Вредоносное ПО - Malware

Hex дамп от Blaster червя , показывая сообщения , оставленные для Microsoft соучредителя Билла Гейтса программиста червя

Вредоносное ПО ( портмоне для вредоносных программ ) - это любое программное обеспечение, намеренно разработанное для нанесения ущерба компьютеру , серверу , клиенту или компьютерной сети . Напротив, программное обеспечение, которое причиняет непреднамеренный вред из-за некоторых недостатков, обычно описывается как программная ошибка . Большое разнообразие типов вредоносных программ существуют, в том числе компьютерных вирусов , червей , троянских коней , вымогателей , шпионских программ , рекламного ПО , вредоносного ПО , стеклоочистителем и Scareware .

Программы также считаются вредоносными, если они тайно действуют против интересов пользователя компьютера. Например, в какой-то момент компакт-диски Sony BMG незаметно устанавливали руткит на компьютеры покупателей с намерением предотвратить незаконное копирование, но который также сообщал о привычках пользователей к прослушиванию и непреднамеренно создавал дополнительные уязвимости в безопасности.

Различные антивирусные программы , брандмауэры и другие стратегии используются для защиты от внедрения вредоносных программ, обнаружения их, если они уже есть, и восстановления после вредоносных действий и атак, связанных с вредоносными программами.

Цели

Эта круговая диаграмма показывает, что в 2011 году 70% заражений вредоносными программами были троянскими конями, 17% - вирусами, 8% - червями, а оставшиеся проценты были разделены на рекламное ПО, бэкдор, шпионское ПО и другие эксплойты.

Многие ранние инфекционные программы, в том числе первый Интернет-червь , были написаны как эксперименты или розыгрыши. Сегодня вредоносные программы используются как хакерами, так и правительствами для кражи личной, финансовой или деловой информации.

Вредоносное ПО иногда широко используется против правительственных или корпоративных веб-сайтов для сбора конфиденциальной информации или для нарушения их работы в целом. Однако вредоносное ПО может использоваться против отдельных лиц для получения такой информации, как личные идентификационные номера или данные, номера банковских или кредитных карт и пароли.

С появлением широкого широкополосного доступа в Интернет вредоносные программы все чаще разрабатывались для получения прибыли. С 2003 года большинство широко распространенных вирусов и червей были разработаны для получения контроля над компьютерами пользователей в незаконных целях. Зараженные « компьютеры-зомби » могут использоваться для рассылки спама по электронной почте , для размещения контрабандных данных, таких как детская порнография , или для участия в распределенных атаках типа « отказ в обслуживании» в качестве формы вымогательства .

Программы, предназначенные для отслеживания просмотра веб-страниц пользователями, отображения нежелательной рекламы или перенаправления доходов от партнерского маркетинга , называются шпионским ПО . Шпионские программы не распространяются как вирусы; вместо этого они обычно устанавливаются с использованием дыр в безопасности. Их также можно скрыть и упаковать вместе с несвязанным программным обеспечением, установленным пользователем. Sony BMG руткит был предназначен для предотвращения незаконного копирования; но также сообщал о привычках пользователей слушать и непреднамеренно создавал дополнительные уязвимости в системе безопасности.

Программа-вымогатель каким-то образом влияет на зараженную компьютерную систему и требует оплаты, чтобы вернуть ее в нормальное состояние. Существует два варианта программ-вымогателей: шифровальщики-вымогатели и вымогатели для шкафчиков. Программа-вымогатель Locker просто блокирует компьютерную систему, не шифруя ее содержимое, тогда как традиционная программа-вымогатель блокирует систему и шифрует ее содержимое. Например, такие программы, как CryptoLocker, надежно шифруют файлы и расшифровывают их только после выплаты значительной суммы денег.

Некоторые вредоносные программы используются для получения денег путем мошенничества с кликами , создавая впечатление, что пользователь компьютера щелкнул рекламную ссылку на сайте, в результате чего рекламодатель выполнил платеж. По оценкам 2012 года, от 60 до 70% всех активных вредоносных программ использовали какие-либо виды мошенничества с кликами, а 22% всех рекламных кликов были мошенническими.

