Что такое вредоносная программа?
Термин «вредоносное ПО» – это сокращение термина «вредоносное программное обеспечение», в этом обзоре также называемое вредоносной программой. Вредоносные программы – это программы, намеренно разработанные и внедряемые для нанесения ущерба компьютерам и компьютерным системам. Если работа программы повлекла непреднамеренный ущерб, это обычно называют программной ошибкой.
Часто спрашивают, чем отличается вирус от вредоносной программы. Разница в том, что вредоносная программа – это общий термин для ряда сетевых угроз, включая вирусы, шпионские программы, рекламные программы, программы-вымогатели и другие типы вредоносных программ. Компьютерный вирус – это один из видов вредоносных программ.
Вредоносные программы могут попасть в сеть в результате фишинга, открытия вредоносных вложений, опасных загрузок, социальной инженерии и с переносных накопителей. В этом обзоре рассматриваются распространенные типы вредоносных программ.
Типы вредоносных программ
Чтобы защититься от взлома, важно различать атаки различных типов вредоносных программ. Некоторые категории вредоносных программ являются общеизвестными (по крайней мере, по названию), другие – менее известны.
Рекламные программы
Рекламные программы или программы, существующие за счет демонстрации рекламы, отображают нежелательную, а иногда и вредоносную рекламу на экране устройств, перенаправляют результаты поиска на рекламные сайты и собирают данные пользователей, которые затем можно продать рекламодателям без согласия самих пользователей. Не все рекламные программы являются вредоносным, некоторые из них легальные и безопасны в использовании.
В большинстве случаев пользователи могут влиять на частоту показа рекламных программ и на разрешенные виды загрузок с помощью элементов управления во всплывающих окнах, настроек браузеров, а также, используя блокировщик рекламы.
Примеры рекламных программ
- Fireball попал в заголовки газет в 2017 году, когда израильская компания-разработчик программного обеспечения обнаружила, что им были заражены 250 миллионов компьютеров и пятая часть корпоративных сетей во всем мире. При попадании на компьютер Fireball захватывает управление браузером: меняет домашнюю страницу на поддельную поисковую систему, Trotus, и вставляет навязчивую рекламу на все посещаемые веб-страницы, а также не позволяет изменять настройки браузера.
- Appearch – еще одна распространенная рекламная программа, работающая как «похититель браузера». Она обычно устанавливается в комплекте с другими бесплатными программами и добавляет в браузер настолько много рекламы, что затрудняет просмотр веб-страниц. При попытке перехода на сайт осуществляется перенаправление на Appearch.info. Если все-таки удается открыть веб-страницу, Appearch преобразует произвольные блоки текста в ссылки, поэтому при выделении текста появляется всплывающее окно, предлагающее загрузить обновления программного обеспечения.
Шпионские программы
Шпионские программы – это разновидность вредоносных программ, скрывающихся на устройстве, отслеживающих активность и осуществляющих кражу конфиденциальной информации: финансовых данных, учетных записей, данных для входа и прочих данных. Шпионские программы могут распространяться через уязвимости программного обеспечения, быть связны с легальными программами или являться частью троянских программ.
Примеры шпионских программ
- CoolWebSearch использовал уязвимости безопасности в Internet Explorer для взлома браузера, изменения его настроек и последующей отправки данных для просмотра злоумышленникам.
- Gator. Обычно устанавливается в комплекте с программами для обмена файлами, таким как Kazaa, отслеживает, чем пользователи интересуются в интернете, и использует полученную информацию для показа им конкретной рекламы.
Программы-вымогатели и программы-шифровальщики
Программы-вымогатели – это вредоносные программы, осуществляющие блокировку или отказ доступа пользователей к системе или данным до момента выплаты выкупа. Программы-шифровальщики – это тип программ-вымогателей, выполняющих шифрование пользовательских файлов и требующих оплаты в определенный срок и часто в цифровой валюте, например, в биткойнах. Программы-вымогатели уже много лет представляют угрозу для компаний всех отраслей. По мере того как все больше компаний переходят на цифровые технологии, вероятность стать жертвой атак программ-вымогателей значительно возрастает.
