Современные типы компьютерных вирусов
Комментарии: 48
сначала
лучшие
Ваш комментарий
Спалите офис mail.ru и будет вам счастье.
Андрей Чикатило
Лучше спалить все спутники, по которым интернет идет между материками.
AVG - нормальная вещь. Но и Каспер иногда выручает.
какой-то скромный рефератик...
А как же полиморфные вирусы?
Lizemer
От троянов, которые блочат систему не защищает ничего. Антивирусы только предупреждают об их наличии, но для того, что бы убрать их, понадобиться что то покруче.
Кстати подскажу, если вы словили троян, который не блочит вашу систему, но постоянно всплывает например в браузере, можно спокойно удалить при помощи CCleaner.
А у меня на компе 12 версий троянских программ, ужос =)
Блин - меня впендюрило. Пришлось заниматься. Ничего не работало = открывается рабочий стол - и реклама -Её не убрать и ничто делать нельзя. Сама установилась. Я восстановление Виндовс с диска сделал = вроде пропала. У меня Касперский стоит. Им того же. Хателось сначала кого то ударить очень.
ребята подскажите как вирус более менее продуктивный поставить..стоит Касперыч...бесит...блокирует слишком много всплывающих окон..да и от Троянов он вообще не защищает...что подскажите=))??
познакомился с вирусом penetrator
Сильнейший компьютерный вирус - Flame. Подробнее можно узнать на сайте http://www.pcs-service.ru/silnejshij-kompyuternyj-virus/
Как только купил комп 2 года назад, меня убалтали в придачу взять антивирус Касперского и короче намучился с ним блокирует проги некоторые и инет тормозит, вынес его отдал другу он тут же вирус подхватил порнушник хренов, ща семерка сама скачала нормальный антивирус от майкрософот, с постоянной обновляемой базой данных о вирусах бесплатно. Но иногда проскальзывают но при проверке удаляю.
Про майкрософт не знаю. Стоит AVG - антивирус так себе, но факт наличия руткитов понять может.
VITYA_KOLYADENKO
Такая же хрень. Вирус заразил все .exe файлы, в то время антивирус писал что всё чисто. Касперский как раз и вылечил систему.
Symantec ещё неплохой антивирус.
Вирус заразил все .exe файлы
Если он заразил файлы антивируса, то можешь вешаться. Но нормальный антивирус по идее не должен давать такого делать.
Про пример действия вируса.
Кто шарит, если всякие проги вроде AVZ в основном показывают на exe-файлы, то они дрянь типа скажем "PE DLL-файл" смогут обнаружить? Пример действия таких дряней:
vcmgcd32.dll расшифровывает данный идентификатор из своего тела (использует алгоритм расшифровки по смещению кода на величину XOR 66h) и устанавливает его в память. Таким образом, если указанный идентификатор присутствует в памяти, то это свидетельствует о заражении системы и дроппер-компонент вируса не производит повторной установки Основного компонента в систему. Если же идентификатор в памяти отсутствует, то дроппер-код производит уже известную процедуру инсталляции и запуска файла vcmgcd32.dll.
Собственно например вешь, которую AVG мой видит только в редких случаях, так как файл имеет такие свойства:
При заражении файла вирус дописывает свое зашифрованное тело в его конец. Для этого vcmgcd32.dll считывает полный вирусный код из тела последнего из запущенных зараженных файлов - местоположение этого файла дроппер-компонент передает компоненту vcmgcd32.dll в виде переменной и тот хранит ее в памяти. Затем вирус считывает последние 20480 байт уже зараженной программы и копирует их в зарезервированное пространство текущего заражаемого файла, а далее корректирует его заголовок: изменяет "точку входа" (место в коде заголовка файла, с которого производится считывание стартового адреса программы и начинается ее выполнение), заменяя оригинальный стартовый адрес (предварительно запоминает его) ссылкой на стартовый адрес своего дроппер-кода, который располагается примерно в нескольких сотнях байт от начала вирусного тела в заражаемом файле. Затем vcmgcd32.dll записывает в первые несколько сотен байт вирусного кода в теле зараженной программы (в те байты, которые расположены перед кодом дроппер-компонента) оригинальный (исходный) стартовый адрес программы. После этого vcmgcd32.dll шифрует полиморфик-крипт-алгоритмом все 20480 байт вирусного тела в заражаемом файле (кроме участка кода в 1,5-2 кб с дроппер-компонентом - к нему вирус не применяет полиморфик-крипт-метод). Только после всех перечисленных манипуляций vcmgcd32.dll завершает редактирование уже зараженного файла, перезапоминает его со всеми внесенными изменениями и присваивает ему исходные атрибуты, а также дату и время модификации до заражения. В результате, внешне зараженный файл отличается от исходного лишь увеличением размера на величину 20480 байт.
