13 различных типов вредоносных программ
Вредоносное ПО (также известное как вредоносная программа) - это любая часть программы, написанная с намерением нанести вред устройствам и данным. Она создается с определенной целью. Хотя цель ограничена только воображением создателя, большинство вредоносных программ создаются для кражи данных, учетных данных и платежной информации.
Атаки вредоносных программ могут происходить на всех видах устройств и операционных систем, включая iPhone, телефоны Android, Macbook, Windows PC и даже Linux.
По данным SonicWall Capture Labs, ежегодно совершается более 5 миллиардов атак вредоносного ПО. Около 92% из них доставляются по электронной почте. За последние несколько лет резко увеличился объем вредоносных программ для мобильных устройств и macOS.
Сегодня еженедельно в любой момент времени более 18 миллионов веб-сайтов заражаются вредоносным кодом, 34% предприятий подвергаются вредоносным атакам, а 80% финансовых учреждений ежегодно становятся мишенью для вредоносных программ.
С появлением машинного обучения и целевых фишинговых писем атаки вредоносного ПО стали еще более изощренными и сложными для распознавания.
Поэтому важно распознавать все виды вредоносных программ, которые могут повлиять на ваши личные или деловые данные. Ниже мы перечислили несколько различных типов вредоносных программ, которые широко используются против корпоративных и правительственных веб-сайтов для сбора конфиденциальной информации и нарушения их работы. Все они ведут себя определенным образом и имеют уникальные характеристики.
13. Черви
Пример: Conficker (поразил домашние и офисные компьютеры Windows в более чем 190 странах).
Червь может распространяться или самовоспроизводиться с одного устройства на другое без вмешательства человека. Этому типу вредоносного ПО даже не нужно прикрепляться к какому-либо приложению, чтобы нанести ущерб.
Оно может попасть в виде вложений в мгновенные сообщения или спам по электронной почте, а также может быть передано через уязвимости в программном обеспечении. После установки на компьютер он тихо работает в фоновом режиме без ведома пользователя.
Он может изменять/удалять существующие файлы или внедрять вредоносный код в операционную систему. Это облегчает злоумышленникам установку бэкдора, кражу данных и получение контроля над устройством и его системными настройками.
Некоторые черви разработаны с единственной целью - истощить системные ресурсы. Они могут создавать миллионы копий самих себя снова и снова, истощая пространство для хранения данных или пропускную способность, перегружая общую сеть.
Поскольку черви не требуют наличия программы-хоста, они более заразны, чем обычные компьютерные вирусы. Они заражают не только локальные машины, но и серверы и клиентов в сети.
Одним из популярных примеров компьютерного червя является ILOVEYOU. Также называемый Log Bug, в 2000 году он заразил более 50 миллионов компьютеров под управлением Windows. Он распространился как лесной пожар благодаря своей способности получать доступ к адресам электронной почты, найденным в списке контактов пользователя Outlook, и отправлять свою копию на все эти адреса.
12. Кейлоггер
Пример: Backdoor.Coreflood (записывает каждое нажатие клавиши и отправляет эти данные злоумышленникам)
Кейлоггер - это программное или аппаратное устройство, предназначенное для скрытого мониторинга и записи всех нажатий клавиш. Он создает записи всего, что вы набираете на экране компьютера или смартфона. Каждая запись хранится в файле, который может быть извлечен позднее.
Большинство кейлоггеров записывают такие данные, как длительность нажатия клавиш и скорость нажатия, но некоторые записывают все, что находится в буфере обмена пользователя, GPS-данные, звонки, записи с микрофона и камеры.
В большинстве случаев кейлоггеры используются в законных целях, например, для обратной связи при разработке программного обеспечения и изучения динамики нажатия клавиш или взаимодействия человека и компьютера. Однако при использовании во вредных целях кейлоггеры могут служить в качестве вредоносного программного обеспечения.
Злоумышленники могут установить кейлоггеры на ваше устройство (без вашего ведома), чтобы украсть конфиденциальную информацию, пароли и финансовые данные. Независимо от того, используются ли кейлоггеры со злым умыслом или в законных целях, вы должны быть осведомлены о данных, которые кейлоггеры перехватывают с вашего устройства.