Примеры программ-вымогателей
- CryptoLocker – это распространенная в 2013 и 2014 годах вредоносная программа, используемая злоумышленниками для доступа и шифрования файлов в системе. Для распространения программы-вымогателя использовалась тактика социальной инженерии: пользователей обманным путем вынуждали загружать ее на компьютеры, что приводило к заражению всей сети. После загрузки CryptoLocker отображает сообщение с требованием выкупа: в нем предлагается расшифровать данные, если в установленный срок будет выполнен платеж наличными или в биткойнах. Программа-вымогатель CryptoLocker больше не применяется, однако предполагается, что стоящие за ней злоумышленники получили около трех миллионов долларов у ставших жертвами компаний.
- Вредоносная программа Phobos – программа-вымогатель, появившаяся в 2019 году. В ее основе лежит ранее известное семейство программ-вымогателей Dharma (или CrySis).
Троянские программы
Троянские программы маскируются под легальное программное обеспечение, чтобы обманом заставить пользователей запустить вредоносные программы на компьютере. Поскольку они выглядят достаточно надежными, пользователи загружают их, непреднамеренно заражая свои устройства вредоносными программами. Троянские программы – это, своего рода, точки входа злоумышленников в систему. В отличие от червей, им для работы необходимо устройство. После установки троянской программы на устройство злоумышленники могут использовать ее для удаления, изменения и сбора данных с устройства в рамках ботнета, а также для слежки за устройством и получения доступа к сети.
Примеры троянских программ
- Вредоносная программа Qbot, также известная как Qakbot или Pinkslipbot – это банковская троянская программа, появившаяся в 2007 году и предназначенная для кражи пользовательских и банковских данных. Она развивается и включает новые механизмы входа в систему, методы управления и контроля, а также функции защиты от анализа.
- Вредоносная программа TrickBot, впервые обнаруженная в 2016 году, представляет собой троянскую программу, разработанную и используемую изощренными киберпреступниками. Первоначально она была разработана как банковская троянская программа для кражи финансовых данных, однако затем превратилась в комплексное вредоносное ПО, предоставляющее злоумышленникам полный набор инструментов для разнообразных незаконных кибер-действий.
Черви
Черви – это один из наиболее часто встречающихся типов вредоносных программ, распространяющихся по компьютерным сетям, используя уязвимости операционной системы. Черви представляют собой отдельные программы, распространяющиеся путем самокопирования с целью заражения других компьютеров, при этом никаких действий со стороны пользователей или злоумышленников не требуется. Благодаря способности быстро распространяться, черви часто используются для выполнения фрагментов кода, созданного для повреждения системы, например, они могут удалять файлы в системе, шифровать данные для атаки программы-вымогателя, красть информацию и создавать ботнеты.
Пример червя
- SQL Slammer – известный компьютерный червь, который, вместо традиционных методов распространения, генерирует случайные IP-адреса и рассылает на них свой вредоносный код в поисках не защищенных антивирусными программами устройств. Вскоре после появления этого червя, в 2003 году, более 75 000 зараженных компьютеров были без ведома пользователей вовлечены в DDoS-атаки на ряд крупных веб-сайтов. Несмотря на то, что уже в течение долгого времени доступен соответствующий патч безопасности, атаки червя SQL Slammer повторялись в 2016 и 2017 годах.
Вирусы
Вирус – это фрагмент кода, который вставляется в приложение и запускается при его запуске. Попав в сеть, вирус может использоваться для кражи конфиденциальных данных, запуска DDoS-атак или атак программ-вымогателей. Обычно вирус распространяется через зараженные веб-сайты, при совместном доступе к файлам, при загрузке зараженных вложений электронной почты. Вирус бездействует до момента активации зараженного файла или программы. После этого вирус начинает распространяться в системе.
Пример вируса
- Вирус Stuxnet появился в 2010 году и, как считается, был разработан правительствами США и Израиля для срыва ядерной программы Ирана. Вирус распространялся через флэш-накопитель, подключаемый по USB. Он был нацелен на промышленные системы управления Siemens: вызывал сбои и самоуничтожение центрифуг с рекордной скоростью. Считается, что вирусом Stuxnet было заражено более 20 000 компьютеров и разрушена пятая часть центрифуг, что отбросило ядерную программу Ирана на годы назад.
