и 2017 годах.

Программы вымогатели – это вредоносные программы, осуществляющие блокировку или отказ доступа пользователей к системе или данным до момента выплаты выкупа.

Программы-шифровальщики – это тип программ-вымогателей, выполняющих шифрование пользовательских файлов и требующих оплаты в определенный срок и часто в цифровой валюте, например, в биткойнах.

Пример программы-вымогателя

  • CryptoLocker – это распространенная в 2013 и 2014 годах вредоносная программа, используемая злоумышленниками для доступа и шифрования файлов в системе. После загрузки CryptoLocker отображает сообщение с требованием выкупа: в нем предлагается расшифровать данные, если в установленный срок будет выполнен платеж наличными или в биткойнах. Программа-вымогатель CryptoLocker больше не применяется, однако предполагается, что стоящие за ней злоумышленники получили около трех миллионов долларов у ставших жертвами компаний.
  • WannaCry. О нем говориться в примере про троянские программы.

Боты и ботнеты. Бот – это компьютер, зараженный вредоносной программой, которым злоумышленники могут управлять удаленно. Боты, иногда называемые зомби-компьютерами, могут использоваться для запуска атак, а также стать частью ботнета – набора ботов, объединенных в сеть. Ботнеты могут включать миллионы устройств, как правило, они распространяются незаметно. Ботнеты позволяют злоумышленникам совершать различные вредоносные действия: DDoS-атаки (онлайн атака на системы компании. Это делается чтобы загрузить серверы), рассылку спама и фишинговых сообщений, а также распространять другие типы вредоносных программ.

Примеры ботнетов

  • Mirai. В 2016 году в результате масштабной DDoS-атаки большая часть Восточного побережья США осталась без доступа в интернет. Атака, которую власти изначально опасались, была вызвана ботнетом Mirai и приписывается враждебному государству. Mirai – это тип вредоносных программ, автоматически обнаруживающих устройства интернета вещей, заражающих их и включающих в ботнет.

Вирусы – это фрагмент кода, который вставляется в приложение и запускается при его запуске. Попав в сеть, вирус может использоваться для кражи конфиденциальных данных, запуска DDoS-атак или атак программ-вымогателей. Обычно вирус распространяется через зараженные веб-сайты, при совместном доступе к файлам, при загрузке зараженных вложений электронной почты. Вирус бездействует до момента активации зараженного файла или программы. После этого вирус начинает распространяться в системе.

Пример вируса

  • Вирус Stuxnet появился в 2010 году и, как считается, был разработан правительствами США и Израиля для срыва ядерной программы Ирана. Вирус распространялся через флэш-накопитель, подключаемый по USB. Он был нацелен на промышленные системы управления Siemens: вызывал сбои и самоуничтожение центрифуг с рекордной скоростью. Считается, что вирусом Stuxnet было заражено более 20 000 компьютеров и разрушена пятая часть центрифуг, что отбросило ядерную программу Ирана на годы назад.

Вирусы-майнеры – программа, использующая вычислительные ресурсы устройства для майнинга криптовалют. Заражение этим типом вредоносного ПО часто начинается с вложения в электронную почту, которое пытается установить вредоносное ПО, или с веб-сайта, который использует уязвимости в веб-браузерах или использует вычислительную мощность компьютера для добавления вредоносного ПО на устройства. Отличительной чертой майнеров является то, что их можно обнаружить без антивируса, так как майнер использует вычислительные ресурсы устройства, то устройство сразу начнет хуже работать (греться, зависать, шуметь)

Пример вируса-майнера:

  • XMRig. В группе вирусов выделяется XMRig. По сути, это легитимное программное обеспечение для майнинга Monero, доступное на GitHub. Однако исследователи обнаружили поразительное количество «дропперов», представляющие собой специальные вирусы, которые автоматически загружали XMRig на компьютеры — опять-таки, без согласия пользователей.

Антивирусные программы

Антивирусная программа – специализированная программа для обнаружения компьютерных вирусов, а также нежелательных программ и восстановления зараженных такими программами файлов, а также предотвращение заражения файлов или операционной системы вредоносным кодом.

Первые антивирусы появились в конце 1980-х годов. Самыми популярными на тот момент антивирусами можно назвать AntiVir, Dr. Solomons Anti-Virus Toolkit, Symantec antivirus for Macintosh. Эти антивирусы являются одними из первых, поэтому их трудно сравнивать с нынешними антивирусами.