11. Руткиты
Пример: Stuxnet (по сообщениям, разрушил 1/5 часть ядерных центрифуг Ирана, заразил 200 000 промышленных компьютеров и вызвал физическую деградацию 1 000 машин).
Руткит - это набор вредоносных инструментов, предоставляющих несанкционированный доступ к программному обеспечению или всей операционной системе. Он разработан таким образом, чтобы оставаться скрытым на целевой машине. Хотя вы можете не заметить руткиты, они остаются активными в фоновом режиме, предоставляя злоумышленникам возможность удаленно управлять вашим устройством.
Руткиты могут содержать множество различных программ - от скриптов, позволяющих злоумышленникам украсть ваши пароли и банковскую информацию, до модулей, позволяющих отключить защитное ПО и отслеживать все, что вы вводите на компьютере.
Поскольку руткиты могут отключать программное обеспечение, установленное на вашем компьютере, их очень трудно обнаружить. Они могут жить на вашем устройстве в течение нескольких недель или даже месяцев, нанося существенный ущерб.
Их можно обнаружить с помощью альтернативной надежной операционной системы, сканирования различий, сигнатурного сканирования, анализа дампа памяти и поведенческих методов.
Удаление может быть затруднено или практически невозможно, особенно если руткит скрывается в ядре. В таких случаях единственный способ полностью удалить руткит - стереть все и установить новую операционную систему. Ситуация становится еще хуже, когда вы имеете дело со встроенными руткитами - вам может потребоваться замена некоторых частей оборудования.
10. Бесфайловые вредоносные программы
Пример: WannaMine (добывает криптовалюту на хост-устройстве)
Бесфайловые вредоносные программы появились в 2017 году как основной тип атак. Для осуществления атак они используют программы, интегрированные в Microsoft Windows. Более конкретно, для выполнения атак они используют PowerShell - программу автоматизации задач и управления конфигурацией, разработанную компанией Microsoft.
Вредоносные программы этого типа не хранятся и не устанавливаются непосредственно на устройство. Вместо этого они попадают прямо в память (RAM), и вредоносный код никогда не касается вторичного хранилища (SSD или HDD).
Как следует из названия, они не зависят от файлов и не оставляют следов. Это значительно затрудняет выявление и удаление безфайловых вредоносных программ - без исполняемого файла у них нет сигнатур или шаблонов, которые могли бы обнаружить антивирусные инструменты.
Доказано, что безфайловые вредоносные программы эффективно обходят такие стратегии компьютерной криминалистики, как обнаружение сигнатур, анализ шаблонов, временные метки, белые списки на основе файлов и проверка аппаратного обеспечения. Хотя они могут быть обнаружены современными, сложными решениями безопасности.
А поскольку они предназначены для работы только в оперативной памяти, их долговечность сохраняется до перезагрузки системы.
9. Adware
Пример: Appearch (вставляет в браузер слишком много рекламы и делает серфинг практически невозможным).
Рекламное ПО, также известное как поддерживающее рекламу программное обеспечение, отображает рекламу на экране компьютера и смартфона, перенаправляет результаты поиска на рекламные сайты и отслеживает данные пользователей в маркетинговых целях.
Основная цель рекламного ПО - получение прибыли за счет показа рекламы пользователям при установке приложений или просмотре веб-страниц.
Иногда термин "рекламное ПО" используется для описания типа вредоносного инструмента, который показывает пользователю назойливую рекламу. Эти объявления бывают различных форм, таких как всплывающее окно, показ баннера, статичное окно, не закрывающееся окно, видео со звуком и т.д.
Хотя они не являются опасными или вредными, они могут сделать ваш компьютер до смешного медленным. Слишком много рекламы на одной веб-странице может сделать ваш браузер неотзывчивым, особенно если вы используете старое устройство.
Помимо замедления работы системы, некоторые рекламные инструменты предназначены для сбора данных о пользователях и их поведении. Они могут отслеживать историю просмотров, поисковые запросы, время, проведенное на определенном сайте, покупки, IP-адреса и информацию об устройстве.
8. Вредоносные боты
Пример: Srizbi (по состоянию на 2008 год это был крупнейший ботнет, ответственный за рассылку более 50% всего спама, рассылаемого другими крупными ботнетами вместе взятыми).
