Вредоносное ПО ( портманто для вредоносного программного обеспечения ) - это любое программное обеспечение, намеренно разработанное для нанесения ущерба компьютеру , серверу , клиенту или компьютерной сети [1] [2] (напротив, программное обеспечение, которое причиняет непреднамеренный ущерб из-за некоторого недостатка, обычно описывается как ошибка программного обеспечения ). [3] Большое разнообразие типов вредоносных программ существуют, в том числе компьютерных вирусов , червей , троянских коней , вымогателей , шпионских программ , рекламного ПО, мошенническое программное обеспечение , дворники и пугающие программы .
Программы также считаются вредоносными, если они тайно действуют против интересов пользователя компьютера. Например, в какой-то момент Sony Music Compact Disc незаметно установил руткит на компьютеры покупателей с намерением предотвратить незаконное копирование, но который также сообщал о привычках пользователей к прослушиванию и непреднамеренно создавал дополнительные уязвимости в безопасности. [4]
Различные антивирусные программы , брандмауэры и другие стратегии используются для защиты от внедрения вредоносных программ, обнаружения их, если они уже есть, и восстановления после вредоносных действий и атак, связанных с вредоносными программами. [5]
Цели
Многие ранние инфекционные программы, в том числе первый Интернет-червь , были написаны как эксперименты или розыгрыши. [6] Сегодня вредоносные программы используются как хакерами, так и правительствами для кражи личной, финансовой или деловой информации. [7] [8]
Вредоносное ПО иногда широко используется против правительственных или корпоративных веб-сайтов для сбора конфиденциальной информации [9] или для нарушения их работы в целом. Однако вредоносное ПО может использоваться против отдельных лиц для получения такой информации, как личные идентификационные номера или данные, номера банковских или кредитных карт и пароли.
С появлением широкополосного доступа в Интернет вредоносные программы все чаще разрабатывались для получения прибыли. С 2003 года большинство широко распространенных вирусов и червей было разработано для получения контроля над компьютерами пользователей в незаконных целях. [10] Зараженные « зомби-компьютеры » могут использоваться для рассылки спама по электронной почте , для размещения контрабандных данных, таких как детская порнография , [11] или для участия в распределенных атаках типа « отказ в обслуживании» в качестве формы вымогательства . [12]
Программы, предназначенные для отслеживания просмотра веб-страниц пользователями, отображения нежелательной рекламы или перенаправления доходов от партнерского маркетинга , называются шпионским ПО . Шпионские программы не распространяются как вирусы; вместо этого они обычно устанавливаются с использованием дыр в безопасности. Их также можно скрыть и упаковать вместе с несвязанным программным обеспечением, установленным пользователем. [13] Sony BMG руткит был предназначен для предотвращения незаконного копирования; но также сообщал о привычках пользователей слушать и непреднамеренно создавал дополнительные уязвимости в системе безопасности. [4]
Программа-вымогатель каким-то образом влияет на зараженную компьютерную систему и требует оплаты, чтобы вернуть ее в нормальное состояние. Существует два варианта программ-вымогателей: шифровальщики-вымогатели и вымогатели для шкафчиков. [14] С помощью программы-вымогателя шкафчик просто блокирует компьютерную систему без шифрования ее содержимого. В то время как традиционные программы-вымогатели блокируют систему и шифруют ее содержимое. Например, такие программы, как CryptoLocker, надежно шифруют файлы и расшифровывают их только после выплаты значительной суммы денег. [15]
Некоторые вредоносные программы используются для получения денег путем мошенничества с кликами , создавая впечатление, что пользователь компьютера щелкнул рекламную ссылку на сайте, в результате чего рекламодатель выписал платеж. По оценкам 2012 года, от 60 до 70% всех активных вредоносных программ использовали какие-либо виды мошенничества с кликами, а 22% всех рекламных кликов были мошенническими. [16]
Помимо получения преступных доходов, вредоносное ПО может использоваться для саботажа, часто по политическим мотивам. Stuxnet , например, был разработан, чтобы вывести из строя очень специфическое промышленное оборудование. Были политически мотивированные атаки, которые распространились по крупным компьютерным сетям и привели к их отключению, включая массовое удаление файлов и повреждение основных загрузочных записей , описываемое как «убийство компьютеров». Такие нападения были сделаны на Sony Pictures Entertainment (25 ноября 2014 года, с использованием вредоносных программ , известный как Shamoon или W32.Disttrack) и Saudi Aramco (август 2012). [17] [18]
Инфекционное вредоносное ПО
Наиболее известные типы вредоносных программ, вирусов и червей известны по способу их распространения, а не по каким-либо конкретным типам поведения. Компьютерный вирус - это программное обеспечение, которое встраивается в другое исполняемое программное обеспечение (включая саму операционную систему) в целевой системе без ведома и согласия пользователя, и при запуске вирус распространяется на другие исполняемые файлы. С другой стороны, червь - это автономное вредоносное ПО, которое активно распространяется по сети для заражения других компьютеров и может копировать себя, не заражая файлы. Эти определения приводят к наблюдению, что вирус требует, чтобы пользователь запустил зараженное программное обеспечение или операционную систему для распространения вируса, в то время как червь распространяется сам. [19]
Сокрытие
Эти категории не являются взаимоисключающими, поэтому вредоносное ПО может использовать несколько методов. [20] Этот раздел относится только к вредоносным программам, предназначенным для работы незамеченным, а не к саботажу и программам-вымогателям.
