Có những loại phần mềm độc hại nào? Có những loại phần mềm độc hại nào?

Bot

Viết tắt của từ người máy(robot). Bot là các chương trình được thiết kế để tự động hóa các nhiệm vụ.

Botnet

Botnet là một nhóm máy tính bị nhiễm chương trình bot, được điều khiển từ một Trung tâm điều khiển duy nhất.

trò lừa bịp

Trò lừa bịp là thông tin sai lệch có chủ ý được gửi qua email và được lan truyền bởi một mục tiêu không nghi ngờ hoặc một công chúng không hiểu biết. Trò lừa bịp thường nhằm mục đích kích động người dùng làm những việc thực sự không khôn ngoan. Ví dụ: những trò lừa bịp độc hại có thể kích động người dùng xóa tập tin quan trọng hệ điều hành, tuyên bố những tập tin này là virus nguy hiểm.

Trong nhiều trường hợp, những trò lừa bịp liên kết đến các tổ chức và công ty đáng tin cậy để thu hút sự chú ý của độc giả. Ví dụ: họ sử dụng các cụm từ như Microsoft cảnh báo rằng... hoặc CNN đưa tin... Những tin nhắn này thường cảnh báo về những hậu quả tai hại, thậm chí thảm khốc. Những cảnh báo như vậy có một đặc điểm chung - chúng khuyến khích người dùng gửi những tin nhắn này đến tất cả những người họ biết, điều này làm tăng vòng đời của trò lừa bịp. 99,9% tin nhắn loại này là sai sự thật.
Trò lừa bịp không thể tự lan truyền; cách duy nhất để tránh rơi vào bẫy là kiểm tra tính chính xác của thông tin nhận được trước khi thực hiện bất kỳ hành động nào mà nó yêu cầu.

Gian lận

TRONG theo nghĩa rộng, gian lận là hành vi lừa dối người sử dụng máy tính nhằm mục đích thu lợi tài chính hoặc trộm cắp trắng trợn. Một trong những loại lừa đảo phổ biến nhất là gửi fax hoặc email trái phép từ Nigeria hoặc các quốc gia Tây Phi khác. Chúng có vẻ giống như những đề xuất kinh doanh hoàn toàn hợp lý nhưng yêu cầu người nhận phải thanh toán trước. Những lời đề nghị này là lừa đảo và mọi khoản thanh toán mà nạn nhân của những trò lừa đảo này thực hiện sẽ ngay lập tức bị đánh cắp. Các hình thức gian lận phổ biến khác bao gồm tấn công lừa đảo bởi vì e-mail và các trang web. Mục tiêu của họ là giành quyền truy cập vào dữ liệu nhạy cảm như số tài khoản ngân hàng, mã PIN, v.v. Để đạt được mục tiêu này, một email sẽ được gửi đến người dùng từ một người giả danh người bạn tâm tình hoặc đối tác kinh doanh (tổ chức tài chính, công ty bảo hiểm).

Email có vẻ là chính hãng và chứa yếu tố đồ họa và nội dung có thể đến từ một nguồn mà người gửi tin nhắn tuyên bố. Người dùng được yêu cầu nhập thông tin cá nhân như số tài khoản ngân hàng hoặc tên người dùng và mật khẩu. Dữ liệu đó, nếu được cung cấp, có thể bị chặn và sử dụng cho các mục đích khác.
Cần lưu ý rằng các ngân hàng Các công ty bảo hiểm và các công ty hợp pháp khác không bao giờ yêu cầu tên người dùng và mật khẩu trong các email không được yêu cầu.

Có tiềm năng ứng dụng nguy hiểm

Ứng dụng nguy hiểm

Các ứng dụng nguy hiểm được gọi là chương trình pháp lý, mặc dù do người dùng cá nhân cài đặt nhưng có thể ảnh hưởng đến tính bảo mật của máy tính. Một ví dụ sẽ là thiết bị đánh chặn thương mại đầu vào bàn phím hoặc ảnh chụp màn hình, công cụ truy cập từ xa, công cụ bẻ khóa mật khẩu và chương trình kiểm tra bảo mật.

Phần mềm độc hại

Thuật ngữ Phần mềm độc hại(phần mềm độc hại) - phiên bản rút gọn của thuật ngữ chung Phần mềm độc hại, nghĩa phần mềm độc hại. Virus, ngựa Trojan, sâu và bot thuộc một số loại phần mềm độc hại nhất định.