Более продвинутые версии делают такие действия добавочно:
Если версия ОС соответствует Windows 2K/XP или выше, то вирус расшифровывает и извлекает из своего тела еще один компонент, который записывает как
%windir%\System32\drivers\%name%.sys,
где %name% - имя в виде комбинация малых латинских букв. Примеры таких названий: ggpnhn.sys, knknln.sys, qrnti.sys и т.п. Данная комбинация символов и их количество в имени SYS-файла формируется в зависимости от имени компьютера; в результате, на конкретно взятой машине такое имя будет всегда одним и тем же.
Представляет собой руткит (rootkit), который используется вирусом для сокрытия своих обращений во внешнюю сеть и паразитного трафика от защитных фильтров фаерволлов и межсетевых экранов. При создании данного файла ему присваивается атрибут "архивный", а время и дата его создания соответствуют реальному времени записи файла на диск. При этом вирус проверяет наличие и оригинальность данного компонента 2 раза в секунду.
Поскольку вирус не прописывает себя в атозагрузку системы, он может получить управление после перезапуска системы только в том случае, если какой-либо из зараженных файлов будет вызван на выполнение.
[HKEY_LOCAL_MACHINE\SYSTEM\%\%\ SafeBoot\]
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Ext\Stats\]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\Browser Helper Objects\]
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run\]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\]
Из этих разделов удаляются абсолютно все подразделы со всеми значениями (в приведенных ветках ключей некоторые фрагменты путей заменены по соображениям безопасности символом "%"). В результате этого систему никогда более не удастся загрузить в Безопасный режим; при последующих стартах системы более не будут загружаться никакие автозагрузочные компоненты пользовательских, драйверных, защитных и пр. программ; будут отключены все интегрированные в Web-броузер программы и дополнительные модули; некоторые др. вещи.
Собственно поиск файлов %windir%\System32\drivers\%name%.sys (так же в windir%\System32\ и например D&S\Chef\LocalSettings\Temp и их аналогах в других версиях Винды) с слишком свежей датой создания является основной идеей в том случае, если явно видно, что есть проблемы.
З.Ы. Пути реестра с пробелами - это ПГ режет длинные слова.
А я их сам пишу... только палятся...
Нашел недавно про вирус один.
Перед началом атаки на инфицируемый компьютер дроппер вредоносной программы проверяет зараженность системы. Для этого на основе серийного номера системного раздела генерируется CLSID и проверяется его наличие в системном реестре: если в ветке
•HKLM\Software\Classes\CLSID
отсутствует соответствующий раздел, то заражение продолжается.
В операционных системах Windows Vista и Windows 7 троян пытается повысить собственные права, т.е. постоянно перезапускает самого себя с запросом на повышение привилегий. Однако такой процесс можно завершить в "Диспетчере задач".
Дроппер несет в себе 32-х и 64-битный драйвер, способный обеспечить загрузку основного функционала данной вредоносной программы. В зависимости от разрядности пользовательской ОС, на диске сохраняется соответствующий драйвер, который может быть записан как в начало диска (до первого активного раздела), если там достаточно места, так и в его конец. Однако, если загрузочным разделом окажется не первый, то троянский драйвер может перезаписать случайные данные любого раздела до загрузочного, т. к. позиция для записи выбирается случайно в пределах свободных секторов.
Только после этого начинается заражение VBR (Volume Boot Record). Еще одно обязательное условие для заражения - файловая система раздела должна иметь формат NTFS. Анализируя загрузочную запись, троян находит удобное место для своего размещения и перезаписывает имеющийся там код. Оригинальный код упаковывается при помощи библиотеки aplib и дописывается следом за вирусным. Номер начального сектора размещенного ранее на диске драйвера и его размер также "прошиваются" в тело зараженной VBR.