Интернет-боты, также известные как веб-роботы, предназначены для выполнения автоматизированных задач (скриптов) через Интернет. Они могут эффективно выполнять простые и повторяющиеся задачи - например, собирать данные с миллиардов веб-страниц. Появление методов машинного обучения привело к созданию более сложных ботов, способных имитировать поведение человека.
Однако злоумышленники уже давно осознали потенциал ботов и начали использовать их во вредоносных целях. Сегодня значительная часть всех ботов используется для кражи данных и паролей пользователей.
Вредоносные боты могут заражать большое количество устройств. Такая большая сеть устройств, зараженных ботами, называется ботнетом. Ботнеты могут использоваться для проведения DDoS-атак, рассылки спама и кражи данных. Они даже могут позволить злоумышленникам получить доступ к устройству и его соединениям и перегружать серверы до тех пор, пока они не выйдут из строя.
Поскольку ботнеты не имеют большого следа, пользователи могут и не догадываться, что их устройства используются как часть ботнета для рассылки спама. Однако устройство может начать проявлять некоторые симптомы, такие как низкая производительность, частые сбои без видимых причин и медленный доступ в Интернет.
7. Криминальное ПО
Пример: Целевые атаки, отправляемые через SMTP
Криминальное ПО - это любая компьютерная программа, которая автоматизирует киберпреступления и облегчает совершение незаконных действий в Интернете. Эти программы предназначены для автоматизации кражи данных, помогая злоумышленникам получить доступ к финансовым счетам людей в Интернете.
Злоумышленники используют различные методы для кражи конфиденциальных данных с помощью криминального ПО. Например, с помощью скриптов они могут перенаправить веб-браузер пользователя на поддельный веб-сайт, украсть пароли, кэшированные в системе, включить удаленный доступ к приложениям, зашифровать все данные на устройстве или тайно установить регистраторы нажатий клавиш.
Киберпреступность также взяла пример с индустрии облачных вычислений и начала разрабатывать предложения "как услуга".
Преступные программы как услуга позволяют специализироваться в конкретных областях. Это означает, что никто не должен знать, как делать все, и весь процесс может быть осуществлен более эффективно.
Например, вместо того чтобы один злоумышленник руководил всей вредоносной операцией, можно распределить роли между несколькими злоумышленниками, выполняющими разную работу и делящими прибыль. В команду киберпреступников может входить разработчик, пишущий вредоносный скрипт, другой - создающий списки рассылки, третий злоумышленник занимается обслуживанием клиентов (для выкупа), а четвертый превращает ценные данные или валюту в не поддающуюся отслеживанию прибыль.
6. RAM Scraper
Пример: BlackPOS (украл личную информацию 96 миллионов клиентов в 2013 году)
RAM Scraper - это вредоносная программа, которая сканирует основную память зараженных устройств для кражи конфиденциальных данных. Поскольку она нацелена на терминал, используемый для обработки розничных транзакций, ее также называют атакой на точку продажи (POS).
В индустрии платежных карт используется набор стандартов безопасности данных (известных как PCI-DSS), которые требуют сквозного шифрования конфиденциальной информации. Конфиденциальные платежи расшифровываются в оперативной памяти POS для обработки, и именно здесь вредоносная программа RAM Scraper наносит удар. Она использует поиск по регулярным выражениям для сбора данных о платежах в открытом виде. Затем эти данные отправляются на нелегальные серверы callhome.
Впервые об атаке RAM scraping было сообщено в 2008 году американской транснациональной корпорацией финансовых услуг Visa Inc.
Только карты с магнитной полосой уязвимы для этого типа вредоносных программ. Магнитная полоса содержит три дорожки данных: Дорожка 1, Дорожка 2 и Дорожка 3. RAM Scraper использует совпадения выражений для получения доступа к данным карт дорожек 1 и 2 из первичной памяти POS-терминала. Некоторые Scraper используют алгоритм Luhn для определения валидности карты перед эксфильтрацией.
5. Бэкдор
Пример: Titanium (включает сложную последовательность сброса, загрузки и установки страниц, а на заключительном этапе - развертывание троянского бэкдора).