Вирусы
Компьютерный вирус - это программа, обычно скрытая в другой, казалось бы, безобидной программе, которая может создавать свои копии и вставлять их в другие программы или файлы и обычно выполняет вредоносное действие (например, уничтожает данные). [21] Примером этого является PE-заражение, метод, обычно используемый для распространения вредоносных программ, который вставляет дополнительные данные или исполняемый код в PE-файлы . [22]
Программа-вымогатель с блокировкой экрана
«Блокировки экранов» или шкафчики для экранов - это разновидность программы-вымогателя «киберполиции», которая блокирует экраны на устройствах Windows или Android по ложному обвинению в сборе незаконного контента, пытаясь запугать жертв и заставить их заплатить определенную сумму. [23] Jisut и SLocker влияют на устройства Android больше, чем другие экраны блокировки, при этом на Jisut приходится почти 60% всех обнаружений программ-вымогателей Android. [24]
Программа-вымогатель на основе шифрования
Программа-вымогатель, основанная на шифровании, как следует из названия, представляет собой тип программы-вымогателя, который шифрует все файлы на зараженной машине. Затем эти типы вредоносных программ отображают всплывающее окно, информирующее пользователя о том, что их файлы были зашифрованы и что они должны заплатить (обычно в биткойнах), чтобы восстановить их. Некоторыми примерами программ-вымогателей на основе шифрования являются CryptoLocker и WannaCry. [25]
троянские кони
Троянский конь - это вредоносная программа, которая выдает себя за обычную безвредную программу или служебную программу, чтобы убедить жертву установить ее. Троянский конь обычно несет в себе скрытую деструктивную функцию, которая активируется при запуске приложения. Этот термин происходит от древнегреческой истории о троянском коне, который тайком вторгся в Трою . [26] [27] [28] [29] [30]
Троянские кони обычно распространяются с помощью какой-либо формы социальной инженерии , например, когда пользователя обманывают, заставляя выполнить вложение электронной почты, замаскированное под подозрительное (например, обычную форму, которую необходимо заполнить), или путем прямой загрузки . Хотя их полезная нагрузка может быть любой, многие современные формы действуют как бэкдор , связываясь с контроллером ( звоня домой ), который затем может получить несанкционированный доступ к зараженному компьютеру, потенциально устанавливая дополнительное программное обеспечение, такое как кейлоггер, для кражи конфиденциальной информации, программное обеспечение для криптомайнинга или рекламное ПО. для получения дохода оператору трояна. [31] Хотя троянские кони и бэкдоры нелегко обнаружить сами по себе, компьютеры могут работать медленнее, выделять больше тепла или шума вентилятора из-за интенсивного использования процессора или сети, что может происходить при установке программного обеспечения для майнинга криптовалют. Криптомайнеры могут ограничивать использование ресурсов и / или работать только во время простоя, пытаясь избежать обнаружения.
В отличие от компьютерных вирусов и червей, троянские кони обычно не пытаются внедряться в другие файлы или иным образом распространяться. [32]
Весной 2017 года пользователи Mac были поражены новой версией троянца удаленного доступа Proton (RAT) [33], обученного извлекать данные паролей из различных источников, таких как данные автозаполнения браузера, связка ключей Mac-OS и хранилища паролей. [34]
Руткиты
После того, как вредоносное ПО установлено в системе, важно, чтобы оно оставалось скрытым, чтобы избежать обнаружения. Пакеты программного обеспечения, известные как руткиты, позволяют такое сокрытие, изменяя операционную систему хоста таким образом, чтобы вредоносная программа была скрыта от пользователя. Руткиты могут предотвратить появление вредоносного процесса в системном списке процессов или предотвратить чтение его файлов. [35]
Некоторые типы вредоносного программного обеспечения содержат процедуры, позволяющие избежать попыток идентификации и / или удаления, а не просто скрыть себя. Ранний пример такого поведения записан в сказке из жаргонного файла о паре программ, заражающих систему разделения времени Xerox CP-V :
- Каждое задание-призрак обнаруживало тот факт, что другое было убито, и запускало новую копию недавно остановленной программы в течение нескольких миллисекунд. Единственный способ убить обоих призраков - убить их одновременно (очень сложно) или намеренно вывести из строя систему. [36]
Бэкдоры
Бэкдор является методом обхода аутентификации процедур, как правило , через соединение к сети , таким как Интернет. После того, как система была взломана, можно установить один или несколько бэкдоров, чтобы разрешить доступ в будущем [37] незаметно для пользователя.
Часто предлагалось, чтобы производители компьютеров предварительно устанавливали бэкдоры в свои системы для обеспечения технической поддержки клиентов, но это никогда не было надежно проверено. В 2014 году сообщалось, что правительственные агентства США перенаправляли компьютеры, приобретенные теми, кого считали «целями», в секретные мастерские, где было установлено программное или аппаратное обеспечение, разрешающее удаленный доступ агентства, что считалось одной из самых продуктивных операций по получению доступа к сетям вокруг. мир. [38] Бэкдоры могут быть установлены троянскими конями, червями , имплантатами или другими способами. [39] [40]
Уклонение
С начала 2015 года значительная часть вредоносных программ использует комбинацию многих методов, призванных избежать обнаружения и анализа. [41] От наиболее распространенных к наименее распространенным:
- уклонение от анализа и обнаружения путем снятия отпечатков пальцев с окружающей среды при исполнении. [42]
- запутанные методы обнаружения автоматизированных средств. Это позволяет вредоносному ПО избежать обнаружения такими технологиями, как антивирусное программное обеспечение на основе сигнатур, путем изменения сервера, используемого вредоносным ПО. [43]
- уклонение по времени. Это когда вредоносное ПО запускается в определенное время или после определенных действий, предпринятых пользователем, поэтому оно выполняется в определенные уязвимые периоды, например, во время процесса загрузки, оставаясь бездействующим в остальное время.