Обратим внимание, что рассматриваемый нами BOOT-сектор является первым сектором VBR, занимающий, например, для раздела NTFS 16 секторов. Таким образом, классическая проверка только загрузочного сектора не может обнаружить вредоносный объект, т. к. он располагается дальше — внутри VBR.
После заражения системы Trojan.Mayachok.2 сбрасывает на диск небольшое приложение, предназначенное для автоматической перезагрузки системы. Аналогичным образом ведет себя и другой буткит — Trojan.Hashish. В завершение своей работы троян пытается "замести следы" и удалить себя.
Получив управление, вирусный загрузчик действует по классической для MBR/BOOT-вирусов схеме. "Откусывает" себе небольшой кусок системной памяти, переносит себя туда и перехватывает прерывание int 13h для просмотра содержимого считываемых с диска секторов. Затем он целиком загружает с диска свой драйвер и распаковывает на прежнее место оригинальный код VBR. Управление возвращается системному загрузчику.
Далее идет череда снятий/установок перехватов в загружаемых модулях, таких как ntldr, bootmgr, osloader.exe, winload.exe и т. д., в зависимости от используемого операционной системой загрузчика. Следует отметить, что помимо обычных перехватов (сплайсинга) в ключевых мостах используются аппаратные отладочные регистры (dr0-dr7) и трассировка (пошаговое исполнение) кода. Это придает универсальность трояну и одновременно является естественным способом обхода защиты целостности некоторых загрузочных модулей. В итоге в области памяти режима ядра (kernelmode memory) оказывается загруженный и готовый к работе вирусный драйвер.
Точка выхода вирусного драйвера вызывается дважды, что связано с тесной работой зараженного VBR и драйвера. Поскольку код вирусного VBR составляет всего 2078 байт, часть функционала авторы решили перенести в тело драйвера. При первом вызове он добавляет себя в списки из LOADER_PARAMETER_BLOCK в:
•LoadOrderList, как копия первого модуля в списке (а это ядро ОС);
•BootDriverList, как загрузочный драйвер, якобы прописанный в \Registry\Machine\System\ CurrentControlSet\Services\null.
Таким образом, вредоносная программа имитирует свою загрузку в качестве обычного boot-драйвера.
Второй раз драйвер вызывается операционной системой, которая уверена, что сама загрузила его. Данные манипуляции приводят к некоторым побочным эффектам.
Например, в системе появляется драйвер Null, но при более внимательном рассмотрении оказывается, что он был создан ядром (ntoskrnl.exe).
В то же время среди загруженных модулей есть еще одно "ядро", с параметрами DllBase и SizeOfImage принадлежащими вредоносному драйверу.
Проверить систему на наличие или отсутствие заражения можно использовать простую команду "echo hello >nul", которая на неинфицированной системе успешно выполняется, а на зараженной выдает сообщение об ошибке.
Задачей драйвера является инжект (внедерение) своего кода в запущенные процессы.
Внедрение кода осуществляется обычной установкой нотификаций через функции PsCreateProcessNotifyRoutine и PsCreateProcessNotifyRoutine с последующим вызовом асинхронной функции через механизм APC. В процессе исследования выяснилось, что 64-битный драйвер несет "на борту" две библиотеки. При этом полезная нагрузка находится только в одной из них, а вторая, по всей видимости, является "заделом на будущее".
"echo hello >nul" вот это не хочет моя система делать, пишет что не удаётся найти "echo", что делать?
Lexx77
Это наверное в командной строке нужно писать. У меня на любой бред нет реакции, так что не знаю, в чем прикол.
В реестре есть параметр, равный Root\LEGACY_NULL\0000 в месте HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\services\Null\Enum. Осталось узнать, что там должно быть на правильной винде.
VITYA_KOLYADENKO
В операционных системах Windows Vista и Windows 7 троян пытается повысить собственные права, т.е. постоянно перезапускает самого себя с запросом на повышение привилегий. Однако такой процесс можно завершить в "Диспетчере задач".