Бэкдор - это скрытая техника обхода обычных процедур аутентификации или шифрования в компьютере или встроенном устройстве. В результате предоставляется доступ к системе или приложению, например, к базам данных или файловым серверам, что дает злоумышленникам возможность удаленно управлять системой и обновлять вредоносное ПО.
Как правило, установка бэкдора достигается за счет использования уязвимых модулей в приложении. Например, устаревшие плагины и пароли по умолчанию могут работать как бэкдоры, если они не обновляются/изменяются пользователем в течение длительного времени.
Малые фирмы особенно уязвимы для атак с использованием бэкдоров, поскольку они не располагают большими финансовыми ресурсами для защиты своего компьютера или выявления успешных атак. Именно поэтому более 40% кибератак направлены на малый бизнес.
В отличие от других вредоносных программ, таких как RAM scraper, бэкдоры не собираются исчезать в ближайшее время. Согласно отчету Malwarebytes Labs, бэкдоры входят в пятерку наиболее распространенных угроз, которые обнаруживают как потребители, так и предприятия.
4. Ransomware
Пример: WannaCry (нацелен на ПК под управлением Windows, шифрует файлы и требует выкуп в размере $300-$600 через Bitcoin).
Ransomware шифрует личные данные жертвы или блокирует доступ к ним. В зависимости от типа ransomware шифруются либо отдельные файлы, либо вся операционная система.
Затем злоумышленник требует от жертвы выкуп, чтобы восстановить доступ после оплаты. Это требование обычно сопровождается определенным сроком. Если жертва не заплатит до истечения срока, ее данные будут удалены навсегда или выкуп увеличится.
Злоумышленники дают жертве инструкции, объясняющие, как оплатить взнос, чтобы получить ключ описания. Стоимость варьируется от нескольких сотен долларов до миллионов. Они требуют выкуп в биткоинах и других криптовалютах, что затрудняет отслеживание и преследование преступников.
Новый отчет о глобальном исследовании показывает, что 35% предприятий платят выкуп от 350 000 до 1,4 млн долларов, а 7% платят выкуп свыше 1,4 млн долларов.
В большинстве случаев злоумышленники выбирают университеты и малые предприятия, поскольку они, как им кажется, с большей вероятностью быстро заплатят выкуп. Они также нацелены на медицинские учреждения, юридические фирмы и правительственные агентства, которые могут быть готовы заплатить, чтобы получить немедленный доступ к своим файлам или замолчать новости о компрометации.
3. Шпионские программы
Пример: DarkHotel (выборочно атакует высокопоставленных посетителей через сеть WiFi отеля).
Шпионские программы устанавливаются на ваше устройство и начинают скрытно отслеживать ваше поведение в Интернете без вашего ведома или разрешения.
Это вид вредоносного ПО, которое тайно собирает данные о пользователе или предприятии и отправляет их другим сторонам, например, маркетинговым и рекламным компаниям. Обычно они устанавливаются без согласия пользователя такими способами, как обманчивое всплывающее окно, загрузка с диска или вредоносный код, внедренный (скрытый) в законное программное обеспечение.
После установки шпионское ПО может отслеживать вашу интернет-активность, следить за логическими данными и шпионить за личной информацией. Ее главная цель - украсть номера кредитных карт, имена пользователей, пароли и банковскую информацию.
Этот тип вредоносного ПО бывает трудно обнаружить. Зараженное устройство демонстрирует заметное снижение скорости соединения, отзывчивости и времени автономной работы.
Одним из самых популярных примеров шпионского ПО является Pegasus. Она способна отслеживать звонки, читать текстовые сообщения, определять местоположение, получать доступ к камере и микрофону целевого устройства, собирать пароли и данные из приложений. Что делает это шпионское ПО опасным, так это то, что оно может быть установлено на смартфоны (работающие на Android и iOS) с помощью эксплойта с нулевым кликом.
2. Троян
Пример: Wirenet (троянская программа для кражи пароля, предназначенная для пользователей macOS, Linux, Windows и Solaris)
Троянские программы притворяются чем-то полезным, а на самом деле наносят вред вашему компьютеру. Они могут прятаться в неожиданных местах, например, в загружаемых файлах или электронных письмах.
Троян стремится обмануть пользователя и заставить его загрузить и выполнить вредоносную программу на своем устройстве. После установки она может нарушить работу, украсть или нанести другой вред данным и сети пользователя.