Các chức năng bổ sung như thu thập dữ liệu, xóa file, ghi đè đĩa, ghi đè BIOS v.v., có thể có trong virus, sâu hoặc ngựa Trojan.

Lừa đảo

Thuật ngữ này xuất phát từ từ đánh bắt cá(đánh bắt cá). Các cuộc tấn công lừa đảo là việc gửi các email bịa đặt dưới vỏ bọc các hình thức khác nhau hoạt động xã hội và công cộng, mục đích là để lấy thông tin cá nhân bí mật một cách gian lận, chẳng hạn như thông tin thẻ tín dụng hoặc mật khẩu.

Rootkit

Rootkit- một bộ công cụ được thiết kế để kiểm soát bí mật trên máy tính.

Phần mềm gián điệp

Phần mềm gián điệp sử dụng Internet để thu thập thông tin bí mật về người dùng mà người dùng không hề biết. Một số phần mềm gián điệp thu thập thông tin về các ứng dụng được cài đặt trên máy tính của bạn và các trang web bạn truy cập. Các chương trình khác thuộc loại này được tạo ra với mục đích nguy hiểm hơn nhiều - chúng thu thập dữ liệu tài chính hoặc cá nhân của người dùng để sử dụng chúng cho mục đích ích kỷ và lừa đảo.

Trojan

Ngựa Trojan là các chương trình độc hại, không giống như vi-rút và sâu, không thể tự sao chép và lây nhiễm vào các tệp. Chúng thường được tìm thấy ở dạng tập tin thực thi ( .EXE, .COM) và không chứa bất cứ thứ gì ngoài mã Trojan. Vì vậy, cách duy nhất để đối phó với chúng là loại bỏ chúng. Các chương trình Trojan được trang bị nhiều chức năng khác nhau - từ chặn đầu vào bàn phím (ghi nhật ký và truyền từng lần nhấn phím) đến xóa tệp (hoặc định dạng đĩa). Vài người trong số họ ( chương trình cửa sau) được thiết kế cho một mục đích đặc biệt - họ cài đặt cái gọi là "cửa sau" ( Cửa sau).

Virus

Virus là một chương trình được kích hoạt bằng cách sao chép chính nó vào các đối tượng thực thi được. Virus có thể xâm nhập vào máy tính của bạn từ các máy tính bị nhiễm khác, thông qua phương tiện lưu trữ (đĩa mềm, CD, v.v.) hoặc qua mạng (cục bộ hoặc Internet). Các loại virus khác nhau và mô tả của chúng được liệt kê dưới đây.

Tập tin virus

chương trình thực thi

EXE

COM

Virus tập lệnh

VBS

JavaScript

CON DƠI

PHP

HTML

Virus khởi động
Virus vĩ mô

Virus macro tấn công các tài liệu có thể chèn các lệnh macro (macro) vào. Những loại virus này thường được nhúng trong các ứng dụng xử lý văn bản hoặc bảng tính vì macro dễ dàng được chèn vào các loại tệp này.

Một lựa chọn khác để phân loại virus là theo phương thức hoạt động của chúng. Trong khi các virus tác động trực tiếp thực hiện chức năng của chúng ngay sau khi đối tượng bị nhiễm được kích hoạt, thì các virus thường trú được lưu trữ và hoạt động trong bộ nhớ của máy tính.

Worm là các chương trình độc lập “tái tạo” bản sao của chính chúng thông qua mạng. Không giống như vi-rút (cần có tệp bị nhiễm để phát tán, trong đó vi-rút này tự sao chép), sâu lây lan tích cực bằng cách gửi bản sao của chính chúng qua mạng nội bộ và Internet, liên lạc qua email hoặc thông qua các lỗ hổng hệ điều hành.
Đồng thời, chúng có thể chứa nội dung bổ sung - các chương trình độc hại (ví dụ: chúng có thể cài đặt chương trình cửa sau, được thảo luận dưới đây), mặc dù không chỉ sâu mới có tính năng này. Giun có thể gây tác hại lớn, chúng thường làm tắc nghẽn các kênh liên lạc thông qua tấn công DoS (Từ chối dịch vụ- từ chối dịch vụ). Thông qua Internet, sâu có thể lây lan khắp thế giới chỉ trong vài phút.

Cửa hậu - chương trình

Chương trình cửa sau (Cửa sau) là các ứng dụng máy khách-máy chủ mở cho các nhà phát triển các chương trình đó Truy cập từ xa tới máy tính của bạn. Không giống như các chương trình thông thường (hợp pháp) có chức năng tương tự, cửa sau- các chương trình thiết lập quyền truy cập mà không có sự đồng ý của chủ sở hữu máy khách.