У меня такой был недавно.Вот только ни антивирус,ни диспетчер задач не спасли.Систему переставил.
Dovakin997
А никакие способы загрузки с диска антивирусного не пытались использовать? Антивирус какой и что он пытался сделать?
VITYA_KOLYADENKO
Антивирус AVG.Просто удалял его бесконечно,а он постоянно появлялся и просил запуска от имени администратора.
Dovakin997
У меня тоже AVG. Была проблема с руткитом, который постоянно появлялся. Решилась включением/выключением восстановления системы - видимо Винда его сама восстанавливала.
З.Ы. На форуме AVG рекомендуют использовать их диск, но мне не нравился консольный интерфейс и то, что он не спрашивал, удалить ли свои базы (так как базы на ЖД естественно соответствуют сигнатурам вирусов). Но при неком шаманизме диск кажется может удалить драйвер даже зараженный (у меня так просто не хотел или с тех пор диск прокачали).
theme11471
мы строим мир во всем мире. Это ты идиотизмом занимаешься.
Народ,помогите...Завелась в компе какая-то хрень...ни один ативир и утилиты не помогает, а сам я не очень в этом шарю...В нижнем правом углу выплывает предложение обновить какую-либо программу, а при обновлении загружает из сети кучу вирусов..Сделайте доброе дело,помогите избавиться от этого
Народ,помогите...Завелась в компе какая-то хрень...ни один ативир и утилиты не помогает, а сам я не очень в этом шарю...В нижнем правом углу выплывает предложение обновить какую-либо программу, а при обновлении загружает из сети кучу вирусов..Сделайте доброе дело,помогите избавиться от этого
Не знаю, попробуй на антивирусом.
Во-первых, что-то провоцирует это окно открываться (программа), а значит она загружается при старте системы, а это означает что надо порыться в автозагрузке. Для этого лучше всего пользоваться прогами, например wise care 365. устанавливаешь, потом находишь вкладку оптимизация и ходишь ищешь.....
Кто нибудь подскажет как бороться с вирусами которые в командой строке cmd открывают страницу в браузере,точнее как их удалить я знаю,а как избежать что бы они не попали на ПК,антивирус не реагирует на них,потому что как бы это не вирус вовсе.
SkyGame
как минимум при установке всяких мусоропрог выбирать всегда выборочную, а не обычную установку
А ещё есть вирусы, которые убивают MBR и приходится восстанавливать всю структуру файлов.
ИСПОГАНИЛИ САЙТ В ХЛАМ..НЕ ВОЗМОЖНО СКАЧАТЬ НИ ЧЕГО..А ЕСЛИ СКАЧАЕШЬ НАЛОВИШЬ СТОЛЬКО ТРОЯНОВ,ВИРУСОВ,ИЗМЕНЕНИЯ В БРАУЗЕРАХ,ИЗМЕНЕНИЯ ПОИСКОВИКОВ,...ЧТО СКАЖЕШЬ ДА ПОШЛИ ВЫ ВСЕ..
kamekaze01
Откуда и что качали? Стоит ли хотя какой-то антивирус с регулярным обновлением всех компонентов?
Элементарный вопрос. Кто-то видел вирус/троян, который создавал свой ярлык в папке "Автозагрузка" или где либо прописывал запуск именно ярлыка?
постоянно идут обновления
Они сейчас идут у любого антивируса.
Здровствуйте !!!
У меня 2 проблемы в ОС 7х64 с которыми я не могу справится !!!
В ОС я не нашёл ничего (вирусы или уязвимости) !!!
Просканировал ОС до входа в саму ОС утилитой AVZ я нашёл кое что но вылечив проблему и перезагрузив ПК всё осталось как было до момента сканирования !!!
1). На Клавиатуре из за перехвата процесса поменялись местами часть значений (буквы и цифры на месте а остальное в произвольном порядке но не так как обозначено на самой клавиатуре) раскладка EN - RU (ё - |) и так далее !!!
2). Курсор Мыши очень медленно передвигается или быстро но не туда куда я указываю !!!
Смена ковриков Мыши - Мыши (я подключал 4 как проводные так и безпроводные) результат тот же !!!