- обфускация внутренних данных, чтобы автоматические инструменты не обнаруживали вредоносное ПО. [44]
Все более распространенным методом (2015 г.) является рекламное ПО, использующее украденные сертификаты для отключения защиты от вредоносных программ и вирусов; доступны технические средства защиты от рекламного ПО. [45]
В настоящее время одним из самых изощренных и скрытых способов уклонения является использование методов сокрытия информации, а именно стегомного вредоносного ПО . Обзор стегомального ПО был опубликован Cabaj et al. в 2018 году. [46]
Еще один способ уклонения - бесфайловые вредоносные программы или Advanced Volatile Threats (AVT). Для работы бесфайловой вредоносной программы файл не требуется. Он работает в памяти и использует существующие системные инструменты для выполнения злонамеренных действий. Поскольку в системе нет файлов, нет исполняемых файлов для анализа антивирусными и криминалистическими инструментами, что делает практически невозможным обнаружение таких вредоносных программ. Единственный способ обнаружить бесфайловые вредоносные программы - это поймать их в режиме реального времени. В последнее время такие атаки стали более частыми: рост составил 432% в 2017 году и составил 35% атак в 2018 году. Такие атаки непросто выполнить, но они становятся все более распространенными с помощью наборов эксплойтов. [47] [48]
Уязвимость
- В этом контексте и повсюду то, что называется «системой», подвергающейся атаке, может быть чем угодно - от отдельного приложения, целого компьютера и операционной системы до большой сети .
- Различные факторы делают систему более уязвимой для вредоносных программ:
Дефекты безопасности в программном обеспечении
Вредоносное ПО использует дефекты безопасности ( ошибки безопасности или уязвимости ) в конструкции операционной системы, в приложениях (таких как браузеры, например, более старые версии Microsoft Internet Explorer, поддерживаемые Windows XP [49] ) или в уязвимых версиях подключаемых модулей браузера, таких как Adobe Flash Player , Adobe Acrobat или Reader или Java SE . [50] [51] Иногда даже установка новых версий таких плагинов не приводит к автоматическому удалению старых версий. В рекомендациях по безопасности от поставщиков подключаемых модулей объявляются обновления, связанные с безопасностью. [52] Распространенным уязвимостям присваиваются идентификаторы CVE, и они перечислены в Национальной базе данных уязвимостей США . Secunia PSI [53] является примером бесплатного для личного использования программного обеспечения, которое проверяет ПК на наличие уязвимых устаревших программ и пытается его обновить.
Авторы вредоносных программ нацелены на ошибки или лазейки, чтобы использовать их. Распространенным методом является использование уязвимости переполнения буфера , когда программное обеспечение, предназначенное для хранения данных в указанной области памяти, не препятствует доставке большего количества данных, чем может вместить буфер. Вредоносное ПО может предоставлять данные, которые переполняют буфер, с вредоносным исполняемым кодом или данными после завершения; при обращении к этой полезной нагрузке она выполняет то, что определяет злоумышленник, а не легитимное программное обеспечение.
Защита от вредоносных программ представляет собой постоянно растущую угрозу для обнаружения вредоносных программ. [54] Согласно отчету Symantec об угрозах интернет-безопасности (ISTR) за 2018 г., количество вариантов вредоносного ПО в 2017 г. достигло 669 947 865, что вдвое больше, чем в 2016 г. [54]
Небезопасный дизайн или ошибка пользователя
Ранние ПК нужно было загружать с дискет . Когда встроенные жесткие диски стали обычным явлением, операционная система обычно запускалась с них, но можно было загрузиться с другого загрузочного устройства, если оно доступно, например с дискеты, CD-ROM , DVD-ROM, USB-накопителя или сети. . Обычно компьютер настраивали для загрузки с одного из этих устройств, когда они доступны. Обычно ничего не было бы доступно; пользователь намеренно вставлял, скажем, компакт-диск в оптический привод, чтобы загрузить компьютер каким-то особым образом, например, чтобы установить операционную систему. Даже без загрузки компьютеры можно настроить для выполнения программного обеспечения на некоторых носителях, как только они станут доступны, например, для автозапуска компакт-диска или USB-устройства, когда он вставлен.
Распространители вредоносных программ обманом заставляли пользователя загружаться или запускаться с зараженного устройства или носителя. Например, вирус может заставить зараженный компьютер добавить код автозапуска на любой USB-накопитель, подключенный к нему. Любой, кто затем подключил флешку к другому компьютеру, настроенному на автозапуск с USB, в свою очередь заразился бы и таким же образом передал бы инфекцию. [55] В более общем смысле, любое устройство, которое подключается к USB-порту - даже лампы, вентиляторы, динамики, игрушки или периферийные устройства, такие как цифровой микроскоп - можно использовать для распространения вредоносных программ. Устройства могут быть заражены во время производства или поставки, если контроль качества неадекватен. [55]
Этой формы заражения можно в значительной степени избежать, настроив компьютеры по умолчанию на загрузку с внутреннего жесткого диска, если таковой имеется, а не на автозапуск с устройств. [55] Преднамеренная загрузка с другого устройства всегда возможна путем нажатия определенных клавиш во время загрузки.