Tên cho h1: Virus đã biết và phân loại của chúng

Phần mềm độc hại là các chương trình xâm nhập hoặc nguy hiểm được thiết kế để bí mật truy cập vào thiết bị mà chủ sở hữu không hề hay biết. Có một số loại phần mềm độc hại: phần mềm gián điệp, phần mềm quảng cáo, lừa đảo, Trojan, ransomware, vi rút, sâu, rootkit và các chương trình nhằm chiếm quyền kiểm soát trình duyệt.

Nguồn phần mềm độc hại

Thông thường, phần mềm độc hại tiếp cận thiết bị qua Internet hoặc email. Tuy nhiên, nguồn của nó cũng có thể là các trang web bị tấn công, phiên bản demo của trò chơi, tệp nhạc, thanh công cụ, nhiều phần mềm khác nhau, đăng ký miễn phí và mọi thứ bạn tải xuống từ Internet vào thiết bị của mình không có tính năng bảo vệ chống phần mềm độc hại.

Cách nhận biết phần mềm độc hại

Hiệu suất chậm, thông báo bật lên, thư rác hoặc trục trặc thường cho thấy thiết bị đã bị nhiễm phần mềm độc hại. Để kiểm tra xem trường hợp này có xảy ra hay không, bạn có thể sử dụng trình quét phần mềm độc hại (nó là một phần của tất cả các công cụ loại bỏ phần mềm độc hại).

Cách loại bỏ phần mềm độc hại

Cách tốt nhất để giải quyết vấn đề là sử dụng công cụ loại bỏ phần mềm độc hại đáng tin cậy, có thể tìm thấy trong bất kỳ sản phẩm chống vi-rút chất lượng nào. Chương trình Avast miễn phí Phần mềm chống vi-rút và thành phần Chống phần mềm độc hại có thể bảo vệ bạn khỏi phần mềm độc hại bằng cách xóa phần mềm độc hại khỏi thiết bị của bạn một cách nhanh chóng và dễ dàng. Nó không chỉ là một công cụ loại bỏ chương trình nguy hiểm. Nó cũng cung cấp sự bảo vệ liên tục, theo thời gian thực chống lại các cuộc tấn công độc hại.

Cách bảo vệ bạn khỏi phần mềm độc hại

Sử dụng các sản phẩm chống vi-rút mạnh mẽ cũng có thể bảo vệ khỏi phần mềm độc hại.
Không tải xuống các tập tin đính kèm với thư email. thư từ người gửi mà bạn không biết.

Các chương trình chống phần mềm độc hại

Sử dụng giải pháp diệt virus hiện đại là cách hiệu quả nhất để ngăn chặn, phát hiện và loại bỏ phần mềm độc hại khỏi máy tính của bạn. Hiệu quả nhất giải pháp chống virus là Avast.

Giới thiệu

Chương trình độc hại - một chương trình máy tính hoặc mã di động được thiết kế để thực hiện các mối đe dọa đối với thông tin được lưu trữ trong hệ thống máy tính hoặc để ngầm lạm dụng tài nguyên hệ thống hoặc tác động khác cản trở hoạt động của hệ thống. hoạt động bình thường hệ thống máy tính.

Phần mềm độc hại bao gồm sâu mạng, virus tập tin cổ điển, ngựa Trojan, công cụ hack và các chương trình khác cố ý gây hại cho máy tính mà chúng được thực thi hoặc cho các máy tính khác trên mạng.

Bất kể loại nào, phần mềm độc hại đều có khả năng gây ra thiệt hại đáng kể bằng cách thực hiện bất kỳ mối đe dọa nào đối với thông tin - các mối đe dọa vi phạm tính toàn vẹn, bảo mật và tính sẵn sàng.

Tất nhiên, nơi phần mềm độc hại lây lan trên toàn cầu là Internet.

Không còn nghi ngờ gì nữa, Internet là một thứ cần thiết trong thời đại chúng ta, đối với một số người, nó đơn giản là cần thiết. Trong một khoảng thời gian ngắn, bạn có thể tìm thấy thông tin mình cần, làm quen với những tin tức mới nhất và cũng có thể giao tiếp với nhiều người mà không cần rời khỏi nhà, văn phòng, v.v. Nhưng đừng quên rằng thông qua “ống dày” này, tin tặc có thể dễ dàng đột nhập vào máy tính của bạn và truy cập vào máy tính của bạn. thông tin cá nhân.