Ниже опишу сохранившийся Лог файл который описывает всё что нашла утилита AVZ (и якобы исправила):
1. Поиск RootKit и программ, перехватывающих функции API
Я с таким сталкиваюсь впервые и не знаю что делать !!!
До появления этой болячки стоял Avast Internet Security 2017 !!!
Переустановил ОС - без изменений !!!
Dr.Web Anti-Virus 10;
ESET NOD32 Antivirus 9;
Kaspersky 2017 (пробная версия);
Anti-Malware;
Norton Security Premium - стоит сейчас !!!
Проверял на всё и всё - пришлось удалить те программы которые я ставлю после установки ОС !!!
Был целый букет всего (Трояны + Малваренген) !!!
Мне предложили отформатировать диски С. D (на нём 3000 музыки собранной с начала 2004-2016 года)(текстовые файлы с нужной для меня информацией - Сахарный Диабет, Протезирование, Игровые файлы, Драйвера ОС) - потеряю много для меня ценного !!!
Emris_ua
Удалять с диска D: наверное нет смысла.
ИМХО - с advapi32.dll должно быть так же как и с другими. Но если ты сканировал с загрузочного диска Win 8 (причем видимо x32), то не знаю, что может быть в антирутките.
VITYA_KOLYADENKO
"если ты сканировал с загрузочного диска Win 8 (причем видимо x32)" - Да !!!
В чём причина (перехвата процессов не знаю - но выясню) и отпишусь !!!
Emris_ua
Может логи Gmer сделай?
VITYA_KOLYADENKO
Rorian
Нужно не только писать, но и распространять уметь.
antongel
Что за антивирус и какие утилиты пробовал?
Но я не могу сказать, какой антивирус однозначно плох. На уровне тройки лучших как по мне Kaspersky и, наверное, BitDefender. Не самый плохой - Avast. Не советую AVG (но он хотя бы бесплатный) и Eset, так как у них явно прогресс не успевает за современными угрозами (все так же плохо, как и 3 года назад).
Нод 32 выручает от вирусов, правда последнее время не обновляется. Ввожу ключ, всё равно ничего, смотрел тут http://softcatalog.info/ru/programmy/eset-nod32-smart-security
новый вирус майнер, все наверное уже слышали, так что будьте осторожны, а то комп будет майнить, а вы без биток будете(
Хз че словил и где.
Прошарил с помощью ADW, AVZ,HitmanPro и нет резульатата.
Проблема.
Врубается рандомное аудио из видео во вкладках, даже не звук с рекламы, а именно рандом. То коментарии спорт трансляции то еще что.
И еще более бесячее. Постоянно сваливается курсор при наборе текста. Пишешь пишешь, и раз! Ты в полном восторге печатаешь что то в коментарии под видео о прелестных котятах или ругаешь очередного школодрона в форуме, а текст не печатается уже пару тройку минут. Приходится каждый раз клацать мышь, чтоб вернуться в печат машинк режим.
Например чтоб напечатать это - пришлось клацать раза 4.
Ну и конечно поисковик Майл. Но не так как всем известная замена поисковика, а например набираю что то в адресной строке, поиск от гугла, все хорошо. Стоит нажать на любую ссылку - этот же запрос дублируется во вкладке поисковика майл. И при чем раньше все вот ето гамно удалялось на изи с ADW и тд. То эта хрень восстанавливается. Причем, полностью вырубаю все процессы Хрома, отключаю инет, проверяю, удаляю, перезагружаю, получаю отчет о удалении, а оно опять вылазит.
Вроде старый, но тут не упомянут - Taskhostw, так отмечен в автозагрузке, процессы NT kernel & system и realtek HD audio - при клике по свойствам или найти файл кидает в "пустую" папку C/Program data/Realtek HD (там всего 2 файла, отображение скрытых файлов их не детектит). Майнит, битками не делится и закрывает диспетчер задач через пару минут после его открытия.
Убил оба процесса в диспетчере, удалил папку и отключил в автозагрузке, полет нормальный.
У меня сделан образ системы со всеми установленными драйверами и программами. Попадёт вирус - за 10 минут восстановлю систему. А вы все идиотизмом страдаете.