Помимо получения преступных доходов, вредоносное ПО может использоваться для саботажа, часто по политическим мотивам. Stuxnet , например, был разработан, чтобы вывести из строя очень специфическое промышленное оборудование. Были политически мотивированные атаки, которые распространились по крупным компьютерным сетям и привели к их отключению, включая массовое удаление файлов и повреждение основных загрузочных записей , описываемое как «убийство компьютеров». Такие нападения были сделаны на Sony Pictures Entertainment (25 ноября 2014 года, с использованием вредоносных программ , известный как Shamoon или W32.Disttrack) и Saudi Aramco (август 2012).

Инфекционное вредоносное ПО

Наиболее известные типы вредоносных программ, вирусов и червей известны по способу их распространения, а не по каким-либо конкретным типам поведения. Компьютерный вирус - это программное обеспечение, которое встраивается в другое исполняемое программное обеспечение (включая саму операционную систему) в целевой системе без ведома и согласия пользователя, и при запуске вирус распространяется на другие исполняемые файлы. С другой стороны, червь - это автономное вредоносное ПО, которое активно распространяется по сети для заражения других компьютеров и может копировать себя, не заражая файлы. Эти определения приводят к выводу, что вирус требует, чтобы пользователь запустил зараженное программное обеспечение или операционную систему для распространения вируса, в то время как червь распространяется сам.

Сокрытие

Эти категории не являются взаимоисключающими, поэтому вредоносное ПО может использовать несколько методов. Этот раздел относится только к вредоносным программам, предназначенным для работы незамеченным, а не к саботажу и вымогателям.

Вирусы

Компьютерный вирус - это программа, обычно скрытая в другой, казалось бы, безобидной программе, которая может создавать свои копии и вставлять их в другие программы или файлы, и которая обычно выполняет вредоносное действие (например, уничтожает данные). Примером этого является PE-инфекция, метод, обычно используемый для распространения вредоносных программ, который вставляет дополнительные данные или исполняемый код в PE-файлы .

Программа-вымогатель с блокировкой экрана

Блокировочные экраны или шкафчики для экранов - это разновидность программ-вымогателей «киберполиции», которые блокируют экраны на устройствах Windows или Android по ложному обвинению в сборе незаконного контента, пытаясь запугать жертв и заставить их заплатить определенную сумму. Jisut и SLocker влияют на устройства Android больше, чем другие экраны блокировки, при этом на Jisut приходится почти 60% всех обнаружений программ-вымогателей Android.

Программа-вымогатель на основе шифрования

Программа-вымогатель, основанная на шифровании, как следует из названия, представляет собой тип программы-вымогателя, который шифрует все файлы на зараженной машине. Затем эти типы вредоносных программ отображают всплывающее окно, информирующее пользователя о том, что их файлы были зашифрованы и что они должны заплатить (обычно в биткойнах), чтобы восстановить их. Некоторыми примерами программ-вымогателей на основе шифрования являются CryptoLocker и WannaCry.

троянские кони

Троянский конь - это вредоносная программа, которая выдает себя за обычную безвредную программу или служебную программу, чтобы убедить жертву установить ее. Троянский конь обычно несет в себе скрытую деструктивную функцию, которая активируется при запуске приложения. Этот термин происходит от древнегреческой истории о троянском коне, который тайком вторгся в Трою .

Троянские кони обычно распространяются с помощью какой-либо формы социальной инженерии , например, когда пользователя обманывают, заставляя выполнить вложение электронной почты, замаскированное под подозрительное (например, обычную форму, которую необходимо заполнить), или путем прямой загрузки . Хотя их полезная нагрузка может быть любой, многие современные формы действуют как бэкдор , связываясь с контроллером ( звоня домой ), который затем может получить несанкционированный доступ к зараженному компьютеру, потенциально устанавливая дополнительное программное обеспечение, такое как кейлоггер, для кражи конфиденциальной информации, программное обеспечение для криптомайнинга или рекламное ПО. для получения дохода оператору трояна. Хотя троянские кони и бэкдоры нелегко обнаружить сами по себе, компьютеры могут работать медленнее, выделять больше тепла или шума вентилятора из-за интенсивного использования процессора или сети, что может происходить при установке программного обеспечения для криптомайнинга. Криптомайнеры могут ограничивать использование ресурсов и / или работать только во время простоя, пытаясь избежать обнаружения.