Mặc dù các nhà cung cấp phần cứng và phần mềm, cũng như việc các quan chức chính phủ áp dụng tư thế bảo vệ thông tin cá nhân mà sự xâm nhập từ bên ngoài là không thể chấp nhận được, có những lý do nghiêm trọng để lo ngại rằng việc di chuyển của chúng ta trên Internet sẽ không bị con mắt “chăm chú” của ai đó chú ý, tính ẩn danh và bảo mật không được đảm bảo . Tin tặc có thể dễ dàng đọc email và máy chủ Web ghi lại mọi thứ, kể cả danh sách các trang Web đã xem.

1. Sự phát triển của hệ thống virus

Các chương trình virus đầu tiên

1949 Một nhà khoa học người Mỹ gốc Hungary, John von Naumann, đã phát triển một lý thuyết toán học để tạo ra các chương trình tự sao chép. Đây là lý thuyết đầu tiên về sự sáng tạo virus máy tính, điều này đã thu hút được sự quan tâm rất hạn chế trong cộng đồng khoa học.

Đầu những năm 60, các kỹ sư của công ty Mỹ Bell Electrical Laboratories - V.A. Vysotsky, G.D. McIlroy và Robert Morris đã tạo ra trò chơi Darwin. Trò chơi ngụ ý sự hiện diện trong ký ức máy tính người được gọi là người giám sát, người xác định các quy tắc và thủ tục cho cuộc chiến giữa các chương trình đối thủ do người chơi tạo ra. Các chương trình có chức năng khám phá không gian, tái tạo và hủy diệt. Mục đích của trò chơi là xóa tất cả các bản sao chương trình của kẻ thù và chiếm giữ chiến trường.

Cuối thập niên 60 – đầu thập niên 70. Sự xuất hiện của những virus đầu tiên Trong một số trường hợp, đây là lỗi của chương trình dẫn đến việc chương trình tự sao chép, làm tắc nghẽn ổ cứng máy tính, làm giảm năng suất của chúng, nhưng người ta tin rằng trong hầu hết các trường hợp, vi-rút được tạo ra có chủ ý để tiêu diệt. Có lẽ nạn nhân đầu tiên của một loại virus thực sự, được viết bởi một lập trình viên để giải trí, là máy tính Univax 1108. Loại virus này có tên là Pervading Animal và chỉ lây nhiễm vào một máy tính - trên đó nó được tạo ra.

Phần mềm độc hại ngày nay

Vấn đề phần mềm độc hại - phần mềm quảng cáo và phần mềm gián điệp - đáng được quan tâm nhiều hơn vì là một trong những rắc rối quan trọng nhất mà người dùng máy tính hiện đại phải đối mặt hàng ngày. Tác hại của chúng là làm suy yếu nguyên tắc về độ tin cậy của máy tính và vi phạm quyền riêng tư, vi phạm tính bảo mật và phá vỡ mối quan hệ giữa các cơ chế được bảo vệ của máy tính, thông qua một số hành động gián điệp kết hợp. Các chương trình tương tự thường xuất hiện mà người nhận không hề hay biết, thậm chí khi bị phát hiện cũng khó loại bỏ. Hiệu suất giảm đáng kể, những thay đổi thất thường trong cài đặt người dùng và sự xuất hiện của các thanh công cụ hoặc tiện ích bổ sung mới đáng ngờ chỉ là một vài trong số những hậu quả khủng khiếp của việc lây nhiễm phần mềm gián điệp hoặc phần mềm quảng cáo. Phần mềm gián điệp và các chương trình độc hại khác cũng có thể thích ứng với các chế độ hoạt động máy tính tinh vi hơn và thâm nhập sâu vào các cơ chế phức tạp của hệ điều hành theo cách khiến việc phát hiện và tiêu diệt chúng trở nên phức tạp hơn rất nhiều.

Giảm hiệu suất có lẽ là tác động đáng chú ý nhất của phần mềm độc hại, vì nó ảnh hưởng trực tiếp đến hiệu suất của máy tính đến mức ngay cả người bình thường cũng có thể phát hiện ra. Nếu người dùng không quá cảnh giác khi thỉnh thoảng các cửa sổ quảng cáo hiện lên, ngay cả khi máy tính không kết nối Internet thì khả năng phản hồi của hệ điều hành sẽ giảm đi, vì các luồng mã độc cạnh tranh với hệ thống và các chương trình hữu ích, cho thấy rõ sự xuất hiện của các vấn đề. Cài đặt chương trình thay đổi, các tính năng mới được thêm vào một cách bí ẩn, các quy trình bất thường xuất hiện trong trình quản lý tác vụ (đôi khi có hàng tá quy trình đó) hoặc các chương trình hoạt động như thể người khác đang sử dụng chúng và bạn mất quyền kiểm soát chúng. Tác dụng phụ của phần mềm độc hại (có thể là phần mềm quảng cáo hoặc phần mềm gián điệp) dẫn đến hậu quả nghiêm trọng, tuy nhiên nhiều người dùng vẫn tiếp tục hành xử bất cẩn bằng cách mở rộng cánh cửa máy tính của họ.