Ой не знаю, я многими антивирусные проги юзал, и касперский, и nod32 и аваст, самый норм проги это dr.web, взял, проверил комп, обнаружил вирусы и удалил, и комп впорядки, вообще рекомендую чувака одного с этого сайта https://www.kill-virus.ru , я к нему обратился за помощью и дистанционно почистил комп, потому что проблемы были во время игры Кс го, постоянно выкидывало, античит буровил стима, после чистки все стало работать.
В настоящее время все мы можем наблюдать повальную информатизацию нашего общества. Там, где ещё вчера работа велась дедовским методом (кипы бумаг, счёты, калькуляторы), сегодня всё чаще и чаще мы видим компьютеры. Количество компьютеров растёт, их объединяют в локальные сети и со временем, как правило, подключают к глобальной сети Интернет (или, по крайней мере, к некоторым её сервисам, таким как электронная почта). А вместе с тем люди, которых поставили перед фактом, что отныне они должны делать свою работу с использованием передовых технологий вычислительной техники, не имеют ни малейшего опыта работы с компьютерами. И если непосредственную работу они хоть как-то худо-бедно учатся делать (запоминая на какие кнопочки, и в каком порядке надо нажимать), то обо всех подстерегающих их опасностях не имеют ни малейшего представления.
Именно отсюда и все наши беды: тысячи пользователей, которых принудительно посадили за клавиатуру, не научив толком как ею пользоваться. Ну что, к примеру, может знать о вирусах или уязвимостях Internet Explorer женщина-бухгалтер подпенсионного возраста, которая всю жизнь пользовалась древнейшим компьютером - счётами.
За долгие годы работы в сфере антивирусной безопасности специалистами Украинского Антивирусного Центра (www.unasoft.com.ua) выведена закономерность: если организацией используются компьютеры (не обязательно даже объединённые в локальную сеть), активно используется Интернет (или хотя бы электронная почта) и не применяются антивирусные средства (или не обновляются базы антивирусных продуктов) то с 99%-ой уверенностью можно сказать - в организации есть вирусы. И пусть до поры до времени они себя никак не проявляют, но это бомба. И рано или поздно эта бомба взорвётся.
Вообще в последние 2 года наибольшим источником компьютерных вирусов является именно глобальная сеть Интернет. Из нее к пользователям попадают минимум 95% всех вредоносных программ.
По определению вирусами являются программы, которые имеют возможность создавать свои копии, которые в свою очередь сохраняют способность к размножению (размножение - главное свойство вируса). Но это определение вируса в узком смысле этого слова. В широком же смысле слова мы называем вирусами как собственно сами вирусы, так и: Internet-черви, сетевые черви, троянские программы, утилиты скрытого администрирования.
Вирусы
Сами вирусы в узком смысле этого слова ранее были наиболее массовым типом вредоносных программ. Наиболее распространённые из них нынче: Win95.CIH, Win32.Funlove, Win32.Elkern. Но сейчас они потеряли былую "популярность". Связано это, прежде всего с тем, что переносятся такие вирусы с компьютера на компьютер через исполняемые файлы. Нынче же пользователи всё реже и реже переписывают друг у друга программы. Чаще меняются компакт дисками или ссылками всё в той же глобальной сети. Хотя естественно полностью этот класс вредоносных программ не вымер, и время от времени мы слышим о заражении компьютеров всё тем же "Чернобылем" (WinCIH) или ещё чем-то до боли знакомым.
Кроме того существует огромное наследие: десятки тысяч вирусов, написанных для операционной системы MS DOS. Большинство этих вирусов не могут существовать в современных версиях Windows, и тем не менее остаётся угроза, что кто то случайно или намеренно активизирует на компьютере вирус, нанеся тем самым непоправимый вред.
Internet-черви
Самым распространённым типом вирусов в последние два года являются Интернет черви. Именно они представляют главную угрозу для всех пользователей глобальной сети. Почти все Интернет черви - это почтовые черви, и лишь малая доля - это непочтовые черви, применяющие уязвимости программного обеспечения (как правило, серверного). Примеры непочтовых Internet-червей: IIS-Worm.CodeRed, IIS-Worm.CodeBlue, Worm.SQL.Helkern
Почтовые черви можно делить на подклассы по-разному, но для конечного пользователя они делятся на два основных класса:
Черви, которые запускаются сами (без ведома пользователя);
Черви, которые активизируются, только если пользователь сохранит присоединённый к письму файл и запустит его.