В отличие от компьютерных вирусов и червей, троянские кони обычно не пытаются внедряться в другие файлы или иным образом распространяться.

Весной 2017 года пользователи Mac были поражены новой версией троянца удаленного доступа Proton (RAT), обученного извлекать данные паролей из различных источников, таких как данные автозаполнения браузера, связка ключей Mac-OS и хранилища паролей.

Руткиты

После установки вредоносного ПО в систему важно, чтобы оно оставалось скрытым, чтобы избежать обнаружения. Пакеты программного обеспечения, известные как руткиты, позволяют такое сокрытие, изменяя операционную систему хоста таким образом, чтобы вредоносная программа была скрыта от пользователя. Руткиты могут предотвратить появление вредоносного процесса в системном списке процессов или предотвратить чтение его файлов.

Некоторые типы вредоносного программного обеспечения содержат процедуры, позволяющие избежать попыток идентификации и / или удаления, а не просто скрыть себя. Ранний пример такого поведения записан в сказке из жаргонного файла о паре программ, заражающих систему разделения времени Xerox CP-V :

Каждое задание-призрак обнаруживало тот факт, что другое было убито, и запускало новую копию недавно остановленной программы в течение нескольких миллисекунд. Единственный способ убить обоих призраков - убить их одновременно (очень сложно) или намеренно вывести из строя систему.

Бэкдоры

Бэкдор является методом обхода аутентификации процедур, как правило , через соединение к сети , таким как Интернет. После взлома системы можно установить один или несколько бэкдоров, чтобы в будущем разрешить доступ незаметно для пользователя.

Часто предлагалось, чтобы производители компьютеров предварительно устанавливали бэкдоры в свои системы для обеспечения технической поддержки клиентов, но это никогда не было надежно проверено. В 2014 году сообщалось, что правительственные агентства США перенаправляли компьютеры, приобретенные теми, кого считали «целями», в секретные мастерские, где было установлено программное или аппаратное обеспечение, разрешающее удаленный доступ агентства, что считалось одной из самых продуктивных операций по получению доступа к сетям вокруг. мир. Бэкдоры могут быть установлены троянскими конями, червями , имплантатами или другими способами.

Уклонение

С начала 2015 года значительная часть вредоносных программ использует комбинацию многих методов, призванных избежать обнаружения и анализа. От наиболее распространенных к наименее распространенным:

  1. уклонение от анализа и обнаружения путем снятия отпечатков пальцев с окружающей среды при исполнении.
  2. запутанные методы обнаружения автоматизированных средств. Это позволяет вредоносному ПО избежать обнаружения такими технологиями, как антивирусное программное обеспечение на основе сигнатур, путем изменения сервера, используемого вредоносным ПО.
  3. уклонение по времени. Это когда вредоносное ПО запускается в определенное время или после определенных действий, предпринятых пользователем, поэтому оно выполняется в определенные уязвимые периоды, например, во время процесса загрузки, оставаясь в остальное время бездействующим.
  4. обфускация внутренних данных, чтобы автоматические инструменты не обнаруживали вредоносное ПО.

Все более распространенным методом (2015 г.) является рекламное ПО, использующее украденные сертификаты для отключения защиты от вредоносных программ и вирусов; доступны технические средства защиты от рекламного ПО.

В настоящее время одним из самых изощренных и скрытых способов уклонения является использование методов сокрытия информации, а именно стегомного вредоносного ПО . Обзор стегомального ПО был опубликован Cabaj et al. в 2018 году.

Другой способ уклонения - бесфайловые вредоносные программы или Advanced Volatile Threats (AVT). Для работы бесфайловой вредоносной программы файл не требуется. Он работает в памяти и использует существующие системные инструменты для выполнения злонамеренных действий. Поскольку в системе нет файлов, нет исполняемых файлов для анализа антивирусными и криминалистическими инструментами, что делает практически невозможным обнаружение таких вредоносных программ. Единственный способ обнаружить бесфайловые вредоносные программы - это поймать их в режиме реального времени. В последнее время эти типы атак участились: рост составил 432% в 2017 году и составил 35% атак в 2018 году. Такие атаки непросто выполнить, но они становятся все более распространенными с помощью эксплойтов.