В отличие от вирусов, трояны не могут проявлять себя. Поэтому для работы этого типа вредоносных программ пользователям необходимо загрузить и установить приложение на стороне сервера. Как только система заражена, она может распространять вредоносное ПО на другие устройства.
Зараженная машина может дистанционно управляться злоумышленниками без ведома владельца. Затем злоумышленники могут превратить его в компьютер-зомби, чтобы продолжить распространение вредоносного кода между устройствами в сети.
В зависимости от типа трояна и его цели, вредоносная программа может самоуничтожиться, вернуться в спящий режим или остаться активной на компьютере.
Троян Zeus, например, предназначен для кражи данных и банковской информации пользователей. Он нацелен на пользователей Microsoft Windows. Впервые он был обнаружен в 2007 году, когда его жертвой стало Министерство транспорта США. Более широкое распространение он получил в 2009 году, заразив более 74 000 FTP-аккаунтов многочисленных популярных веб-сайтов, включая Amazon, NASA, Cisco и Bank of America.
1. Вирус
Пример: Brain (первый компьютерный вирус для IBM PC и совместимых компьютеров)
Компьютерный вирус - это вредоносный сценарий, который может самовоспроизводиться в другом приложении, документе или загрузочном секторе устройства, изменяя принцип работы устройства. Для его распространения между системами требуется вмешательство человека.
Первый компьютерный вирус был разработан в 1971 году с единственной целью - проверить, может ли программа самовоспроизводиться. Однако вскоре было обнаружено, что злоумышленники используют самовоспроизводящиеся программы для кражи информации или истощения системных ресурсов.
Вирус состоит из трех основных компонентов:
- Вектор заражения, который определяет, как вирус распространяется от одной системы к другой.
- Логическая бомба - скомпилированная версия скрипта, которая активируется при выполнении заданных условий (например, когда пользователь открывает файл).
- Полезная нагрузка - это компонент атаки, который наносит вред целевой системе.
Большинство вирусов попадает в систему из Интернета при загрузке файлов, электронной почты, вложений текстовых сообщений и мошеннических ссылок в социальных сетях. После загрузки или установки вредоносной программы вирус может заразить другие устройства в той же сети.
Он может повреждать файлы, рассылать спам по электронной почте, регистрировать нажатия клавиш, красть пароли и даже завладеть вашим компьютером. В то время как некоторые вирусы пишутся для того, чтобы нарушить работу системы или нанести необратимый ущерб операционной системе, некоторые реплицируются, чтобы наводнить сеть трафиком, делая сервис недоступным.
Часто задаваемые вопросы
Что может делать вредоносный код?
В зависимости от цели вредоносного кода, он может снижать производительность устройства, аварийно завершать работу приложений, добавлять новые программы в систему, удалять существующие приложения, рассылать спам, а также красть вашу конфиденциальную информацию и пароли.
Одним словом, вредоносный скрипт способен не только украсть вашу конфиденциальную информацию, но и уничтожить ваши активы и бизнес в целом.
Какое программное обеспечение защищает от вредоносных программ?
Современные антивирусные программы и средства удаления вредоносных программ доказали свою эффективность в борьбе с различными типами вредоносных программ. Они тщательно сканируют устройства для обнаружения вредоносных скриптов и обеспечивают автоматическое обновление для усиления защиты от новых вредоносных программ.
Некоторые инструменты используют методы машинного обучения для эффективного обнаружения и классификации вредоносных программ, сводя к минимуму количество ложных срабатываний.
Каковы наиболее эффективные способы защиты от вредоносного ПО?
Чтобы предотвратить заражение ваших компьютеров вредоносными скриптами, вам следует
- установить антивирусное программное обеспечение и брандмауэр
- Регулярно обновлять операционную систему и приложения
- Загружать и устанавливать приложения из надежных источников
- Никогда не открывайте подозрительные файлы, вложенные в электронные письма
- регулярно создавать резервные копии данных
Для обеспечения бесперебойной работы вашего устройства вы также можете предпринять некоторые дополнительные меры, например, не захламлять файлы и папки, очищать корзину, запускать программу дефрагментации диска и программу очистки диска в Windows.