TRONG Internet hiện đại trung bình cứ ba mươi lá thư đều bị nhiễm sâu thư, khoảng 70% tổng số thư từ là không mong muốn. Với sự phát triển của Internet, số lượng nạn nhân tiềm năng của những kẻ viết virus tăng lên; việc phát hành các hệ điều hành mới đòi hỏi phải mở rộng phạm vi của các tác nhân này. những cách có thể sự xâm nhập vào hệ thống và các biến thể của tải độc hại có thể có đối với vi-rút. Người dùng hiện đại máy tính không thể cảm thấy an toàn khi đối mặt với nguy cơ trở thành đối tượng cho một trò đùa độc ác của ai đó - ví dụ: thông tin trên ổ cứng bị phá hủy - kết quả của quá trình làm việc lâu dài và siêng năng hoặc bị đánh cắp mật khẩu của hệ thống thư . Thật khó chịu khi thấy mình là nạn nhân gửi thư hàng loạt các tập tin bí mật hoặc liên kết đến một trang web khiêu dâm. Ngoài nạn trộm số thẻ tín dụng vốn đã phổ biến, các trường hợp trộm dữ liệu cá nhân của người chơi nhiều trò chơi trực tuyến khác nhau - Ultima Online, Legend of Mir, Lineage, Gamania - ngày càng trở nên thường xuyên hơn. Ở Nga, cũng đã xảy ra trường hợp trò chơi “Fight Club”, trong đó giá thực của một số vật phẩm tại các cuộc đấu giá lên tới hàng nghìn đô la Mỹ. Công nghệ virus dành cho thiết bị di động cũng đã phát triển. Không chỉ các thiết bị Bluetooth mà cả tin nhắn MMS thông thường (sâu ComWar) cũng được sử dụng làm đường xâm nhập.

2. Các loại phần mềm độc hại

2.1 Virus máy tính

Virus máy tính- một loại chương trình máy tính có đặc điểm nổi bật là khả năng sao chép (tự sao chép). Ngoài ra, vi-rút có thể làm hỏng hoặc phá hủy hoàn toàn tất cả các tệp và dữ liệu do người dùng thay mặt họ khởi chạy chương trình bị nhiễm, cũng như làm hỏng hoặc thậm chí phá hủy toàn bộ hệ điều hành với tất cả các tệp.

Những người không chuyên đôi khi phân loại các loại chương trình độc hại khác là vi-rút máy tính, chẳng hạn như Trojan, phần mềm gián điệp và thậm chí cả thư rác. (Thư rác) là việc gửi quảng cáo thương mại, chính trị và các loại tin nhắn khác hoặc các loại tin nhắn khác tới những người không bày tỏ mong muốn nhận chúng. Tính hợp pháp của việc gửi hàng loạt các loại tin nhắn nhất định không yêu cầu sự đồng ý của người nhận có thể bị ảnh hưởng được quy định trong luật pháp của quốc gia. Ví dụ: điều này có thể liên quan đến các thông báo về các vấn đề sắp xảy ra thảm họa thiên nhiên, huy động quần chúng nhân dân, v.v. Theo nghĩa được chấp nhận rộng rãi, thuật ngữ "thư rác" trong tiếng Nga lần đầu tiên bắt đầu được sử dụng liên quan đến việc gửi email) Hàng chục nghìn loại vi-rút máy tính được biết là đã lây lan qua Internet trên khắp thế giới, gây ra dịch bệnh vi-rút.

Virus lây lan bằng cách tự chèn vào mã thực thi của các chương trình khác hoặc bằng cách thay thế các chương trình khác. Trong một thời gian, người ta thậm chí còn tin rằng, là một chương trình, vi-rút chỉ có thể lây nhiễm vào chương trình - bất kỳ thay đổi nào đối với chương trình không phải là lây nhiễm mà chỉ đơn giản là làm hỏng dữ liệu. Người ta hiểu rằng những bản sao vi-rút như vậy sẽ không giành được quyền kiểm soát vì thông tin không được bộ xử lý sử dụng làm hướng dẫn. Vì vậy, ví dụ, văn bản không được định dạng không thể là vật mang vi-rút.