Уязвимость

  • В этом контексте и повсюду то, что называется «системой», подвергающейся атаке, может быть чем угодно - от отдельного приложения, целого компьютера и операционной системы до большой сети .
  • Различные факторы делают систему более уязвимой для вредоносных программ:

Дефекты безопасности в программном обеспечении

Вредоносное ПО использует дефекты безопасности ( ошибки безопасности или уязвимости ) в конструкции операционной системы, в приложениях (таких как браузеры, например, более старые версии Microsoft Internet Explorer, поддерживаемые Windows XP) или в уязвимых версиях подключаемых модулей браузера, таких как Adobe Flash Player. , Adobe Acrobat или Reader или Java SE . Иногда даже установка новых версий таких плагинов не приводит к автоматическому удалению старых версий. В рекомендациях по безопасности от поставщиков подключаемых модулей объявляются обновления, связанные с безопасностью. Распространенным уязвимостям присваиваются идентификаторы CVE, и они перечислены в Национальной базе данных уязвимостей США . Secunia PSI - это пример бесплатного для личного использования программного обеспечения, которое проверяет компьютер на наличие уязвимых устаревших программ и пытается его обновить.

Авторы вредоносных программ нацелены на ошибки или лазейки, чтобы использовать их. Распространенным методом является использование уязвимости переполнения буфера , когда программное обеспечение, предназначенное для хранения данных в указанной области памяти, не препятствует предоставлению большего количества данных, чем может вместить буфер. Вредоносное ПО может предоставлять данные, которые переполняют буфер, с вредоносным исполняемым кодом или данными после завершения; при обращении к этой полезной нагрузке она выполняет то, что определяет злоумышленник, а не легитимное программное обеспечение.

Защита от вредоносных программ представляет собой постоянно растущую угрозу для обнаружения вредоносных программ. Согласно отчету Symantec об угрозах интернет-безопасности за 2018 год (ISTR), количество вариантов вредоносного ПО в 2017 году достигло 669947865, что вдвое больше, чем количество вариантов вредоносного ПО в 2016 году.

Небезопасный дизайн или ошибка пользователя

Ранние ПК нужно было загружать с дискет . Когда встроенные жесткие диски стали обычным явлением, операционная система обычно запускалась с них, но можно было загрузиться с другого загрузочного устройства, если оно доступно, например с дискеты, CD-ROM , DVD-ROM, USB-накопителя или сети. . Обычно компьютер настраивали для загрузки с одного из этих устройств, когда они доступны. Обычно ничего не было бы доступно; пользователь намеренно вставлял, скажем, компакт-диск в оптический привод, чтобы загрузить компьютер каким-то особым образом, например, чтобы установить операционную систему. Даже без загрузки компьютеры можно настроить для выполнения программного обеспечения на некоторых носителях, как только они станут доступны, например, для автозапуска компакт-диска или USB-устройства, когда они вставлены.

Распространители вредоносных программ обманом заставляли пользователя загружаться или запускаться с зараженного устройства или носителя. Например, вирус может заставить зараженный компьютер добавить код автозапуска на любой USB-накопитель, подключенный к нему. Любой, кто затем подключил флешку к другому компьютеру, настроенному на автозапуск с USB, в свою очередь заразился бы и таким же образом передал бы инфекцию. В более общем смысле, любое устройство, которое подключается к USB-порту, даже лампы, вентиляторы, динамики, игрушки или периферийные устройства, такие как цифровой микроскоп, можно использовать для распространения вредоносных программ. Устройства могут быть заражены во время производства или поставки, если контроль качества неадекватен.

Этой формы заражения можно в значительной степени избежать, настроив компьютеры по умолчанию на загрузку с внутреннего жесткого диска, если таковой имеется, а не на автозапуск с устройств. Преднамеренная загрузка с другого устройства всегда возможна путем нажатия определенных клавиш во время загрузки.