Старое программное обеспечение электронной почты автоматически открывало HTML-письмо, содержащее потенциально вредоносный код JavaScript . Пользователи также могут выполнять замаскированные вредоносные вложения электронной почты. Report 2018 Data Breach Исследования по Verizon , цитируется CSO Online , утверждает , что письма являются основным методом доставки вредоносных программ, что составляет 92% от вредоносных программ доставки по всему миру. [56] [57]
Чрезмерно привилегированные пользователи и чрезмерно привилегированный код
В вычислениях привилегия означает, насколько пользователю или программе разрешено изменять систему. В плохо спроектированных компьютерных системах и пользователям, и программам может быть назначено больше привилегий, чем они должны иметь, и вредоносные программы могут воспользоваться этим. Вредоносные программы делают это двумя способами: через сверхпривилегированных пользователей и чрезмерно привилегированный код. [ необходима цитата ]
Некоторые системы позволяют всем пользователям изменять свои внутренние структуры, и сегодня такие пользователи будут считаться пользователями с чрезмерными привилегиями . Это была стандартная рабочая процедура для первых микрокомпьютеров и домашних компьютерных систем, где не было различия между администратором или пользователем root и обычным пользователем системы. В некоторых системах пользователи, не являющиеся администраторами, изначально имеют чрезмерные привилегии в том смысле, что им разрешено изменять внутренние структуры системы. В некоторых средах пользователи имеют чрезмерные привилегии, потому что им был неправомерно предоставлен статус администратора или эквивалентный статус. [58]
Некоторые системы позволяют коду, выполняемому пользователем, получать доступ ко всем правам этого пользователя, что известно как сверхпривилегированный код. Это также была стандартная процедура для первых микрокомпьютеров и домашних компьютерных систем. Вредоносное ПО, работающее как сверхпривилегированный код, может использовать эту привилегию для подрыва системы. Почти все популярные в настоящее время операционные системы, а также многие приложения для создания сценариев допускают код слишком большого количества привилегий, обычно в том смысле, что когда пользователь выполняет код, система предоставляет этому коду все права этого пользователя. Это делает пользователей уязвимыми для вредоносных программ в виде вложений электронной почты , которые могут быть или не могут быть замаскированы. [ необходима цитата ]
Использование той же операционной системы
- Однородность может быть уязвимостью. Например, когда все компьютеры в сети работают под одной и той же операционной системой, один червь может использовать их все: [59] В частности, Microsoft Windows или Mac OS X занимают такую большую долю рынка, что использованная уязвимость концентрация на любой из операционных систем может разрушить большое количество систем. Внедрение разнообразия исключительно ради устойчивости, такое как добавление компьютеров Linux, может увеличить краткосрочные затраты на обучение и обслуживание. Однако до тех пор, пока все узлы не являются частью одной и той же службы каталогов для аутентификации, наличие нескольких разных узлов может предотвратить полное отключение сети и позволить этим узлам помочь с восстановлением зараженных узлов. Такое раздельное функциональное резервирование могло бы избежать затрат на полное отключение за счет повышения сложности и снижения удобства использования с точки зрения аутентификации с единым входом. [ необходима цитата ]
Стратегии защиты от вредоносных программ
По мере того, как атаки вредоносных программ становятся все более частыми, внимание стало переключаться с защиты от вирусов и шпионского ПО на защиту от вредоносных программ и программ, специально разработанных для борьбы с вредоносными программами. (Другие превентивные меры и меры восстановления, такие как методы резервного копирования и восстановления, упомянуты в статье о компьютерном вирусе ). Перезагрузка для восстановления программного обеспечения также полезна для защиты от вредоносных программ путем отката вредоносных изменений.
Антивирусное и антивирусное программное обеспечение
Конкретный компонент антивирусного и антивирусного программного обеспечения, обычно называемый сканером при доступе или в режиме реального времени, подключается глубоко к ядру или ядру операционной системы и функционирует аналогично тому, как само определенное вредоносное ПО пытается попытаться работать, хотя и с информированного разрешения пользователя для защиты системы. Каждый раз, когда операционная система обращается к файлу, сканер при доступе проверяет, является ли файл «легитимным» файлом или нет. Если файл определен сканером как вредоносный, операция доступа будет остановлена, файл будет обработан сканером заранее определенным образом (как была настроена антивирусная программа во время / после установки), а пользователь будет уведомлен. [ необходима цитата ] Это может иметь значительное влияние на производительность операционной системы, хотя степень воздействия зависит от того, насколько хорошо был запрограммирован сканер. Цель состоит в том, чтобы остановить любые операции, которые вредоносная программа может предпринять в системе, до того, как они произойдут, в том числе действия, которые могут использовать ошибки или вызвать неожиданное поведение операционной системы.
Антивирусные программы могут бороться с вредоносными программами двумя способами:
- Они могут обеспечить защиту в реальном времени от установки вредоносного ПО на компьютер. Этот тип защиты от вредоносных программ работает так же, как и антивирусная защита, поскольку антивирусное программное обеспечение сканирует все входящие сетевые данные на наличие вредоносных программ и блокирует любые угрозы, с которыми оно сталкивается.
- Программы защиты от вредоносных программ могут использоваться исключительно для обнаружения и удаления вредоносных программ, которые уже были установлены на компьютере. Этот тип программного обеспечения для защиты от вредоносных программ сканирует содержимое реестра Windows, файлы операционной системы и установленные программы на компьютере и предоставляет список любых обнаруженных угроз, позволяя пользователю выбрать, какие файлы удалить, сохранить или сравнить. из этого списка в список известных компонентов вредоносного ПО, удалив соответствующие файлы. [60]
Защита от вредоносных программ в реальном времени работает так же, как и антивирусная защита в реальном времени: программное обеспечение сканирует файлы на диске во время загрузки и блокирует активность компонентов, которые, как известно, представляют вредоносные программы. В некоторых случаях он также может перехватывать попытки установить элементы автозагрузки или изменить настройки браузера. Поскольку многие компоненты вредоносного ПО устанавливаются в результате эксплойтов браузера или ошибки пользователя, использование программного обеспечения безопасности (некоторые из которых являются антивирусными, хотя многие - нет) для "песочницы" браузеров (по сути, изолируют браузер от компьютера и, следовательно, любые вредоносные программы вызванное изменение) также может быть эффективным средством ограничения любого нанесенного ущерба. [61]
Примеры антивирусного и антивирусного программного обеспечения Microsoft Windows включают дополнительный Microsoft Security Essentials [62] (для Windows XP, Vista и Windows 7) для защиты в реальном времени, средство удаления вредоносных программ Windows [63] (теперь входит в состав Windows). (безопасность) Обновления на « Patch Tuesday », второй вторник каждого месяца), и Windows Defender (опциональные загрузки в случае Windows XP, включая функциональные возможности MSE в случае Windows 8 и более поздних версий). [64] Кроме того, несколько эффективных антивирусных программ доступны для бесплатной загрузки из Интернета (обычно ограничены некоммерческим использованием). [65] Тесты показали, что некоторые бесплатные программы могут конкурировать с коммерческими. [65] [66] [67] Средство проверки системных файлов Microsoft можно использовать для проверки и восстановления поврежденных системных файлов.
