Блондинка
Сообщения: 1585
Благодарности: 382
|
Профиль
|
Отправить PM
| Цитировать
Классификация вредоносов
читать дальше »
Цитата iskander-k:
Классификация вредоносов
В наше время каждый школьник знает, что такое компьютерный вирус. Однако не каждый знает, что компьютерные вирусы - только часть вредоносного программного обеспечения. На самом деле не каждая программа, которая может негативно повлиять на работу компьютера, является вирусом.
Как правило, у каждой антивирусной корпорации есть своя классификация, согласно, которой эксперты ее лаборатории определяют принадлежность нового вредоносного кода. У разных корпораций один и тот же код будет иметь разные названия. Именно разность классификаций тому виной.
Попытка создать единую систему классификации и именования вирусов была предпринята на встрече CARO (Computer Antivirus Researchers Organization - организация исследователей компьютерных вирусов) в 1991 году.
Кроме того, в 2005 году американская организация US-CERT, занимающаяся проблемами в области компьютерной безопасности, предложила использовать стандартные названия для интернет-червей и других вредоносных программ. Члены US-CERT назвали свою программу “Общая классификация вредоносных программ” (CME). Цель программы - не вводить пользователей в заблуждение, используя разные названия для одних и тех же вирусов.
Классификация вредоносных программ по версии Microsoft:
В Microsoft разделяют все вредоносные программы (Malware) на:
1. Viruses (вирусы и черви):
- Trojan horse
- Virus
- Worm
2. Spyware (шпионские программы).
Классификация вредоносных программ по версии компании "Доктор Веб":
1. Вирусы:
- Анти-антивирусный вирус (Anti-antivirus Virus, Retrovirus) - компьютерная вирусная программа, объектом нападения которой являются антивирусные программы.
- Антивирусный вирус (Antivirus Virus) - компьютерная вирусная программа, объектом нападения которой являются другие компьютерные вирусы.
- Вариант вируса, штамм, модификация (Variant, modification) - модифицированный вариант одного и того же вируса.
- Вирусная программа-червь (Worm-virus) - паразитическая программа, обладающая механизмом саморазмножения.
- Зоологический вирус (Zoo virus) - вирус, существующий только в антивирусных лабораториях, в коллекции исследователей вирусов и не встречается в "дикой природе".
- Компьютерные вирусы (Computer viruses)
В зависимости от видов заражаемых объектов, компьютерные вирусы классифицируют по следующим типам:
- Файловые вирусы (File viruses):
Вирусы-спутники, вирусы-компаньоны (Virus-companion).
- Загрузочные (бутовые) вирусы (Boot viruses):
Pезидентный (в памяти) вирус (Memory resident virus).
- Макрокомандные вирусы (макровирусы) (Macroviruses) - вирусы, заражающие файлы документов, используемыe приложениями Microsoft Office и другими программами, допускающие наличие макрокоманд (чаще всего на языке Visual Basic).
- Полиморфные вирусы (Polymorphic viruses):
MtE вирусы (MtE viruses).
- Скрипт-вирусы (Script virus) - вирусы, написанные на языках Visual Basic, Basic Script, Java Script, Jscript.
- Стелс вирусы (Stealth virus) - вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.
- Шифрованные вирусы (Encrypted viruses) - вирусы, которые сами шифруют свой код для затруднения их дезассемблирования и обнаружения в файле, памяти или секторе.
2. Вредоносные программы, cетевые атаки
- Атаки методом подбора пароля (Brute force attacks) - так называемые атаки методом "грубой силы". Как правило, пользователи применяют простейшие пароли, например "123", "admin" и т.д. Этим и пользуются компьютерные злоумышленники.
- Бомбы с часовыми механизмами (Time bombs) - одна из разновидностей логических бомб, в которых срабатывание скрытого модуля определяется временем.
- DoS-атаки (DoS-attacks) - или атаки на отказ в обслуживании. Популярный у злоумышленников вид сетевых атак, граничащий с терроризмом, заключающийся в посылке огромного числа запросов с требованием услуги на атакуемый сервер с целью выведения его из строя.
- Зомби (Zombies) - маленькие компьютерные программы, разносимые по сети Интернет компьютерными червями. Программы-зомби устанавливают себя в пораженной системе и ждут дальнейших команд к действию.
- Клавиатурные перехватчики (Keyloggers) - вид троянских программ, чьей основной функцией является перехват данных, вводимых пользователем через клавиатуру.