Старое программное обеспечение электронной почты автоматически открывало электронное письмо в формате HTML, содержащее потенциально вредоносный код JavaScript . Пользователи также могут выполнять замаскированные вредоносные вложения электронной почты. Report 2018 Data Breach Исследования по Verizon , цитируется CSO Online , утверждает , что письма являются основным методом доставки вредоносных программ, что составляет 92% от вредоносных программ доставки по всему миру.

Чрезмерно привилегированные пользователи и чрезмерно привилегированный код

В вычислениях привилегия означает, насколько пользователю или программе разрешено изменять систему. В плохо спроектированных компьютерных системах и пользователям, и программам может быть назначено больше привилегий, чем они должны иметь, и вредоносные программы могут воспользоваться этим. Вредоносные программы делают это двумя способами: через сверхпривилегированных пользователей и чрезмерно привилегированный код.

Некоторые системы позволяют всем пользователям изменять свои внутренние структуры, и сегодня такие пользователи будут считаться пользователями с чрезмерными привилегиями . Это была стандартная рабочая процедура для первых микрокомпьютеров и домашних компьютерных систем, где не было различия между администратором или пользователем root и обычным пользователем системы. В некоторых системах пользователи, не являющиеся администраторами, изначально имеют чрезмерные привилегии в том смысле, что им разрешено изменять внутренние структуры системы. В некоторых средах пользователи имеют чрезмерные привилегии, потому что им был неправомерно предоставлен статус администратора или эквивалентный статус.

Некоторые системы позволяют коду, выполняемому пользователем, получать доступ ко всем правам этого пользователя, что известно как сверхпривилегированный код. Это также была стандартная процедура для первых микрокомпьютеров и домашних компьютерных систем. Вредоносное ПО, работающее как сверхпривилегированный код, может использовать эту привилегию для подрыва системы. Почти все популярные в настоящее время операционные системы, а также многие приложения для создания сценариев допускают код слишком большого количества привилегий, обычно в том смысле, что когда пользователь выполняет код, система предоставляет этому коду все права этого пользователя. Это делает пользователей уязвимыми для вредоносных программ в виде вложений электронной почты , которые могут быть или не могут быть замаскированы.

Использование той же операционной системы

  • Однородность может быть уязвимостью. Например, когда все компьютеры в сети работают под одной и той же операционной системой, один червь может эксплуатировать их все: в частности, Microsoft Windows или Mac OS X занимают такую ​​большую долю рынка, что эксплуатируемая уязвимость концентрируется на любом из них. операционная система может разрушить большое количество систем. Внедрение разнообразия исключительно ради устойчивости, такое как добавление компьютеров Linux, может увеличить краткосрочные затраты на обучение и обслуживание. Однако до тех пор, пока все узлы не являются частью одной и той же службы каталогов для аутентификации, наличие нескольких разных узлов может предотвратить полное отключение сети и позволить этим узлам помочь с восстановлением зараженных узлов. Такое раздельное функциональное резервирование могло бы избежать затрат на полное отключение за счет увеличения сложности и снижения удобства использования с точки зрения аутентификации с единым входом.

Стратегии защиты от вредоносных программ

По мере того, как атаки вредоносных программ становятся все более частыми, внимание стало переключаться с защиты от вирусов и шпионского ПО на защиту от вредоносных программ и программ, специально разработанных для борьбы с вредоносными программами. (Другие превентивные меры и меры восстановления, такие как методы резервного копирования и восстановления, упомянуты в статье о компьютерном вирусе ). Перезагрузка для восстановления программного обеспечения также полезна для защиты от вредоносных программ путем отката вредоносных изменений.

Антивирусное и антивирусное программное обеспечение

Конкретный компонент антивирусного и антивирусного программного обеспечения, обычно называемый сканером при доступе или в режиме реального времени, подключается глубоко к ядру или ядру операционной системы и функционирует аналогично тому, как само определенное вредоносное ПО пытается попытаться работать, хотя и с информированного разрешения пользователя для защиты системы. Каждый раз, когда операционная система обращается к файлу, сканер при доступе проверяет, является ли файл «легитимным» файлом или нет. Если файл определен сканером как вредоносная программа, операция доступа будет остановлена, файл будет обработан сканером заранее определенным образом (как антивирусная программа была настроена во время / после установки), а пользователь будет уведомлен. Это может существенно повлиять на производительность операционной системы, хотя степень воздействия зависит от того, насколько хорошо был запрограммирован сканер. Цель состоит в том, чтобы остановить любые операции, которые вредоносная программа может предпринять в системе, до того, как они произойдут, в том числе действия, которые могут использовать ошибки или вызвать неожиданное поведение операционной системы.