Некоторые вирусы отключают восстановление системы и другие важные инструменты Windows, такие как диспетчер задач и командную строку . Многие такие вирусы можно удалить, перезагрузив компьютер, войдя в безопасный режим Windows с подключением к сети [68], а затем с помощью системных инструментов или Microsoft Safety Scanner . [69]
Аппаратные имплантаты могут быть любого типа, поэтому общего способа их обнаружения не существует.
Сканирование безопасности веб-сайтов
Поскольку вредоносное ПО также наносит ущерб взломанным веб-сайтам (нарушая репутацию, занося в черный список в поисковых системах и т. Д.), Некоторые веб-сайты предлагают сканирование уязвимостей. [70] Такое сканирование проверяет веб-сайт, обнаруживает вредоносное ПО, может обнаружить устаревшее программное обеспечение и сообщить об известных проблемах безопасности.
Изоляция «воздушный зазор» или «параллельная сеть»
В крайнем случае, компьютеры могут быть защищены от вредоносных программ, а зараженные компьютеры могут не распространять достоверную информацию, создав «воздушный зазор» (т.е. полностью отключив их от всех других сетей). Однако в некоторых ситуациях вредоносное ПО все же может преодолеть воздушный зазор. Stuxnet - это пример вредоносного ПО, которое попадает в целевую среду через USB-накопитель.
«AirHopper», [71], «BitWhisper», [72] «GSMem» [73] и «Fansmitter» [74] - это четыре метода, предложенные исследователями, которые могут передавать данные с компьютеров с воздушными зазорами с помощью электромагнитной, тепловой и акустической эмиссии.
Нежелательное ПО
Grayware (иногда обозначаемое как greyware ) - это термин, применяемый к нежелательным приложениям или файлам, которые не классифицируются как вредоносные, но могут ухудшить производительность компьютеров и создать угрозу безопасности. [75]
Он описывает приложения, которые ведут себя раздражающе или нежелательно, но при этом менее серьезны или доставляют беспокойство, чем вредоносные программы. К нежелательным программам относятся шпионское , рекламное ПО , мошеннические программы дозвона , программы-шутки, инструменты удаленного доступа и другие нежелательные программы, которые могут повредить работу компьютеров или причинить неудобства. Термин вошел в употребление примерно в 2004 году. [76]
Другой термин, потенциально нежелательная программа (PUP) или потенциально нежелательное приложение (PUA), [77] относится к приложениям, которые будут считаться нежелательными, несмотря на то, что они часто загружались пользователем, возможно, после того, как он не прочитал соглашение о загрузке. ПНП включают шпионское, рекламное ПО и мошеннические программы дозвона. Многие продукты безопасности классифицируют неавторизованные генераторы ключей как нежелательные программы, хотя они часто несут настоящие вредоносные программы в дополнение к их предполагаемой цели.
Производитель программного обеспечения Malwarebytes перечисляет несколько критериев для классификации программы как ПНП. [78] Некоторые типы рекламного ПО (использующие украденные сертификаты) отключают защиту от вредоносных программ и вирусов; доступны технические средства правовой защиты. [45]
История
До того, как доступ в Интернет получил широкое распространение, вирусы распространялись на персональные компьютеры, заражая исполняемые программы или загрузочные секторы гибких дисков. Вставляя свою копию в инструкции машинного кода в этих программах или загрузочных секторах , вирус заставляет себя запускаться всякий раз, когда запускается программа или загружается диск. Ранние компьютерные вирусы были написаны для Apple II и Macintosh , но они получили более широкое распространение с преобладанием IBM PC и системы MS-DOS . Первый вирус IBM PC в «дикой природе» был загрузочный сектор вирус дублированный (с) Brain , [79] создана в 1986 году братьями Фарук Альви в Пакистане. [80]
Первые черви, сетевые инфекционные программы, возникли не на персональных компьютерах, а в многозадачных системах Unix . Первым широко известным червем был Internet Worm 1988 года, заразивший системы SunOS и VAX BSD . В отличие от вируса, этот червь не внедрялся в другие программы. Вместо этого он использовал дыры в безопасности ( уязвимости ) в программах сетевых серверов и начал работать как отдельный процесс . [81] То же самое поведение используется и сегодняшними червями. [82] [83]
С появлением в 1990-х годах платформы Microsoft Windows и гибких макросов ее приложений стало возможным писать опасный код на макроязыке Microsoft Word и аналогичных программ. Эти макровирусы заражают документы и шаблоны, а не приложения ( исполняемые файлы ), но полагаются на тот факт, что макросы в документе Word представляют собой форму исполняемого кода. [84]
Академическое исследование
Идея самовоспроизводящейся компьютерной программы восходит к первоначальным теориям о работе сложных автоматов. [85] Джон фон Нейман показал, что теоретически программа может воспроизводить себя. Это составляло правдоподобный результат в теории вычислимости . Фред Коэн экспериментировал с компьютерными вирусами и подтвердил постулат Неймана, а также исследовал другие свойства вредоносных программ, такие как обнаруживаемость и самообфускация с использованием элементарного шифрования. Его докторская диссертация 1987 года была посвящена компьютерным вирусам. [86] Комбинация криптографической технологии как части полезной нагрузки вируса с использованием ее в целях атаки была инициирована и исследована с середины 1990-х годов и включает первоначальные идеи программ-вымогателей и уклонения. [87]
Смотрите также
- Ботнет
- Взлом браузера
- Сравнение антивирусного ПО
- Компьютерная безопасность
- Кибершпионаж
- Алгоритм генерации домена
- Вредоносное ПО для Facebook
- Папка-переплет
- Кража личных данных
- Промышленный шпионаж
- Вредоносное ПО для Linux
- Вредоносная реклама
- Фишинг
- Рискованное ПО
- Безопасность в веб-приложениях
- Социальная инженерия (безопасность)
- Нацеленная угроза
- Мошенничество со службой технической поддержки - нежелательные телефонные звонки от фальшивого сотрудника службы технической поддержки, утверждающего, что на компьютере есть вирус или другие проблемы.