К первому типу относятся черви, которые используют уязвимости (ошибки) почтовых клиентов. Чаще всего такие ошибки находятся в почтовом клиенте Outlook, а вернее даже не в нём, а в Интернет браузере Internet Explorer. Дело в том, что MS Outlook создаёт письмо в виде HTML страницы и при отображении этих страниц он использует функции браузера Internet Explorer.
Наиболее распространённая уязвимость, применяемая червями, ошибка IFRAME. Применяя соответствующий код, вирус имеет возможность при просмотре письма автоматически сохранить присоединённый к письму файл на диск и запустить его. Самое обидное то, что данная уязвимость обнаружена более двух лет назад. Тогда же компанией Microsoft выпущены заплатки для всех версий браузера Internet Explorer, исправляющие эту ошибку. И, тем не менее, черви, применяющие данную уязвимость, по-прежнему являются наиболее распространёнными (I-Worm.Klez, I-Worm.Avron, I-Worm.Frethem, I-Worm.Aliz).
Почтовые черви второго типа рассчитаны на то, что пользователь, по каким то соображениям сам запустит программу, присоединённую к письму. Для того чтобы подтолкнуть пользователя к запуску инфицированного файла авторами червей применяются различные психологические ходы. Самый распространённый приём - выдать зараженный файл, за какой то важный документ, картинку или полезную программку (I-Worm.LovGate создаёт ответы на письма, содержащиеся в почтовой базе; I-Worm.Ganda маскируется под информацию о боевых действиях в Ираке). Практически всегда червями применяются "двойные расширения". В этом случае присоединённый файл имеет имя вроде: "Doc1.doc.pif", "pict.jpg.com". Данный принцип рассчитан на то, что почтовые клиенты не отображают полное имя файла (если оно слишком длинное), и пользователь не увидит второго расширения, которое и является "реальным". То есть пользователь думает, что файл является документом или картинкой, а тот на самом деле является исполняемым файлом с расширением вроде: EXE, COM, PIF, SCR, BAT, CMD и т.п. Если такой файл "открыть", то тело червя активизируется.
Кроме основной функции, размножения, черви почти всегда несут в себе и боевую нагрузку. Действительно, зачем писать червя и выпускать его "в свет", предварительно не заложив бомбу. Вложенные функции чрезвычайно разнообразны. Так, например, очень часто почтовые черви призваны для того, чтобы установить на зараженный компьютер троянскую программу или утилиту скрытого администрирования и сообщить адрес компьютера творцу червя. Не редко просто уничтожают информацию или просто делают невозможной дальнейшую работу на компьютере. Так червь I-Worm.Magistr выполнял те же действия, что и печально-известный WinCIH - стирал содержимое FLASH BIOS и затирал мусорными данными информацию на жёстком диске.
В любом случае, независимо от наличия или отсутствия вредоносных функций и их "опасности" почтовые черви вредны уже только потому, что они существуют. Это связано с тем, что при размножении они загружают каналы связи и нередко настолько, что полностью парализуют работу человека или целой организации.
Макро-вирусы
Вторыми по распространённости в диком виде являются макро-вирусы. Данные вирусы являются макросами, хранящимися во внешних файлах программного обеспечения (документах Microsoft Office, Autocad, CorelDRAW и пр.) и при открытии документа исполняются внутренними интерпретаторами данных программ. Широкое распространение они получили благодаря огромным возможностям интерпретатора языка Visual Basic, интегрированного в Microsoft Office.
Излюбленным местом обитания этих вирусов являются офисы с большим документооборотом. В таких организациях людям, работающим за компьютерами (секретари, бухгалтеры, операторы ЭВМ) некогда заниматься такими мелочами как компьютерные вирусы. Документы лихо переносятся с компьютера на компьютер, без какого либо контроля (особенно при наличии локальной сети).
К сожалению, людям свойственно не воспринимать всерьёз макровирусы, а напрасно. На самом деле макрос, написанный на языке VBA и интегрированный в документ того же Word или Excel, обладает всеми теми же возможностями, что и обычное приложение. Он может отформатировать Ваш винчестер или просто удалить информацию, украсть какие то файлы или пароли и отправить их по электронной почте. Фактически вирусы этого класса способны парализовать работу целого офиса, а то даже и не одного.