Антивирусные программы могут бороться с вредоносными программами двумя способами:

  1. Они могут обеспечить защиту в реальном времени от установки вредоносного ПО на компьютер. Этот тип защиты от вредоносных программ работает так же, как и антивирусная защита, поскольку антивирусное программное обеспечение сканирует все входящие сетевые данные на наличие вредоносных программ и блокирует любые угрозы, с которыми оно сталкивается.
  2. Программы защиты от вредоносных программ могут использоваться исключительно для обнаружения и удаления вредоносных программ, которые уже были установлены на компьютере. Этот тип программного обеспечения для защиты от вредоносных программ сканирует содержимое реестра Windows, файлы операционной системы и установленные программы на компьютере и предоставляет список любых обнаруженных угроз, позволяя пользователю выбрать, какие файлы удалить, сохранить или сравнить. из этого списка в список известных компонентов вредоносного ПО, удалив соответствующие файлы.

Защита от вредоносных программ в реальном времени работает так же, как и антивирусная защита в реальном времени: программное обеспечение сканирует файлы на диске во время загрузки и блокирует активность компонентов, которые, как известно, представляют вредоносные программы. В некоторых случаях он также может перехватывать попытки установить элементы автозагрузки или изменить настройки браузера. Поскольку многие компоненты вредоносного ПО устанавливаются в результате эксплойтов браузера или ошибки пользователя, использование программного обеспечения безопасности (некоторые из которых являются антивирусными, хотя многие - нет) для "песочницы" браузеров (по сути, изолируют браузер от компьютера и, следовательно, любые вредоносные программы вызванное изменение) также может быть эффективным средством ограничения любого нанесенного ущерба.

Примеры антивирусного и антивирусного программного обеспечения Microsoft Windows включают дополнительный компонент Microsoft Security Essentials (для Windows XP, Vista и Windows 7) для защиты в реальном времени, средство удаления вредоносных программ Windows (теперь входит в состав обновлений Windows (Security) на " Patch Tuesday », второй вторник каждого месяца) и Защитник Windows (необязательная загрузка в случае Windows XP, включающая функциональность MSE в случае Windows 8 и более поздних версий). Кроме того, несколько эффективных антивирусных программ доступны для бесплатной загрузки из Интернета (обычно ограничены для некоммерческого использования). Тесты показали, что некоторые бесплатные программы могут конкурировать с коммерческими. Средство проверки системных файлов Microsoft можно использовать для проверки и восстановления поврежденных системных файлов.

Некоторые вирусы отключают восстановление системы и другие важные инструменты Windows, такие как диспетчер задач и командную строку . Многие такие вирусы можно удалить, перезагрузив компьютер, войдя в безопасный режим Windows с подключением к сети, а затем с помощью системных инструментов или Microsoft Safety Scanner .

Аппаратные имплантаты могут быть любого типа, поэтому общего способа их обнаружения не существует.

Сканирование безопасности веб-сайтов

Поскольку вредоносное ПО также наносит ущерб взломанным веб-сайтам (нарушая репутацию, занося в черный список в поисковых системах и т. Д.), Некоторые веб-сайты предлагают сканирование уязвимостей. Такое сканирование проверяет веб-сайт, обнаруживает вредоносные программы, может обнаружить устаревшее программное обеспечение и сообщить об известных проблемах безопасности.

Изоляция «воздушный зазор» или «параллельная сеть»

В крайнем случае, компьютеры могут быть защищены от вредоносных программ, а зараженные компьютеры могут не распространять достоверную информацию, создав «воздушный зазор» (т.е. полностью отключив их от всех других сетей). Однако в некоторых ситуациях вредоносное ПО все еще может преодолеть воздушный зазор. Stuxnet - это пример вредоносного ПО, которое попадает в целевую среду через USB-накопитель.