Tuy nhiên, sau đó, những kẻ tấn công nhận ra rằng không chỉ mã thực thi chứa mã máy bộ xử lý mới có thể biểu hiện hành vi lan truyền. Virus được viết bằng ngôn ngữ tập tin hàng loạt. Sau đó, virus macro xuất hiện, tự tiêm macro vào tài liệu trong các chương trình như Microsoft Word và Excel.

Một thời gian sau, tin tặc đã tạo ra các loại virus khai thác lỗ hổng trong các phần mềm phổ biến (ví dụ: Adobe Photoshop, trình duyệt web IE, Outlook), trong trường hợp chung xử lý dữ liệu thông thường. Virus bắt đầu lây lan bằng cách chèn vào chuỗi dữ liệu (ví dụ: hình ảnh, văn bản, v.v.) mã đặc biệt khai thác lỗ hổng phần mềm.

2.2 Trojan

Hiệu ứng độc hại

Trojan (cũng – Trojan, Trojan, ngựa thành Troy, troy) là một chương trình độc hại xâm nhập vào máy tính dưới vỏ bọc vô hại - codec, trình bảo vệ màn hình, phần mềm hacker, v.v.

Ngựa Trojan không có cơ chế lây lan riêng và điều này khác với vi-rút lây lan bằng cách gắn chúng vào phần mềm hoặc tài liệu vô hại và sâu tự sao chép trên mạng. Tuy nhiên, một chương trình Trojan có thể mang thân virus - khi đó người tung ra Trojan sẽ trở thành nguồn "lây nhiễm".

Các chương trình Trojan cực kỳ dễ viết: chương trình đơn giản nhất bao gồm vài chục dòng mã trong Visual Basic hoặc C++.

Cái tên “Chương trình Trojan” xuất phát từ cái tên “Con ngựa thành Troy” - một con ngựa gỗ, theo truyền thuyết, được người Hy Lạp cổ đại tặng cho cư dân thành Troy, bên trong chứa đựng những chiến binh sau này đã mở cổng thành cho những kẻ chinh phục. Cái tên này trước hết phản ánh sự bí mật và tiềm ẩn sự lừa dối về ý định thực sự của người phát triển chương trình.

Một chương trình Trojan khi khởi chạy trên máy tính có thể:

· can thiệp vào công việc của người dùng (như một trò đùa, do nhầm lẫn hoặc để đạt được bất kỳ mục đích nào khác);

· theo dõi người dùng;

· sử dụng tài nguyên máy tính cho bất kỳ hoạt động bất hợp pháp nào (và đôi khi gây thiệt hại trực tiếp), v.v.

ngụy trang trojan

Để kích động người dùng khởi chạy Trojan, tệp chương trình (tên của nó, biểu tượng chương trình) được gọi là tên dịch vụ, được ngụy trang dưới dạng một chương trình khác (ví dụ: cài đặt chương trình khác), một tệp thuộc loại khác hoặc đơn giản là được cung cấp một cái tên, biểu tượng hấp dẫn, v.v. Kẻ tấn công có thể biên dịch lại chương trình hiện có, thêm mã độc vào mã nguồn của nó, sau đó chuyển nó thành mã gốc hoặc thay thế nó.

Để thực hiện thành công các chức năng này, ở mức độ này hay mức độ khác, Trojan có thể bắt chước (hoặc thậm chí thay thế hoàn toàn) tác vụ hoặc tệp dữ liệu mà nó giả mạo (chương trình cài đặt, chương trình ứng dụng, trò chơi, tài liệu ứng dụng, hình ảnh). Các chức năng ngụy trang và độc hại tương tự cũng được virus máy tính sử dụng, nhưng không giống như chúng, các chương trình Trojan không thể tự lây lan.

Truyền bá

Các chương trình Trojan được kẻ tấn công đặt trên các tài nguyên mở (máy chủ tệp, ổ đĩa có thể ghi của chính máy tính), phương tiện lưu trữ hoặc gửi qua dịch vụ nhắn tin (ví dụ: e-mail) với mong muốn chúng sẽ được khởi chạy trên một địa chỉ cụ thể, thành viên của một vòng kết nối nhất định, hoặc “máy tính mục tiêu” tùy ý.