Опасность макровирусов заключается ещё и в том, что распространяется вирус целиком в исходном тексте. Если человек, к которому попал вирус, более-менее умеет писать на Visual Basic, то он без труда сможет модифицировать вирус, вложить в него свои функции и сделать его невидимым для антивирусов. Не забывайте, что авторы вирусов пользуются теми же антивирусными программами и модифицируют свои вирусы до тех пор, пока те не перестают детектироваться антивирусами. Фактически, таким образом, рождаются новые модификации уже известных вирусов, но для того, чтобы данный вирус обнаруживался антивирусом, он сначала должен попасть в антивирусную лабораторию и только после этого будут добавлены функции детектирования и обезвреживания новой модификации. Так специалистам Украинского Антивирусного Центра известно более 100 модификаций вируса Macro.Word97.Thus, более 200 модификаций Macro.Word97.Marker и более 50 модификаций Macro.Word97.Ethan (здесь речь идёт о модификациях, значительно отличающихся друг от друга, что требует добавления дополнительных модулей детектирования и лечения данных модификаций вирусов).
Троянские программы и утилиты скрытого администрирования
Следующими по распространённости являются Trojan и Backdoor программы. Отличие этих двух типов программ заключается в том, что троянская программа выполняет активные действия (уничтожение данных, сбор данных и отправка через Internet, выполнение каких либо действий в определённое время), в то время как Backdoor-программы открывают удалённый доступ к компьютеру и ожидают команды злоумышленника. Для простоты будем называть оба этих класса троянскими программами.
Главное отличие "троянов" от всех перечисленных выше творений человеческого разума является то, что троянские программы не размножаются сами. Они единоразово устанавливаются на компьютер и долгое время (как правило, либо до момента обнаружения, либо до переустановки операционной системы по какой либо причине) выполняет свои функции. При этом троянский конь не может самостоятельно переместиться с одного компьютера в локальной сети на другой.
Так почему же Трояны так распространены. Причина таится именно в том, что они максимально "полезны" и незаметны. Часто они являются спутниками сетевых или почтовых червей. Так, почтовый червь I-Worm.LovGate при попадании на компьютер устанавливает в систему backdoor модуль, открывающий доступ к компьютеру по TCP/IP и отправляет разработчику червя письмо, в котором указывается имя пользователя, имя компьютера и сетевой адрес зараженного компьютера.
Все троянские программы можно разделить на три основных класса по выполняемым действиям:
Логические (временные) бомбы - программы, различными методами удаляющие/модифицирующие информацию в определённое время, либо по какому то условию.
Шпионы - собирающие информацию (имена, пароли, нажатия на клавиши) и складирующие её определённым образом, а не редко и отправляющие собранные данные по электронной почте или другим методом.
Собственно BackDoor программы - удалённое управление компьютером или получение команд от злоумышленника (через локальную/глобальную сеть, по электронной почте, в файлах, от других приложений, например тех же червей или вирусов).
Одинаково опасны все три типа программ. Каждый из них способен либо уничтожить данные, либо украсть ценную информацию (хотя бы те же имена и пароли доступа к различным ресурсам).
Стоит отметить, что многие троянские программы постоянно обновляются, выходят всё новые и новые модификации. Учитывая то, что троянская программа не может попасть к вам случайно, злоумышленник старательно выбирает: какой бы троян вам установить. Очень велика вероятность того, что он пойдёт в Интернет и выкачает что то свеженькое. Именно поэтому необходимо регулярно обновлять базы антивирусного продукта.
В завершение хотелось бы сказать: процесс развития вирусов и антивирусов - это постоянная война технологий. Регулярно в вирусах реализовываются оригинальные идеи, что требует адекватных действий от разработчиков антивирусного ПО. Поэтому рядовому пользователю рекомендуется следить за новостями на сайтах антивирусных компаний и прислушиваться к советам специалистов по информационной безопасности о необходимости обновления программного обеспечения (не только антивирусного) или выполнении специфических действий по улучшению защищённости ПК.