- Программное обеспечение телеметрии
- Typosquatting
- Причины перегрузки веб-сервера
- Веб-атакующий
- Зомби (информатика)
Рекомендации
- ^ «Определение вредоносного ПО: FAQ» . technet.microsoft.com . Проверено 10 сентября 2009 года .
- ^ «Ненаправленная атака на критически важную инфраструктуру» (PDF) . Группа готовности к компьютерным чрезвычайным ситуациям США (Us-cert.gov) . Проверено 28 сентября 2014 года .
- ^ Кляйн, Тобиас (11 октября 2011 г.). Дневник охотника за ошибками: экскурсия по дебрям программной безопасности . Пресс без крахмала. ISBN 978-1-59327-415-3.
- ^ а б Руссинович, Марк (31 октября 2005 г.). «Sony, руткиты и управление цифровыми правами зашли слишком далеко» . Блог Марка . Microsoft MSDN . Проверено 29 июля 2009 года .
- ^ «Защитите свой компьютер от вредоносных программ» . OnGuardOnline.gov. 11 октября 2012 . Проверено 26 августа 2013 года .
- ^ Типтон, Гарольд Ф. (26 декабря 2002 г.). Справочник по управлению информационной безопасностью . CRC Press. ISBN 978-1-4200-7241-9.
- ^ «Вредоносное ПО» . ФЕДЕРАЛЬНАЯ ТОРГОВАЯ КОМИССИЯ - ИНФОРМАЦИЯ ДЛЯ ПОТРЕБИТЕЛЯ . Проверено 27 марта 2014 года .
- ^ Эрнандес, Педро. «Microsoft обещает бороться с правительственным кибершпионажем» . eWeek . Проверено 15 декабря 2013 года .
- ^ Ковач, Эдуард. «Вредоносное ПО MiniDuke, используемое против европейских правительственных организаций» . Софтпедия . Проверено 27 февраля 2013 года .
- ^ «Революция вредоносного ПО: изменение цели» . Март 2007 г.
- ^ «Детское порно: абсолютное зло вредоносного ПО» . Ноябрь 2009 г.
- ↑ PC World - Zombie PCs: Silent, Growing Threat .
- ^ «Одноранговая информация» . ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СЕВЕРНОЙ КАРОЛИНЫ . Проверено 25 марта 2011 года .
- ^ Ричардсон, Ронни; Норт, Макс (1 января 2017 г.). «Программы-вымогатели: развитие, смягчение и предотвращение» . Обзор международного менеджмента . 13 (1): 10–21.
- ^ Фрулингер, Джош (1 августа 2017 г.). «5 крупнейших атак программ-вымогателей за последние 5 лет» . ОГО . Проверено 23 марта 2018 года .
- ^ «Еще один способ, которым Microsoft разрушает экосистему вредоносных программ» . Архивировано из оригинального 20 сентября 2015 года . Проверено 18 февраля 2015 года .
- ^ «Shamoon - это новейшее вредоносное ПО, нацеленное на энергетический сектор» . Проверено 18 февраля 2015 года .
- ^ «Вредоносная программа, убивающая компьютеры, использованная в атаке Sony, является тревожным сигналом» . Проверено 18 февраля 2015 года .
- ^ «компьютерный вирус - Британская энциклопедия» . Britannica.com . Проверено 28 апреля 2013 года .
- ^ «Все о вредоносных программах и конфиденциальности информации - TechAcute» . techacute.com . 31 августа 2014 г.
- ^ «Что такое вирусы, черви и троянские кони?» . Университет Индианы . Попечители Университета Индианы . Проверено 23 февраля 2015 года .
- ^ Питер Сор (3 февраля 2005 г.). Искусство исследования и защиты компьютерных вирусов . Pearson Education. п. 204. ISBN 978-0-672-33390-3.
- ^ «Восстание программ-вымогателей для Android, исследование» (PDF) . ESET .
- ^ «Состояние вредоносного ПО, исследование» (PDF) . Malwarebytes .
- ^ O'Kane, П. Sezer, С. и Carlin, D. (2018), Эволюция вымогателей. IET Netw., 7: 321-327. https://doi.org/10.1049/iet-net.2017.0207
- ^ Ландвер, К. Э; А. Р. Бык; Дж. П. Макдермотт; W. S Choi (1993). Таксономия недостатков безопасности компьютерных программ с примерами . Документ DTIC . Проверено 5 апреля 2012 года .
- ^ «Определение троянского коня» . Проверено 5 апреля 2012 года .
- ^ «Троянский конь» . Вебопедия . Проверено 5 апреля 2012 года .