Đôi khi việc sử dụng Trojan chỉ là một phần của cuộc tấn công nhiều giai đoạn được lên kế hoạch nhằm vào một số máy tính, mạng hoặc tài nguyên (bao gồm cả bên thứ ba).

Phương pháp loại bỏ

Trojan có nhiều loại và hình thức nên hoàn toàn không có bảo vệ đáng tin cậy từ họ.

Để phát hiện và loại bỏ Trojan, bạn phải sử dụng các chương trình chống vi-rút. Nếu phần mềm chống vi-rút báo cáo rằng khi phát hiện thấy Trojan thì nó không thể loại bỏ nó, thì bạn có thể thử tải hệ điều hành từ một nguồn thay thế và lặp lại quá trình quét chống vi-rút. Nếu phát hiện thấy Trojan trên hệ thống, nó cũng có thể bị xóa theo cách thủ công (khuyến nghị sử dụng chế độ an toàn).

Điều cực kỳ quan trọng là phải thường xuyên cập nhật cơ sở dữ liệu chống vi-rút của phần mềm chống vi-rút được cài đặt trên máy tính của bạn để phát hiện Trojan và phần mềm độc hại khác, vì có nhiều chương trình độc hại mới xuất hiện mỗi ngày.

2.3 Phần mềm gián điệp

Sự định nghĩa

Phần mềm gián điệp (spyware) là chương trình được cài đặt bí mật trên máy tính nhằm kiểm soát toàn bộ hoặc một phần hoạt động của máy tính và người dùng mà không có sự đồng ý của họ.

Hiện nay có rất nhiều định nghĩa và cách giải thích về thuật ngữ spyware. Liên minh chống phần mềm gián điệp, bao gồm nhiều nhà sản xuất phần mềm chống phần mềm gián điệp và chống vi-rút lớn, định nghĩa nó là một sản phẩm phần mềm giám sát được cài đặt và sử dụng mà không có thông báo chính xác về người dùng, sự đồng ý và kiểm soát của người dùng, nghĩa là trái phép. Cài đặt.

Đặc điểm hoạt động

Phần mềm gián điệp có thể thực hiện nhiều tác vụ khác nhau, ví dụ:

· thu thập thông tin về thói quen sử dụng Internet và các trang web được truy cập thường xuyên nhất (chương trình theo dõi);

· ghi nhớ các lần gõ phím trên bàn phím (keylogger) và ghi lại ảnh chụp màn hình (trình quét màn hình) và sau đó gửi thông tin cho người tạo ra phần mềm gián điệp;

· Điều khiển máy tính từ xa và trái phép (phần mềm điều khiển từ xa) – backdoor, botnet, droneware;

Cài đặt trên máy tính của người dùng chương trình bổ sung;

· được sử dụng để phân tích trái phép trạng thái của hệ thống bảo mật (phần mềm phân tích bảo mật) - máy quét cổng và lỗ hổng cũng như công cụ bẻ khóa mật khẩu;

· thay đổi các tham số của hệ điều hành (phần mềm sửa đổi hệ thống) - rootkit, phần mềm chặn điều khiển (kẻ xâm nhập), v.v. - dẫn đến giảm tốc độ kết nối Internet hoặc mất kết nối, mở các trang chủ khác hoặc xóa một số chương trình nhất định;

· chuyển hướng hoạt động của trình duyệt, đòi hỏi phải truy cập các trang web một cách mù quáng với nguy cơ bị nhiễm vi-rút.

Việc sử dụng hợp pháp "các công nghệ có thể không mong muốn"

· Phần mềm theo dõi (các chương trình theo dõi) được sử dụng rộng rãi và hoàn toàn hợp pháp để giám sát máy tính cá nhân.

· Phần mềm quảng cáo có thể được đưa vào một cách công khai trong phần mềm miễn phí và phần mềm chia sẻ và người dùng đồng ý xem quảng cáo để có bất kỳ cơ hội bổ sung(ví dụ: sử dụng chương trình này là miễn phí). Trong trường hợp này, sự hiện diện của chương trình hiển thị quảng cáo phải được nêu rõ trong thỏa thuận. người dùng cuối(EULA).

· Chương trình điều khiển từ xa và điều khiển có thể được sử dụng để hỗ trợ kỹ thuật từ xa hoặc truy cập vào tài nguyên riêng trên máy tính từ xa.

· Trình quay số có thể cung cấp quyền truy cập vào tài nguyên người dùng yêu cầu(ví dụ: gọi cho nhà cung cấp Internet để kết nối Internet).