У антивирусов есть 4 основных метода обнаружения вирусов:

  • Сканирование сигнатур. Основано на поиске в файлах уникальной последовательности байтов — сигнатуры, характерной для определённого вируса. Для каждого вновь обнаруженного вируса специалистами антивирусной лаборатории выполняется анализ кода, на основании которого определяется его сигнатура. Полученный кодовый фрагмент помещают в специальную базу данных вирусных сигнатур, с которой работает антивирусная программа. Является основным и самым эффективным методом поиска вирусов
  • Контроль целостности. Любое неожиданное и беспричинное изменение данных на диске является подозрительным событием, требующим особого внимания антивирусной системы. Факт изменения данных устанавливается путём сравнения контрольной суммы, заранее подсчитанной для исходного состояния тестируемого кода, и контрольной суммы текущего состояния тестируемого кода. Если они не совпадают, значит, целостность нарушена и имеются основания провести для этого кода дополнительную проверку.
  • Эвристическое сканирование. Основано на выявлении в сканируемом файле некоторого числа подозрительных команд и признаков подозрительных кодовых последовательностей (например, команда форматирования жёсткого диска или функция внедрения в выполняющийся процесс или исполняемый код). После этого делается предположение о вредоносной сущности файла и предпринимаются дополнительные действия по его проверке.
  • Отслеживание поведения программ. Этот метод основан на анализе поведения запущенных программ. Если антивирус обнаруживает неестественную или подозрительную активность, то он сообщит о том, что программа может являться вирусом.

Если антивирус все такие нашел вирус на компьютере, то это еще не означает что компьютер заражен, возможно пользователь загрузил или скопировал инфицированный файл, а антивирус удалил его до того, как от него начнутся проблемы. Если антивирус все-таки обнаружит вредоносные файлы, то он может предложить “поместить их на карантин”, то есть запретить им как-либо действовать, или, что еще лучше, предложит сразу удалить их, если это возможно. После удаления вирусов лучше всего перезагрузить устройство.

Антивирусные программы различных производителей включают в себя разное число компонентов, и даже более того, одна и та же компания может выпускать несколько версий антивируса, включающих определенный набор модулей и ориентированных на различные сегменты рынка. Например, некоторые антивирусы располагают компонентом родительского контроля, позволяющего ограничивать доступ несовершеннолетних пользователей компьютера к сайтам определенных категорий или регулировать время их работы в системе, а некоторые — нет. Так или иначе, обычно современные антивирусные приложения обладают следующим набором функциональных модулей:

  • Антивирусный сканер — утилита, выполняющая поиск вредоносных программ на дисках и в памяти устройства по запросу пользователя или по расписанию;
  • Резидентный монитор — компонент, выполняющий отслеживание состояния системы в режиме реального времени и блокирующий попытки загрузки или запуска вредоносных программ на защищаемом компьютере;
  • Брандмауэр (файрвол) — компонент, выполняющий мониторинг текущего соединения, включая анализ входящего и исходящего трафика, а также проверяющий исходный адрес и адрес назначения в каждом передаваемом с компьютера и поступающем на компьютер пакете информации — данные, поступающие из внешней среды на защищенный брандмауэром компьютер без предварительного запроса, отслеживаются и фильтруются. С функциональной точки зрения брандмауэр выступает в роли своеобразного фильтра, контролирующего поток передаваемой между локальным компьютером и интернетом информации, защитного барьера между компьютером и всем остальным информационным пространством;
  • Веб-антивирус — компонент, предотвращающий доступ пользователя к опасным ресурсам, распространяющим вредоносное ПО, фишинговым и мошенническим сайтам с использованием специальной базы данных адресов или системы рейтингов;
  • Почтовый антивирус — приложение, выполняющее проверку на безопасность вложений в сообщения электронной почты и (или) пересылаемых по электронной почте ссылок;
  • Модуль антируткит — модуль, предназначенный для борьбы с руткитами (вредоносными программами, обладающими способностью скрывать свое присутствие в инфицированной системе);
  • Модуль превентивной защиты — компонент, обеспечивающий целостность жизненно важных для работоспособности системы данных и предотвращающий опасные действия программ;
  • Модуль обновления — компонент, обеспечивающий своевременное обновление других модулей антивируса и вирусных баз;
  • Карантин — централизованное защищенное хранилище, в которое помещаются подозрительные (в некоторых случаях — определенно инфицированные) файлы и приложения до того, как по ним будет вынесен окончательный вердикт.

Использованные материалы