- ^ «Что такое троянский конь? - Определение с сайта Whatis.com» . Проверено 5 апреля 2012 года .
- ^ "Троянский конь: [придуман Хакером Массачусетского технологического института, ставшим шпионом АНБ Дэном Эдвардсом] Н." Архивировано из оригинала 5 июля 2017 года . Проверено 5 апреля 2012 года .
- ^ «В чем разница между вирусами, червями и троянскими конями?» . Symantec Corporation . Проверено 10 января 2009 года .
- ^ «VIRUS-L / comp.virus: часто задаваемые вопросы (FAQ) v2.00 (Вопрос B3: Что такое троянский конь?)» . 9 октября 1995 . Проверено 13 сентября 2012 года .
- ^ «Троянец Proton Mac имеет подписи для подписи кода Apple, проданные клиентам за 50 тысяч долларов» . AppleInsider.
- ^ «Вредоносное ПО, отличное от Windows» . Betanews. 24 августа 2017.
- ^ Макдауэлл, Минди. «Понимание скрытых угроз: руткиты и ботнеты» . US-CERT . Проверено 6 февраля 2013 года .
- ^ "Catb.org" . Catb.org . Проверено 15 апреля 2010 года .
- ^ Винсентас (11 июля 2013 г.). «Вредоносное ПО в SpyWareLoop.com» . Цикл шпионского ПО . Проверено 28 июля 2013 года .
- ^ Персонал, SPIEGEL (29 декабря 2013 г.). "Внутри TAO: Документы раскрывают главный взломщик АНБ" . Spiegel Online . SPIEGEL . Проверено 23 января 2014 года .
- ^ Эдвардс, Джон. «Основные угрозы зомби, троянских коней и ботов» . ИТ-безопасность. Архивировано из оригинала 9 февраля 2017 года . Проверено 25 сентября 2007 года .
- ^ Аппельбаум, Иаков (29 декабря 2013 г.). «Покупка шпионского снаряжения: в каталоге рекламируется набор инструментов АНБ» . Spiegel Online . SPIEGEL . Проверено 29 декабря 2013 года .
- ^ «Ускользающее вредоносное ПО становится мейнстримом - Help Net Security» . net-security.org . 22 апреля 2015.
- ^ Кират, Дилунг; Винья, Джованни; Крюгель, Кристофер (2014). Barecloud: уклончивое обнаружение вредоносных программ на основе анализа с нуля . ACM. С. 287–301. ISBN 978-1-931971-15-7.
Свободно доступен по адресу: «Barecloud: уклончивое обнаружение вредоносных программ на основе анализа с нуля» (PDF) . - ^ Четыре наиболее распространенных метода уклонения, используемых вредоносным ПО . 27 апреля 2015 г.
- ^ Янг, Адам; Юнг, Моти (1997). «Отказ от взлома пароля: возможность уклончивого электронного шпионажа». Symp. по безопасности и конфиденциальности . IEEE. С. 224–235. ISBN 0-8186-7828-3.
- ^ а б Кейси, Генри Т. (25 ноября 2015 г.). «Последнее рекламное ПО отключает антивирусное ПО» . Руководство Тома . Yahoo.com . Проверено 25 ноября 2015 года .
- ^ Кабай, Кшиштоф; Кавильоне, Лука; Мазурчик, Войцех; Вендзель, Штеффен; Вудворд, Алан; Зандер, Себастьян (май 2018). «Новые угрозы сокрытия информации: дорога вперед». ИТ-специалист . 20 (3): 31–39. arXiv : 1801.00694 . DOI : 10.1109 / MITP.2018.032501746 . S2CID 22328658 .
- ^ «Защищенный вход в систему Penn State WebAccess» . webaccess.psu.edu . DOI : 10.1145 / 3365001 . Проверено 29 февраля 2020 года .
- ^ «Методы уклонения от динамического анализа вредоносных программ: обзор» . ResearchGate . Проверено 29 февраля 2020 года .
- ^ «Глобальный веб-браузер ... Тенденции безопасности» (PDF) . Лаборатория Касперского. Ноябрь 2012 г.
- ^ Рашид, Фахмида Ю. (27 ноября 2012 г.). «Обновленные браузеры по-прежнему уязвимы для атак, если плагины устарели» . pcmag.com. Архивировано из оригинала 9 апреля 2016 года . Проверено 17 января 2013 года .
- ^ Данчев, Данчо (18 августа 2011 г.). «Касперский: на каждом компьютере обнаружено 12 различных уязвимостей» . pcmag.com.
- ^ «Бюллетени и рекомендации по безопасности Adobe» . Adobe.com . Проверено 19 января 2013 года .
- ^ Рубенкинг, Нил Дж. «Обзор и рейтинг Secunia Personal Software Inspector 3.0» . PCMag.com . Проверено 19 января 2013 года .
- ^ а б Сяо, Фэй; Солнце, Йи; Ду, Дунгао; Ли, Сюэлей; Луо, Мин (21 марта 2020 г.). «Новый метод классификации вредоносных программ, основанный на критическом поведении» . Математические проблемы инженерии . 2020 : 1–12. DOI : 10.1155 / 2020/6804290 . ISSN 1024-123X .
- ^ а б в «USB-устройства, распространяющие вирусы» . CNET . CBS Interactive . Проверено 18 февраля 2015 года .
- ^ https://enterprise.verizon.com/resources/reports/DBIR_2018_Report.pdf
- ^ Фрулингер, Джош (10 октября 2018 г.). «Основные факты, цифры и статистика по кибербезопасности за 2018 год» . CSO Online . Проверено 20 января 2020 года .
- ^ «Вредоносное ПО, вирусы, черви, троянские программы и шпионское ПО» . list.ercacinnican.tk . Проверено 14 ноября 2020 года .