Клавиатурные шпионы
Клавиатурные шпионы – это разновидность шпионских программ, отслеживающих активность пользователей. Они могут использоваться в законных целях, например, родители могут с их помощью контролировать действия детей в интернете, а компании отслеживать активность сотрудников. Однако злоумышленники могут использовать клавиатурные шпионы для кражи паролей, банковских данных и прочей конфиденциальной информации. Клавиатурные шпионы могут попасть систему в результате фишинга, социальной инженерии или вредоносных загрузок.
Пример клавиатурного шпиона
- В 2017 году студент Университета Айовы был арестован за установку клавиатурных шпионов на компьютеры сотрудников с целью кражи учетных данных и последующего изменения оценок. Студент был признан виновным и приговорен к четырем месяцам лишения свободы.
Боты и ботнеты
Бот – это компьютер, зараженный вредоносной программой, которым злоумышленники могут управлять удаленно. Боты, иногда называемые зомби-компьютерами, могут использоваться для запуска атак, а также стать частью ботнета – набора ботов, объединенных в сеть. Ботнеты могут включать миллионы устройств, как правило, они распространяются незаметно. Ботнеты позволяют злоумышленникам совершать различные вредоносные действия: DDoS-атаки, рассылку спама и фишинговых сообщений, а также распространять другие типы вредоносных программ.
Примеры ботнетов
- Ботнет Andromeda включал 80 различных семейств вредоносных программ. Он настолько разросся, что в определенный момент заражал около миллиона новых машин в месяц, распространяясь через социальные сети, при обмене мгновенными сообщениями, через спам-сообщения, наборы эксплойтов и другими способами. В 2017 году распространение ботнета было остановлено ФБР, центром по борьбе с киберпреступностью Европола и другими организациями, но многие компьютеры по-прежнему остались инфицированными.
- Mirai. В 2016 году в результате масштабной DDoS-атаки большая часть Восточного побережья США осталась без доступа в интернет. Атака, которую власти изначально опасались, была вызвана ботнетом Mirai и приписывается враждебному государству. Mirai – это тип вредоносных программ, автоматически обнаруживающих устройства интернета вещей, заражающих их и включающих в ботнет. Таким образом эти устройства интернета вещей можно использовать для проведения DDoS-атак, при которых поток вредоносного трафика приводит к сбоям серверов жертвы. Ботнет Mirai продолжает атаки по сей день.
Потенциально нежелательные программы
Потенциально нежелательные программы (ПНП) – это программы, которые могут включать рекламу, панели инструментов и всплывающие окна, не имеющие отношения к самой загруженной программе. Строго говоря, ПНП не всегда являются вредоносными. Разработчики ПНП отмечают, что, в отличие от вредоносных программ, ПНП загружаются пользователями добровольно. Однако известно, что пользователи, в основном, загружают ПНП неосознанно или по невнимательности.
ПНП часто поставляются в комплекте с другими легальными программами. Большинство людей загружают ПНП, поскольку не прочитали мелкий шрифт при установке новой программы и не осознали, что выбирали также установку дополнительных не требуемых для их целей программ.
Пример потенциально нежелательной программы
- Вредоносная программа Mindspark – это легко устанавливаемая ПНП, незаметно загружаемая на компьютеры пользователей. Mindspark может менять настройки и поведение устройства без ведома пользователя, а это, как известно, очень сложно устранить.
Гибридные вредоносные программы
Большинство современных вредоносных программ представляет собой комбинацию различных типов, часто включая элементы троянских программ, червей, а иногда и вирусов. Часто вредоносные программы сначала выглядят как троянские, но после запуска распространяются по сети как черви.
Пример гибридной вредоносной программы
- В 2001 году разработчик вредоносных программ, назвавшийся Лев, выпустил гибридную вредоносную программу – комбинацию червя и руткита. Руткиты позволяют злоумышленникам манипулировать файлами операционной системы, а черви – это мощные инструменты быстрого распространения фрагментов кода. Эта вредоносная комбинация нанесла ущерб более 10 000 систем Linux. Комбинация «червь + руткит» была специально разработана для эксплуатации уязвимостей в системах Linux.