- Логические бомбы (Logic bombs) - вид троянского коня - скрытые модули, встроенные в ранее разработанную и широко используемую программу. Являются средством компьютерного саботажа.
- Люки (Backdoors) - программы, обеспечивающие вход в систему или получение привилегированной функции (режима работы) в обход существующей системы полномочий.
- Почтовые бомбы (Mail bombs) - один из простейших видов сетевых атак. Злоумышленником посылается на компьютер пользователя или почтовый сервер компании одно огромное сообщение, или множество (десятки тысяч) почтовых сообщений, что приводит к выводу системы из строя.
- Руткит (Rootkit) - вредоносная программа, предназначенная для перехвата системных функций операционной системы (API) с целью сокрытия своего присутствия в системе.
- Сниффинг (Sniffing) - вид сетевой атаки, также называется "пассивное прослушивание сети".
- Спуфинг (Spoofing) - вид сетевой атаки, заключающейся в получении обманным путем доступа в сеть посредством имитации соединения.
- Троянские кони (Троянцы) (Trojan Horses) - вредоносные программы, содержащие скрытый модуль, осуществляющий несанкционированные пользователем действия в компьютере.
3. Нежелательные программы:
- Аплеты (applets) - прикладные программы, небольшие Java-приложения, встраиваемые в HTML страницы. По своей сути, эти программы не вредоносные, но могут использоваться в злонамеренных целях.
- Веб-жучки (Web bugs) - средство слежения за пользователями сети Интернет. Представляют собой прозрачные, размером 1х1 пиксель графические файлы, используемые для сбора статистической информации о заходящем на сайт пользователе, которая может включать дату и время просмотра, тип браузера, данные монитора, настройки JavaScript, cookie, адрес в сети Интернет.
- Вирусные мистификаторы (Hoaxes) - не являющиеся вредоносными почтовые сообщения, написанные в подчеркнуто нейтральном тоне, в котором указывается, например, на якобы распространяющийся новый вирус.
- Всплывающие окна (pop-ups) - не вредоносные программы, вид рекламного ПО, имеющие вид внезапно возникающих на экране монитора рекламных окошек маленького формата.
- "Горшочки с медом" (honey pots) - страницы-приманки, по описанию ресурса в поисковике и ключевым словам отвечающие требованиям поиска, но которые, на самом деле, только завлекают пользователя, а реально содержат на своих страницах всевозможные программы-эксплойты и различный нежелательный или вредоносный софт.
- Дозвонщики (Dialers) - специальные компьютерные программы, разработанные для сканирования некоего диапазона телефонных номеров для нахождения такого, на который ответит модем.
- Зомби (Zombies) - маленькие компьютерные программы, разносимые по сети Интернет компьютерными червями. Программы-зомби устанавливают себя в пораженной системе и ждут дальнейших команд к действию.
- Перехватчики страниц (highjackers) - от английского highjack - "захватывать", вид нежелательной компьютерной программы, целью написания которой является принудительная установка нужной ее заказчику страницы в качестве стартовой на компьютере, в который смог проникнуть такой троянец.
- Технология ActiveX - технология модификации элементов OCX для создания мультимедийных клиент-серверных приложений, разработанная корпорацией Microsoft.
- Утилиты удаленного администрирования - не вредоносные программы, которые могут использоваться во вредоносных целях. Позволяют осуществлять доступ сеть и проводить в ней действия на расстоянии - из любой точки сети Интернет.
- Уязвимость (Vulnerability) - часть программного кода, позволяющая использовать его для нарушения работы системы и проникновения в сети.
- Файлы cookies - файлы с данными о пользователе, собираемые веб-серверами и хранящиеся на жестком диске компьютера.
- Шпионские модули-роботы (spybots) - не являющиеся вирусами программы, самостоятельные функциональные модули, автономно решающие ту или иную задачу. Используются хакерами для слежения за жизнедеятельностью сети.
- Шпионское ПО (spyware) - опасные для пользователя программы (не вирусы), предназначенные для слежения за системой и отсылки собранной информации третьей стороне.
Классификация вредоносных программ по версии Лаборатории Касперского (опубликована в вирусной энциклопедии):
1. Сетевые черви
К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:
- проникновения на удаленные компьютеры;
- запуска своей копии на удаленном компьютере;
- дальнейшего распространения на другие компьютеры в сети.
К ним относятся:
- Email-Worm - почтовые черви
- IM-Worm - черви, использующие интернет-пейджеры
- IRC-Worm - черви в IRC-каналах
- Net-Worm - прочие сетевые черви
- P2P-Worm - черви для файлообменных сетей
2. Классические компьютерные вирусы
К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:
- последующего запуска своего кода при каких-либо действиях пользователя;
- дальнейшего внедрения в другие ресурсы компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры.
Типы компьютерных вирусов различаются между собой по следующим основным признакам:
- среда обитания;
- способ заражения.
К ним относятся:
1) Среда обитания.
По среде обитания вирусы можно разделить на:
- файловые;
- загрузочные;
- макро;
- скриптовые.
2) Способ заражения.
- Файловые вирусы:
По способу заражения файлов вирусы делятся на:
Перезаписывающие (overwriting).
Паразитические (parasitic):
внедрение вируса в начало файла,
внедрение вируса в конец файла,
внедрение вируса в середину файла,
вирусы без точки входа.
Вирусы-компаньоны (companion).
Вирусы-ссылки (link).
Вирусы, заражающие объектные модули (OBJ).
Вирусы, заражающие библиотеки компиляторов (LIB).
Вирусы, заражающие исходные тексты программ.
- Загрузочные вирусы:
Вирусы заражают загрузочный (boot) сектор гибкого диска.
Вирусы заражают boot-сектор винчестера.
Вирусы заражают Master Boot Record (MBR) винчестера.
- Макро-вирусы:
В вирусе присутствует авто-макрос (авто-функция).
В вирусе переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню).
В вирусе макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш.
- Скрипт-вирусы
Вирусы заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux).
Вирусы являются частями многокомпонентных вирусов.
Вирусы заражают файлы других форматов (например, HTML), если в них возможно выполнение скриптов.
3. Троянские программы
В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.
К ним относятся:
- Backdoor - троянские утилиты удаленного администрирования
- Trojan-PSW - воровство паролей
- Trojan-Clicker - интернет-кликеры
- Trojan-Downloader - доставка прочих вредоносных программ
- Trojan-Dropper - инсталляторы прочих вредоносных программ
- Trojan-Proxy - троянские прокси-сервера
- Trojan-Spy - шпионские программы
- Trojan - прочие троянские программы
- Rootkit - сокрытие присутствия в операционной системе
- ArcBomb - «бомбы» в архивах
- Trojan-Notifier - оповещение об успешной атаке
4. Хакерские утилиты и прочие вредоносные программы
К данной категории относятся:
- утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
- программные библиотеки, разработанные для создания вредоносного ПО;
- хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
- «злые шутки», затрудняющие работу с компьютером;
- программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
- прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.
К ним относятся:
- DoS, DDoS - сетевые атаки
- Exploit, HackTool - взломщики удаленных компьютеров
- Flooder - "замусоривание" сети
- Constructor - конструкторы вирусов и троянских программ
- Nuker - фатальные сетевые атаки
- Bad-Joke, Hoax - злые шутки, введение пользователя в заблуждение
- FileCryptor, PolyCryptor - скрытие от антивирусных программ
- PolyEngine - полиморфные генераторы
- VirTool - утилиты, предназначенные для облегчения написания компьютерных вирусов.
Однако в 2007 году в рамках 6-го саммита вирусных аналитиков «Лаборатории Касперского» была представлена новая классификация, в которой нет так привычного нам понятия вируса:
Здесь все “вредоносы” делятся на две группы: Malware и PUPs.
1. Malware:
вредоносные программы, созданные специально для не санкционированного пользователем уничтожения, блокирования, модификации или копирования информации, нарушения работы компьютеров или компьютерных сетей.
К данной категории относятся вирусы, черви, троянские программы и иной инструментарий, созданный для автоматизации деятельности злоумышленников (инструменты для взлома, конструкторы полиморфного вредоносного кода и т.д.).
2. PUPs (Potentially Unwanted Programs) - потенциально-нежелательные программы:
программы, которые разрабатываются и распространяются легальными компаниями, могут использоваться в повседневной работе, например, системных администраторов, но они обладают набором функций, которые могут причинить вред пользователю при выполнении некоторых условий.
Как видно, эта классификация более универсальна и актуальна. И все же она имеет некоторые точки пересечения с классификациями Microsoft и компании "Доктор Веб".
|
|