- ^ "LNCS 3786 - Ключевые факторы, влияющие на заражение червем", У. Канлайасири, 2006, Интернет (PDF): SL40-PDF .
- ^ "Как работает антивирусное программное обеспечение?" . Проверено 16 октября 2015 года .
- ^ Суппая, Муругия; Скарфоне, Карен (июль 2013 г.). «Руководство по предотвращению и обработке вредоносных программ для настольных и портативных компьютеров». Национальный институт стандартов и технологий. DOI : 10.6028 / nist.sp.800-83r1 . Цитировать журнал требует
|journal=
( помощь ) - ^ «Основы безопасности Microsoft» . Microsoft . Проверено 21 июня 2012 года .
- ^ «Средство удаления вредоносных программ» . Microsoft. Архивировано из оригинального 21 июня 2012 года . Проверено 21 июня 2012 года .
- ^ «Защитник Windows» . Microsoft. Архивировано из оригинального 22 июня 2012 года . Проверено 21 июня 2012 года .
- ^ а б Рубенкинг, Нил Дж. (8 января 2014 г.). «Лучший бесплатный антивирус 2014 года» . pcmag.com.
- ^ «Бесплатные антивирусные профили в 2018 году» . antivirusgratis.org . Архивировано 10 августа 2018 года . Дата обращения 13 февраля 2020 .
- ^ «Быстро определить вредоносное ПО, запущенное на вашем компьютере» . techadvisor.co.uk .
- ^ «Как мне удалить компьютерный вирус?» . Microsoft . Проверено 26 августа 2013 года .
- ^ «Сканер безопасности Microsoft» . Microsoft . Проверено 26 августа 2013 года .
- ^ "Пример страницы диагностики безопасного просмотра Google.com" . Проверено 19 января 2013 года .
- ^ М. Гури, Г. Kedma, А. Kachlon и Y. Elovici, «AirHopper: Преодолевая воздушный зазор между изолированных сетей и мобильных телефоновиспользованием радиочастот,» вредоносных и нежелательных программ: Северная Америка (Malware), 2014 9 - я Международная Конференция , Фахардо, PR, 2014, стр. 58-67.
- ^ М. Гури, М. Мониц, Ю. Мирский и Y. Elovici, "BitWhisper: Скрытое канала сигнализации между Air-гэпом компьютерамипомощью Thermal манипуляций," 2015 Фундаментов IEEE Computer Security двадцать восьмого симпозиум ., Verona, 2015, стр 276-289 .
- ^ GSMem: Эксфильтрация данных с компьютеров с воздушным зазором на частотах GSM. Мордехай Гури, Ассаф Кахлон, Офер Хассон, Габи Кедма, Исроэль Мирски и Юваль Еловичи, Университет Бен-Гуриона в Негеве; Симпозиум по безопасности USENIX 2015
- ^ Ханспах, Майкл; Гетц, Майкл; Дайдакулов Андрей; Еловичи, Юваль (2016). "Fansmitter: Акустическая эксфильтрация данных с (без громкоговорителей) компьютеров с воздушным зазором". arXiv : 1606.05915 [ cs.CR ].
- ^ Винсентас (11 июля 2013 г.). «Grayware в SpyWareLoop.com» . Цикл шпионского ПО . Архивировано из оригинала 15 июля 2014 года . Проверено 28 июля 2013 года .
- ^ «Энциклопедия угроз - стандартное нежелательное ПО» . Trend Micro . Проверено 27 ноября 2012 года .
- ^ «Рейтинг лучших антивирусных решений» . Арстехника. 15 декабря 2009 . Проверено 28 января 2014 .
- ^ «Критерии ЩЕНКА» . Malwarebytes.org . Проверено 13 февраля 2015 года .
- ^ «Ремонт вирусов в загрузочном секторе» . Antivirus.about.com. 10 июня 2010. Архивировано из оригинала 12 января 2011 года . Проверено 27 августа 2010 года .
- ^ Авойн, Гильдас; Паскаль Жюно; Филипп Охслин (2007). Безопасность компьютерных систем: основные понятия и решаемые упражнения . EFPL Press. п. 20. ISBN 978-1-4200-4620-5.
Первый компьютерный вирус приписывают двум братьям, Баситу Фаруку Альви и Амджаду Фаруку Альви, из Пакистана.
- ^ Уильям А. Хендрик (4 сентября 2014 г.). «История компьютерных вирусов» . Регистр . Проверено 29 марта 2015 года .
- ^ «Криптомайнинговый червь MassMiner использует множество уязвимостей - Security Boulevard» . Бульвар Безопасности . 2 мая 2018 . Проверено 9 мая 2018 .
- ^ «Вредоносное ПО: типы, защита, предотвращение, обнаружение и удаление - полное руководство» . EasyTechGuides .
- ^ «Остерегайтесь вирусов для документов Word» . us.norton.com . Проверено 25 сентября 2017 года .
- ↑ Джон фон Нейман, «Теория самовоспроизводящихся автоматов», Часть 1: Стенограммы лекций, прочитанных в Университете Иллинойса, декабрь 1949 г., Редактор: А. В. Беркс, Университет Иллинойса, США, 1966.
- ^ Фред Коэн, «Компьютерные вирусы», докторская диссертация, Университет Южной Калифорнии, ASP Press, 1988.
- ^ Янг, Адам; Юнг, Моти (2004). Вредоносная криптография - разоблачение криптовирологии . Вайли. С. 1 –392. ISBN 978-0-7645-4975-5.
Внешние ссылки
- Вредоносное ПО в Curlie
- Дополнительная литература: исследования и документы о вредоносном ПО на IDMARCH (Международный архив цифровых носителей)
- Расширенная очистка от вредоносных программ - видео Microsoft