«AirHopper», «BitWhisper», «GSMem» и «Fansmitter» - это четыре метода, предложенные исследователями, которые могут передавать данные с компьютеров с воздушными зазорами с помощью электромагнитного, теплового и акустического излучения.

Нежелательное ПО

Grayware (иногда обозначаемое как greyware ) - это термин, применяемый к нежелательным приложениям или файлам, которые не классифицируются как вредоносные, но могут ухудшить производительность компьютеров и создать угрозу безопасности.

Он описывает приложения, которые ведут себя раздражающим или нежелательным образом, но при этом менее серьезны или доставляют беспокойство, чем вредоносные программы. К нежелательным программам относятся шпионское , рекламное ПО , мошеннические программы дозвона , программы-шутки, инструменты удаленного доступа и другие нежелательные программы, которые могут нанести вред работе компьютеров или причинить неудобства. Термин вошел в употребление примерно в 2004 году.

Другой термин, потенциально нежелательная программа (PUP) или потенциально нежелательное приложение (PUA), относится к приложениям, которые будут считаться нежелательными, несмотря на то, что они часто загружались пользователем, возможно, после того, как он не прочитал соглашение о загрузке. ПНП включают шпионское, рекламное ПО и мошеннические программы дозвона. Многие продукты безопасности классифицируют неавторизованные генераторы ключей как нежелательные программы, хотя они часто несут настоящие вредоносные программы в дополнение к их предполагаемой цели.

Производитель программного обеспечения Malwarebytes перечисляет несколько критериев для классификации программы как ПНП. Некоторые типы рекламного ПО (использующие украденные сертификаты) отключают защиту от вредоносных программ и вирусов; доступны технические средства правовой защиты.

История

До того, как доступ в Интернет получил широкое распространение, вирусы распространялись на персональные компьютеры, заражая исполняемые программы или загрузочные секторы гибких дисков. Вставляя свою копию в инструкции машинного кода в этих программах или загрузочных секторах , вирус заставляет себя запускаться всякий раз, когда запускается программа или загружается диск. Ранние компьютерные вирусы были написаны для Apple II и Macintosh , но они получили более широкое распространение с преобладанием IBM PC и системы MS-DOS . Первым вирусом для IBM PC в «дикой природе» был вирус загрузочного сектора, получивший название (c) Brain , созданный в 1986 году братьями Фарук Алви в Пакистане.

Первые черви, сетевые инфекционные программы, возникли не на персональных компьютерах, а в многозадачных системах Unix . Первым широко известным червем был Internet Worm 1988 года, заразивший системы SunOS и VAX BSD . В отличие от вируса, этот червь не внедрялся в другие программы. Вместо этого он использовал дыры в безопасности ( уязвимости ) в программах сетевых серверов и начал работать как отдельный процесс . То же самое поведение используется и сегодняшними червями.

С появлением в 1990-х годах платформы Microsoft Windows и гибких макросов ее приложений стало возможным писать опасный код на макроязыке Microsoft Word и подобных программ. Эти макровирусы заражают документы и шаблоны, а не приложения ( исполняемые файлы ), но полагаются на тот факт, что макросы в документе Word представляют собой форму исполняемого кода.

Академическое исследование

Идея самовоспроизводящейся компьютерной программы восходит к первоначальным теориям о работе сложных автоматов. Джон фон Нейман показал, что теоретически программа может воспроизводить себя. Это составляло правдоподобный результат в теории вычислимости . Фред Коэн экспериментировал с компьютерными вирусами и подтвердил постулат Неймана, а также исследовал другие свойства вредоносных программ, такие как обнаруживаемость и самообфускация с использованием элементарного шифрования. Его докторская диссертация 1987 года была посвящена компьютерным вирусам. Комбинация криптографических технологий как части полезной нагрузки вируса с использованием ее в целях атаки была инициирована и исследована с середины 1990-х годов и включает в себя идеи первоначального вымогательства и уклонения.

Смотрите также

использованная литература


внешние ссылки