Бесфайловые вредоносные программы
Бесфайловые вредоносные программы используют легальные программы для заражения компьютера. Они не используют файлы и не оставляют следов, что затрудняет их обнаружение и удаление. В основных типах атак бесфайловые вредоносные программы начали применяться в 2017 году, однако многие из них существуют уже давно.
Бесфайловые программы не хранятся в файлах и не устанавливаются на устройство, они попадают непосредственно в память, а вредоносный контент никогда не затрагивает жесткий диск. Киберпреступники все чаще используют бесфайловые вредоносные программы. Они позволяют осуществлять эффективные атаки, поскольку их обнаружение традиционными антивирусами затрудняется вследствие небольшого размера и отсутствия файлов для проверки.
Примеры бесфайловых вредоносных программ
- Frodo, Number of the Beast и The Dark Avenger – примеры ранних вредоносных программ этого типа.
Логические бомбы
Логические бомбы – это тип вредоносных программ, которые активируются только при определенном условии, например, в определенную дату и время или при 20-м входе в учетную запись. Вирусы и черви часто содержат логические бомбы для исполнения вредоносного кода в заранее определенное время или при выполнении определенного условия. Ущерб, причиняемый логическими бомбами, варьируется от изменения всего нескольких байтов данных до запрета на чтение жестких дисков.
Пример логической бомбы
- В 2016 году один из программистов каждые несколько лет вызывал сбои в работе электронных таблиц в филиале корпорации Siemens, поэтому им приходилось вновь и вновь нанимать его для исправления проблемы. В данном случае никто ни о чем не подозревал, пока в результате стечения обстоятельств не произошло раскрытие вредоносного кода.
Каким образом распространяются вредоносные программы?
Наиболее частые способы распространения вредоносных программ:
- Электронная почта. В случае взлома электронной почты вредоносные программы могут отправлять с вашего адреса письма с зараженными вложениями или ссылками на вредоносные веб-сайты. Когда получатель открывает вложение или переходит по ссылке, вредоносная программа устанавливается на его компьютер и распространяется дальше.
- Физические носители. Злоумышленники могут загружать вредоносные программы на USB-накопители и ждать, пока ничего не подозревающие жертвы подключат их к компьютерам. Этот прием часто используется в корпоративном шпионаже.
- Всплывающие окна. Этот способ распространения вредоносных программ включает ложные оповещения системы безопасности. Они предлагают загрузить поддельные программы безопасности, которые в некоторых случаях также могут оказаться вредоносными.
- Уязвимости. Дефекты безопасности системы могут обеспечить несанкционированный доступ вредоносных программ к компьютеру, оборудованию или сети.
- Бэкдоры. Преднамеренно или непреднамеренно встроенные дефекты программного обеспечения, оборудования, сетей или системной безопасности.
- Заражение путем скрытой загрузки. Непреднамеренная загрузка программного обеспечения с ведома пользователя или без него.
- Эскалация привилегий. Ситуация, когда злоумышленник получает расширенный доступ к компьютеру или сети, а затем использует его для атаки.
- Однородность. Если все системы работают под управлением одной операционной системы и подключены к одной сети, увеличивается риск распространения червей на другие компьютеры.
- Комбинированные угрозы. Пакеты вредоносных программ, объединяющие характеристики различных типов вредоносных программ, что затрудняет их обнаружение и устранение, поскольку они могут использовать различные уязвимости.
Признаки заражения вредоносными программами
Обнаружение каких-либо из перечисленных признаков может свидетельствовать о заражении вредоносными программами:
- Медленная работа, сбои и зависание компьютера.
- Печально известный «синий экран смерти».
- Автоматическое открытие и закрытие или самостоятельное изменение программ.
- Отсутствие места для хранения.
- Увеличение количества всплывающих окон, панелей инструментов и нежелательных программ.
- Отправка электронных писем и сообщений без вашего ведома.
Используйте антивирус для защиты от вредоносных программ
Лучший способ защититься от атак вредоносных и потенциально нежелательных программ – использовать комплексный антивирус. Kaspersky Premium обеспечивает постоянную надежную защиту ваших данных и устройств от злоумышленников, вирусов и вредоносных программ.
Продукты и решения:
Статьи по теме: