В чем отличие от доступа? При доступе команды и их последовательность выбирает сам человек, а при внедрении в память ЭВМ специальных программ, действия осуществляются в автоматическом режиме, то есть без участия человека.
Эти программы могут делать все, что угодно: блокирование, уничтожение, копирование информации. Они то же могут быть санкционированными, то есть легальными (например, авто сохранение в Word – но в отличие от несанкционированной программы вы об этой опции знаете). Несанкционированная, это например, когда у Вас в компьютере живет какая то прога, которая делает копии, или даже куда-то их отсылает, независимо от Вас.
То есть, если эти программы внедрены в ЭВМ с ведома и согласия пользователя, и он осведомлен о результатах их работы, то тогда такое внедрение является легальным. В противном случае, такие программы можно считать вредоносными.
Что такое вредоносные программы?
Вредоносная программа определена в пункте в статьи 1 Соглашения о сотрудничестве государств СНГ «О борьбе с преступлениями в сфере компьютерной информации». Это достаточно интересный документ международно-правового характера. Согласно данному соглашению вредоносная программа – это созданная или существующая программа со специально-внесенными изменениями, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации или копированию информации, нарушению работы ЭВМ, системы ЭВМ или сети.
С общей точки зрения особое значение имеет классификация вредоносных программ. Эти программы чаще всего классифицируются по их результатам. Классической считается классификация вредоносных программ, которую дал В.В. Крылов:
- безвредные инфекции - такие вредоносные программы, которые не уничтожают информацию, не производят с ней каких-либо действий, но которые могут нарушать штатный режим работы компьютера (например, вирус Курникова), но эти инфекции могут иметь серьезные эффекты (в частности, может обеспечиваться поражение самих пользователей - создание 25 кадра, генерирование ультразвуковых или инфразвуковых колебаний через звуковые колонки);
- опасные инфекции - вредоносные программы, которые приводят к уничтожению, блокированию информации, ее модификации или выводят из строя ЭВМ, делая ее функционирование невозможным на длительный срок;
- инфекции проникновения - вредоносные программы, предназначенные для организации неправомерного доступа к чужим информационным ресурсам, прежде всего с целью копирования и передачи.
Вредоносные программы могут создаваться либо целенаправленно (изначально пишется как вредоносная), или путем модификации изначально полезной программы.
Другим видом классификации вредоносных программ является их разделение с точки зрения возможности к самовоспроизводству. Вредоносные программы делятся на:
- саморазмножающиеся;
- вредоносные программы без возможности саморазмножения (закладки).
- К основным видам саморазмножающихся программ относятся:
· Черви (warms) – это вирус в чистом виде (тело червя в файле и живет), попав в память компьютера, черви перехватывает управление и дает процессору команду на создание копий самого себя (особую опасность имеют те черви, которые дают команду на удаление информации из ячеек памяти и прописывание в освободившиеся ячейки самих себя – это ведет к практически полному уничтожению всей информации). Черви могут обладать свойствами логических бомб, то есть попав в память компьютера, они некоторое время лежат, пока не наступит определенный момент (могут реагировать на время, на нажатие определенной модификации клавиш).
Черви бывают:
- Сетевые – проникают в компьютер при обращении к ресурсам интернет (когда вы кликаете на ссылку дается команда на скачивание червя);
- Файловые – черви, которые маскируются под другие объективно-полезные файлы (аудио, фото и т. д.) – рассчитано на то, что пользователь активирует эти файлы из любопытства;
- Почтовые черви – распространяются через программы электронной почты (как правило, попав в память ЭВМ, червь считывает адресную книгу, запоминает ее и по всем адресам рассылает копии самого себя), он особенно опасен тем, что каждому пользователю вредоносный файл поступает из проверенного источника;
- Архивные черви – прячутся в архивных файлах (способ обхода антивирусных программ, пока некоторые виды антивирусов не могли работать с архивными файлами) – червь окутывался в архивную защиту и при распаковке архива активировался.
· Второй разновидностью вредоносных программ являются вирусы. Это то же программа, которая способна саморазмножаться, то есть попадая в память компьютера, она дает команду на копирование самого себя. Но, в отличие от червя, вирус существует не в чистом виде, а в виде дописок, довесок к полезным файлам. Как правило, когда вы программу запускаете, сначала выполняется полезный код, а когда он завершается, до конца подключается вредоносный модуль. Часто может быть, что после этого вирус начинает цепляться ко всем файлам аналогичного характера, например Word.
- Программы без возможности саморазмножения (закладки):
· Деструктивные трояны- от «троянский конь» - вирус проникает в ваш компьютер, прячась под видом полезной программы. Свойствами троянов обладают многие вирусы. Очень многие вирусы цепляются именно к тем программам, которые распространяются через интернет бесплатно (share ware).
· Шпионы (spy ware) – программа, которая предназначена для негласного сбора сведений об отдельном компьютере или об его пользователе. Эти программы могут отслеживать действия, которые вы на компьютере делаете, могут получать информацию о том, что у вас на жестком диске, могут собирать информацию о характеристиках сетевых подключений.
Примером таких программ являются клавиатурные шпионы (key lockers). Когда высвечивается окошечко «введите пароль» - это сигнал активизации этой программы – она фиксирует последовательность клавиш, который вы набираете на клавиатуре, и эта комбинация записывается в отдельный файл, который потом высылается заказчику информации по электронной почте. Активируется эта программа запуском входа в систему и т д.
