Описание вредоносных программ

  • 4 мин

Возможно, вы уже слышали о вредоносных программах, вирусах, вирусах-червях и тому подобном. Что означают все эти слова? Вирус-червь — это все-таки червь или вирус? Что конкретно делает вредоносная программа? В этом уроке вы познакомитесь с этими и еще несколькими концепциями.

Что такое вредоносное ПО?

Как можно предположить из названия, вредоносные программы — это любые программы, предназначенные для нанесения вреда. Киберпреступники используют специальное программное обеспечение для "заражения" систем и выполнения нужных им действий. Целью могут быть кража данных или нарушение нормальной работы и процессов.

Вредоносные программы содержат два основных компонента:

  • Механизм распространения
  • Полезная нагрузка

Что такое механизм распространения?

Распространением здесь называется метод, который вредоносная программа использует для перехода от одной системы к другой. Вот несколько примеров для типичных методов распространения.

Иллюстрация с тремя самыми частыми методами распространений вредоносных программ: вирус, вирус-червь и троян

Вирус

Большинство из нас уже знакомы с этим термином. Но что конкретно он означает? Во-первых, давайте рассмотрим вирусы в нетехнических терминах. В биологии вирус должен попасть в организм носителя, чтобы начать там размножаться и причинять вред. Компьютерные вирусы также зависят от конкретных методов и событий, например от действий пользователя, которые позволят им проникнуть в систему. Например, пользователь может скачать файл или подключить USB-устройство с вирусом, который таким образом получает возможность заразить систему. Теперь у вас есть брешь в системе безопасности.

Вирус-червь

В отличие от вируса, червь не зависит от действий пользователя для захвата новых систем. Вместо этого червь наносит повреждения через уязвимости систем, которые он умеет использовать. Оказавшись внутри, червь пытается распространяться на другие подключенные системы. Например, червь может заразить устройство через уязвимость в работающем на нем приложении. Затем червь скопирует себя на другие устройства в той же сети или в других подключенных сетях.

Trojan

Атака типа "троянский конь" получила свое имя от классического мифа о солдатах, которые спрятались внутри деревянной лошади, замаскированной под подарок для жителей Трои. Когда троянцы втащили эту лошадь в свой город, солдаты вылезли из укрытия и напали на них. В контексте кибербезопасности трояном называют вредоносную программу, которая маскируется под нормальное программное обеспечение. Когда пользователь устанавливает такую программу, она может честно выполнять заявленные функции, но незаметно для пользователя параллельно занимается вредоносной деятельностью, например крадет информацию.

Что такое атакующий код?

Атакующим кодом называют действие, которое выполняет некоторая вредоносная программы на зараженном устройстве или в зараженной системе. Вот несколько распространенных типов атакующего кода:

  • Программа-шантажист блокирует системы или данные, пока жертва не выплатит требуемый выкуп. Предположим, что в сети подключенных устройств существует необнаруженная уязвимость. Киберпреступник применяет эту уязвимость для доступа к сети и шифрует все файлы в ней. Затем злоумышленник запрашивает выкуп в обмен на возможность расшифровать файлы. Можно дополнить это требование угрозой удалить все файлы, если выкуп не будет получен к некоторому крайнему сроку.
  • Шпионские программы тайно следят за некоторым устройством или системой. Например, вредоносная программа может установить программное обеспечение для отслеживания ввода с клавиатуры на устройстве пользователя, чтобы получить сведения о пароле и передать их злоумышленнику без ведома пользователя.
  • Черные ходы позволяют киберпреступникам использовать уязвимость в системе или устройстве для обхода существующих мер безопасности и причинения ущерба. Предположим, что киберпреступник устроился на работу в компанию по разработке программного обеспечения и сумел добавить в программу некоторый код, который позволит ему выполнять атаки. Такая программа становится черным ходом в систему, через которую этот киберпреступник может взломать само приложение или устройство, на котором оно работает, а затем и другие сети и системы организации и ее клиентов.
  • Ботнет подключает зараженный компьютер, сервер или другое устройство к сети других зараженных устройств, которыми злоумышленник удаленно управляет для выполнения злонамеренных действий. Типичным применением для вредоносных программ типа "ботнет" можно считать майнинг криптовалют. Это означает, что вредоносная программа подключает устройство к сети ботнета и использует вычислительные возможности этого устройства для работы по созданию криптовалют в пользу злоумышленника. В этом случае пользователь может обратить внимание, что компьютер работает медленнее обычного или все хуже и хуже с каждым днем.