Чтобы эффективно бороться с ежедневно растущим количеством разного вредоносного ПО, нужно различать его виды и угрозы, которые оно представляет для системы и пользователя. Помочь узнать врага в лицо поможет эта статья.
ВИРУСЫ
Стремятся заразить максимальное количество файлов определенного типа. Размножаются, используя ресурсы зараженной системы. Могут повреждать или уничтожать данные.
Вирусы - это программы, способные к самостоятельному копированию и заражению компьютеров без ведома и разрешения хозяина. Обычно неискушенные пользователи относят к вирусам вообще любые вредоносные программы, хотя между вирусами, шпионами, троянами или руткитами есть существенные различия как в выполняемых задачах, так и в самом способе заражения. Вирус может переносится с зараженного компьютера на здоровый только как часть файла-"хозяина". Им может быть практически любой файл, рассылаемый по электронной почте, выложенный в глобальной сети или переписанный с физического носителя.
Однако для начала работы вирусам все равно необходимо разрешение на исполнение своего кода, поэтому чаще всего они дописываются к исполняемым файлам законных программ. Вместе с кодом программы в память попадает и код вируса, где он начинает свою работу. Потенциальными носителями вируса могут стать любые исполняемые файлы в двоичном коде, включая все документы, в которых могут быть использованы макросы, загрузочные секторы любых дисков и их разделов, скриптовые файлы и т. д.
По своему поведению все вредоносные программы делятся на два типа - нерезидентные и резидентные. Нерезидентные при запуске инфицированного ими файла загружают поисковый модуль, определяющий доступные для заражения цели, после этого в дело вступает модуль репликации,непосредственно заражающий найденные цели. И только после завершения этих операций вирус отдает контроль запущенному приложению или открытому файлу. Резидентные действуют менее заметно. Они загружают свой код в память и отдают контроль обратно приложению, заражая те файлы, к которым будет обращаться активная программа либо операционная система.
С появлением вирусов на арену вышли первые антивирусные программы, и классическое противостояние щита и меча продолжилось уже на виртуальных просторах. Для того, чтобы избежать обнаружения антивирусными средствами, создатели вирусов начали использовать разные методы скрытия кода вредоносной программы. Например, чтобы избежать обнаружения из-за разных объемов чистых и зараженных файлов, вирусы начали использовать неиспользуемые области файлов - полости. Еще один способ скрыть свое присутствие - затаиться. Вирус прекращает выполнять свои действия на время проверки антивирусом. Более хитрая разновидность той же техники - это перехват запроса антивируса к системе на чтение файла. Перехватив запрос, вредоносная программа предоставляет средствам защиты здоровую версию файла, заставляя антивирус считать файл чистым.
Для более эффективного отлова вирусов разработчики средств защиты начали создавать базы данных, содержащих вирусные подписи -последовательности кода, характерные для определенного вируса. Но авторы вредоносных программ быстро организовали контрмеры и начали использовать разные способы шифрования кода вируса, чтобы сделать каждую новую его копию непохожей на предыдущую, сделав базы вирусных подписей бесполезными. Пионерами стали вредоносные программы, использующие шифрование с переменным ключом. Однако так как они состоят из зашифрованного кода вируса и модуля дешифровки, их все равно можно обнаружить по присутствию дешифровочного модуля.
Более опасными стали полиморфные вирусы. Они не только шифровали свой код, но и изменяли дешифровщик, так что любая новая копия вируса отличалась от родительской. Такие вредоносные программы поначалу стали крепким орешком для антивирусных средств, но в итоге последние для их обнаружения стали применять эмуляцию либо статистический анализ. Еще более сложными для обнаружения антивирусными средствами являются метаморфные вирусы, которые невозможно обнаружить посредством эмуляции. Они полностью переписывают весь свой код при заражении нового файла, но при этом очень объемные и сложные в написании.
ТРОЯНЫ
 Маскируются под полезные программы заставляя пользователя заражать систему собственными руками. Самостоятельно не размножаются. Основная задача – использовать зараженную систему в целях атакующего.
 "Троянские кони" к вирусам не относятся, но часто являются средствами их доставки. Маскируясь под интересующее пользователя приложение, они вместо ожидаемых от него функций загружают вредоносное (как правило) ПО. В отличие от вирусов они не полагаются на самостоятельное увеличение числа своих копий, а ориентированы на "потребителя". После запуска пользователем трояна, замаскированного под интересующую его программу, тот начинает загружать различные программы, скрипты и т. д., ориентированные на выполнение нужных функций, причем без ведома пользователя. К примеру, троян может прекратить работу средств безопасности системы, чтобы обеспечить неавторизованный доступ к ней в нужное время.
Эти программы состоят из двух отдельных частей - клиента и сервера. Сервер запускается на пораженной системе и ждет соединения с клиентом, установленным в другой системе. Для соединения с сервером атакующему нужно знать 1Р компьютера, на котором он установлен. Обычно трояны передают "хозяину" эту информацию через электронную почту. После установления соединения между клиентом и сервером, с клиента серверу отдаются команды для выполнения на машине жертвы. Трояны несут в себе нагрузку для достижения разных целей и нередко нескольких сразу. Их можно разделить на несколько групп. Одни из них предназначены для обеспечения удаленного доступа и администрирования системы. Другие рассчитаны на повреждение данных или закачку файлов как из системы, так и на нее. Также трояны могут заставлять работать пораженную машину как сервер, отключать на ней средства безопасности для дальнейших атак либо использовать систему для организации DoS-атак.
ЧЕРВИ
 Стремятся заразить максимальное количество систем, используя сети. Обычно не повреждают данные пользователя, а используют сети для рассылки своих копий. Могут оставлять backdoor для следующих атак.
 Черви, как и вирусы, являются саморазмножающимися компьютерными программами. Но в отличие от большинства вирусов они рассылают свои копии, используя сети. Еще одно отличие червей от вирусов в том, что они не нуждаются в прикреплении к определенному файлу. Кроме того, в первую очередь они наносят ущерб сетям, тогда как вирусы повреждают файлы.
 Многие сетевые черви были созданы лишь для распространения и не несут большой угрозы для пользователя и его данных. Однако достаточно часто появляются черви, способные на большее, чем просто бесконечное увеличение числа своих копий. Они могут повреждать данные или зашифровывать их для дальнейшего вымогательства, отправлять файлы пользователя по e-mail и т. д. Но самой популярной функцией червей является установка backdoor для создания бот-сетей.
Так как черви работают благодаря известным уязвимостям в операционных системах, заражение большинством из них можно предотвратить при помощи регулярных обновлений операционной системы и средств безопасности.
ШПИОНЫ
 Собирают персональные данные пользователя, информацию о его поведении в сети. Могут менять поведение браузера и распространять рекламу. Самостоятельно не размножаются. Заражают систему, используя ее уязвимости либо обманывая пользователя.
 В отличие от вирусов и червей, программы-шпионы не размножаются самостоятельно. Вместо бесконтрольного распространения они направлены на получение коммерческих выгод от инфицирования компьютеров. Шпионы не распространяются как вирусы или черви, так как зараженная система не пытается каким-либо способом передать инфекцию на другие компьютеры. Вместо этого такие программы попадают в новые системы, используя ихуявимости, обманывая пользователя по методу "троянского коня" или встраиваются в популярные бесплатные программы. Существует и еще более нахальный способ установки шпионов - это выдать его за средства безопасности, отлавливающие шпионов. В некоторых случаях распространять шпионские программы могут гибридные вирусы или черви, специально разработанные для доставки таких программ на максимальное количество систем.
Под термином шпионского ПО скрывается целый ряд программ, разработанных специально для скрытного получения информации о пользователе без его ведома. Шпионские программы способны собирать информацию о поведении пользователя в сети -посещаемых сайтах, часто встречающихся запросах к поисковым системам. Другие их виды собирают персональные данные пользователя для рассылки спама или кражи денег с банковских счетов. Также шпионские программы могут устанавливать дополнительное ПО, меняющее поведение браузера. Перенаправляя пользователя с нужного ему сайта на другой, авторы "шпионов" получают за это прибыль от рекламы. Кроме того, часто сами шпионы показывают пользователю рекламу в виде окон, всплывающих через определенное время, при открытии нового окна браузера и т. д. Нередко программы этого типа совмещают одновременно и шпионское и рекламное ПО одновременно, когда одна часть программы собирает информацию о пользователе, а другая выводит рекламу в соответствии с найденным на пользователя "компроматом".
Распространители таких программ могут изображать их как некую полезную системную утилиту, и несведущий пользователь скачивает ее, часто даже не подозревая о возможных последствиях. В целом попасть в новую систему шпионы могут и "в комплекте" с любыми программами из сомнительных источников, вместе с установкой которых дополнительно ставится и шпион. Другой известный способ установки шпионов в глобальной сети - создать видимость свободного выбора. В появившемся всплывающем окне пользователю предлагают на выбор либо установить определенную программу, либо отказаться, нажав соотвествующую кнопку в окне. Естественно, выбор пользователя ничего не меняет. Кликнув на любом из вариантов, он начнет загрузку шпионского программного обеспечения.
Еще один из методов их распространения заключается в использовании "дырок" популярных браузеров во время навигации по страницам, код которых заставляет браузер автоматически загружать шпионское ПО. По сей день самой популярной мишенью для такого вида распространения всевозможных шпионов остается Internet Explorer - в первую очередь из-за его распространенности и ряда проблем с безопасностью, правда другие браузеры защищены не намного лучше. Еще один широко распространенный способ установки шпионов производится с использованием уязвимостей Java.
Следствия поражения системы разными видами шпионского ПО обычно быстро становятся заметны пользователям, так как слабо защищенный компьютер быстро становится прибежищем множества шпионов. Бурная деятельность нескольких таких программ приводит к заметному снижению быстродействия системы из-за повышенной загрузки процессора, усиленного использования жестких дисков и больших объемов трафика. Как правило, к общей заторможенности добавляются еще и постоянные сбои в работе приложений и системы.
РУТКИТЫ
 Стремятся получить полный контроль над системой и при этом скрыть свое присутствие и прикрыть деятельность других вредоносных программ. Самостоятельно не размножаются. Обнаруживаются с большим трудом.
 Руткитом называют любую программу, деятельность которой направлена на то, чтобы получить полный контроль над системой без разрешения пользователя или администратора системы. Кроме того, большинство руткитов одновременно скрывают определенные файлы, сетевые соединения, блоки памяти и записи в реестре системы от программ, используемых для определения "привилегированного" доступа к системным ресурсам. Одновременно руткит может маскироваться под другие файлы, программы или библиотеки. Используемые ими техники включают в себя скрытие запущенных процессов от программ мониторинга и скрытие файлов и данных от самой системы. Как правило, руткиты одновременно работают и как трояны. Они могут включать в себя и другие "полезные" утилиты, позволяющие устанавливать backdoor для обеспечения постоянного доступа к пораженной системе. Используя этот вид вредоносного ПО, злоумышленник может скрывать присутствие в системе своего инструментария для других атак -например, различное шпионское ПО для рассылки спама или кражи банковских данных пользователя. Кроме того, пораженные системы могут быть использованы как плацдарм для следующих атак, затрудняя определение системы, с которой была осуществлена атака.
Всего существует не менее пяти разновидностей руткитов, работающих на разных уровнях. Это руткиты, работающие на уровне аппаратных программ, виртуализированные, уровня ядра или библиотек, а также работающие на уровне приложений.
Аппаратные руткиты используют встроенное ПО устройств, которое редко подвергается проверкам на целостность кода. Виртуализированные руткиты меняют последовательность загрузки так, что при запуске компьютера загружается руткит, а не операционная система. Затем руткит загружает ОС как виртуальную машину и получает возможность перехватывать все аппаратные запросы системы. Руткиты уровня ядра системы добавляют или замещают участки кода как в самом ядре системы, так и в связанных с ним драйверах. Из-за того, что они работают на том же уровне, что и система, их особенно сложно обнаружить, так как они могут изменить или отклонить любой запрос, сделанный программами в пораженной операционной системе. Такие руткиты, к тому же, несут в себе дополнительную угрозу стабильности работы системы, если написаны даже с незначительными ошибками. "Библиотечные" руткиты пользуются теми же методами в работе с библиотеками, скрывая информацию о поражении системы. Совершенно легальные приложения тоже могут быть поражены руткитами. На уровне программы руткиты заменяют участки здорового кода приложения, заставляя такую программу одновременно выполнять еще и функцию трояна. Обнаружить рукит при помощи ПО, запущенного в уже поврежденной его деятельностью операционной системе, очень сложно, так как любой запрос о запущенных процессах и приложениях, а также целосности системы будет руткитом перехвачен. А в ответ поступит информация, что система работает нормально. В пораженной операционной системе анти-руткиты могут обнаруживать только руткиты, которые не могут полностью замаскировать такое присутствие. Обнаружить "идеальный" руткит они не смогут. Яркий пример тому - руткит Rustock.C, который более полугода не могли обнаружить ни разработчики антивирусного ПО, ни авторы вирусов. После долгих попыток обнаружения его существование вообще поставили под вопрос. И только в начале мая появилось сообщение, что этот руткит был обнаружен. Оставаясь невидимым для любого антивирусного ПО, Rustock.C совмещал в себе отдельные качества вируса и трояна, и был направлен на создание бот-сетей по рассылке спама. По приблизительным оценкам, за полгода деятельности руткита его автором была создана третья по величине мировая зомби-сеть. Самым действенным способом обнаружения руткитов остается запуск "чистой" системы и антируткита с загрузочного диска, но и такой метод часто не гарантирует стопроцентного результата.