Более серьезные – это инструменты типа sniffer (специальное семейство) – предназначены для автоматического перехвата компьютерной информации, передаваемой по сетям. Некоторые снифферы могут автоматически распознавать формат предаваемых данных и выживать из них ваши пароли. Существуют даже специализированные снифферы для перехвата паролей от ICQ.
Любопытным видом шпионских программ являются, так называемые спуферы. Они опасны тем, что когда вы входите в какую-то систему (например, банковскую) они эмитируют всплывающее окно для ввода паролей (они копируют это окно, вы туда пароль вводите, они его запоминают, отсылают к заказчику, а вам выдают ошибку ввода – после чего он передает управление нормальной программе (а некоторые обходятся и без этого)).
· Программы удаленного администрирования, именуемые люками, Бэкдорами или крысам (от аббревиатуры RAT – remote access troyan (tool)). Эта та программа, которая позволяет удаленному пользователю осуществлять со своего рабочего места управление вашим компьютером. Таких люков может быть много, их свойствами могут обладать, например, черви и вирусы.
Например, троянский прокси – эта программа позволяет отключить регистрацию ваших действий. И когда компьютер совершает определённые действия по указанию злоумышленника, вы об этом не знаете. Некоторые троянские прокси могут отключать антивирусную защиту, то есть блокировать действие антивирусных программ.
Есть такие виды бэкдоров, как downloader. Они без вашего согласия дают команду на скачивание вирусов с внешних источников.
Наконец, особый интерес представляет программы для организации сетевых атак – ньюк, дидос и т д. DDOS – distance denial of service – задача – загрузить компьютер жертвы таким количеством запросов, что он не может их выдержать и начинает виснуть. Но есть один нюанс: как правило у жертвы весьма и весьма серьезный аппарат, а у злоумышленника PC. По-любому с этим серваком в одиночку не справиться. Но у злоумышленника есть другая возможность, разослать по огромному количеству компьютеров этот вирус – ньюк. И благодаря этому компьютер злоумышленника становится мастером, а все остальные компьютеры слейверами (рабами). Получается, что с помощью компьютеров-рабов организуется атака в виде дидоса и компьютер-жертву заваливают численным преимуществом. Вы можете и не подозревать, что ваш компьютер участвует в этой атаке.
Днем Рождения этих вредоносных программ считается 1981 год, когда отличился Ричард Скрента (ему было 15 на тот момент). Он придумал вирус, который распространялся через дискеты. Как только дискета с этим вирусом вставлялась в память компьютера, вирус давал команду на запись самого себя в память. И при вставлении другой дискеты вирус прописывался из памяти на новую, незараженную дискету.
Суть была в том, что после 50-го запуска зараженной дискеты вирус выводил на экран стихотворение, что он обладает сознанием. Следует отметить, что этот вирус не получил большого распространения, потому что действовал не на всех компьютерах.
Гораздо более серьезной угрозой оказался, так называемый Лахорский вирус. Был создан двумя братьями программистами из Пакистана (Лахор – город в Пакистане). У этих братьев была небольшая фирма, в которой они писали программы, и они заметили, что сотрудники эти программы воруют. И они придумали следующее: для того, что бы скачать что-то нужно было вначале ввести специальный пароль. Во время скачивания вирус на дискету не записывался, но если пароль не вводится, то вместе с программой на дискету записывался вирус, который начинал немедленно саморазмножаться. И он саморазмножался пока не заполнял все свободное пространство на дискете. Дискета работала медленнее и медленнее, потом вообще вставала, и компьютер ничего не мог записать. Тут получилась небольшая ошибочка и какой-то жулик успел скачать программу и вместе с вирусом эту программу унес. Этот вирус в результате вышел за пределы Пакистана и только в одном США были заражены порядка 18 000 компьютеров.
В 1988 году появился первый сетевой вирус, который распространялся через сеть. Автором этого вируса был Аспирант Роберт Моррис (а его отец был одним из главных экспертов в правительстве США по компьютерной безопасности). Он просто хотел написать в дипломной работе об объеме компьютерных сетей. Поэтому спрашивал у отца, сколько подключено к Арпанету (то, что было до интернета), а тот не хотел с ним разговаривать и ссылался на военную тайну. Роберт придумал программу, которую можно отослать на другой компьютер, она там прописывается, проверяет, есть ли на ней копия другой такой же программы и, если нет, то отсылает сигнал своему пользователю. По мере распространения эти вирусы попадали в другие компьютеры и рассылали сигнал. При этом он ввел в свою программу опцию самокопирования. То есть, если программа будет установлена и удалена, она копировалась. Но он ошибся, и эта программа копировалась постоянно вплоть до того, что занимала все пространство в памяти. Уничтожил он порядком 6 000 компьютеров, подключенных к Пентагоновской сети.
Гораздо хуже был вирус «Пятница 13» или «Иерусалим». Это была чистая логическая бомба, которая в пятницу 13 числа начинала форматирование жесткого диска. В принципе то же самое делал вирус «Микеланджело или «6 марта», который в час ночи 6 марта давал команду на форматирование жесткого диска.
В 1999 году появился первый почтовый вирус, который распространялся через почту - «Мелисса». Это была достаточно безвредная инфекция.
В 2000 году повалилась ее модификация, которая удаляла все записи на жестком диске и записывала туда свои копии.
Это классический почтовый вирус с опцией проверки адресной книги и рассылки себя по всем адресам.
Можно еще отметить 2009 год, вирус Сассер – один из первых интернет-вирусов. Чтобы заразиться, достаточно было просто подключиться к интернету и зайти на определённые сайты. После этого червь проникал на компьютер, перехватывал управление и начинал искать компьютеры с незащищенным входом.