· Các chương trình sửa đổi hệ thống cũng có thể được sử dụng để cá nhân hóa theo mong muốn của người dùng.

· Các chương trình tải xuống tự động có thể được sử dụng để tự động tải xuống các bản cập nhật ứng dụng và cập nhật hệ điều hành.

· Các chương trình phân tích trạng thái của hệ thống bảo mật được sử dụng để nghiên cứu bảo mật hệ thống máy tính và cho các mục đích hoàn toàn hợp pháp khác.

· Công nghệ theo dõi thụ động có thể hữu ích trong việc cá nhân hóa các trang web mà người dùng truy cập.

Lịch sử và sự phát triển

Theo dữ liệu năm 2005 từ AOL và Liên minh An ninh Mạng Quốc gia, 61% máy tính được phản hồi có chứa một số dạng phần mềm gián điệp, trong đó 92% người dùng không biết về sự hiện diện của phần mềm gián điệp trên máy của họ và 91% báo cáo rằng họ không cho phép. việc cài đặt phần mềm gián điệp.

Đến năm 2006, phần mềm gián điệp đã trở thành một trong những mối đe dọa bảo mật phổ biến đối với các hệ thống máy tính sử dụng Windows. Các máy tính sử dụng Internet Explorer làm trình duyệt chính dễ bị tổn thương một phần không phải vì Internet Explorer được sử dụng rộng rãi nhất mà vì sự tích hợp chặt chẽ của nó với Windows cho phép phần mềm gián điệp truy cập vào các phần chính của hệ điều hành.

Trước khi phát hành Internet Explorer 7, trình duyệt tự động hiển thị cửa sổ cài đặt cho bất kỳ thành phần ActiveX nào mà trang web muốn cài đặt. Sự kết hợp giữa sự thiếu hiểu biết ngây thơ của người dùng về phần mềm gián điệp và giả định của Internet Explorer rằng tất cả các thành phần ActiveX đều vô hại đã góp phần gây ra phân phối đại chúng phần mềm gián điệp Nhiều thành phần phần mềm gián điệp cũng khai thác lỗ hổng trong JavaScript, Internet Explorer và Windows để tự cài đặt mà người dùng không biết và/hoặc cho phép.

Sổ đăng ký Windows chứa nhiều phần, sau khi sửa đổi các giá trị khóa, cho phép chương trình tự động thực thi khi hệ điều hành khởi động. Phần mềm gián điệp có thể sử dụng mẫu này để bỏ qua các nỗ lực gỡ cài đặt và xóa.

Phần mềm gián điệp thường tự đính kèm từ mọi vị trí trong sổ đăng ký cho phép thực thi. Sau khi chạy, phần mềm gián điệp sẽ kiểm tra định kỳ xem liệu một trong các liên kết này đã bị xóa hay chưa. Nếu có thì nó sẽ tự động được khôi phục. Điều này đảm bảo rằng phần mềm gián điệp sẽ chạy trong quá trình khởi động hệ điều hành, ngay cả khi một số (hoặc hầu hết) mục trong sổ đăng ký khởi động bị xóa.

Phần mềm gián điệp, virus và sâu mạng

Không giống như virus và sâu mạng, phần mềm gián điệp thường không tự tái tạo. Giống như nhiều loại virus hiện đại, phần mềm gián điệp được đưa vào máy tính chủ yếu nhằm mục đích thương mại. Các biểu hiện điển hình bao gồm hiển thị quảng cáo bật lên, đánh cắp thông tin cá nhân (bao gồm thông tin tài chính như số thẻ tín dụng), theo dõi thói quen duyệt trang web hoặc chuyển hướng yêu cầu của trình duyệt đến các trang web quảng cáo hoặc khiêu dâm.

Lừa đảo qua điện thoại

Những người tạo phần mềm gián điệp có thể thực hiện hành vi lừa đảo trên đường dây điện thoại bằng cách sử dụng các chương trình kiểu quay số. Trình quay số có thể cấu hình lại modem để quay số điện thoại có giá trị cao thay vì ISP thông thường. Kết nối với những số điện thoại không đáng tin cậy này có cước phí quốc tế hoặc xuyên lục địa, dẫn đến hóa đơn điện thoại cao ngất ngưởng. Trình quay số không hoạt động hiệu quả trên các máy tính không có modem hoặc không được kết nối với đường dây điện thoại.

Phương pháp điều trị và phòng ngừa

Nếu mối đe dọa phần mềm gián điệp trở nên khó chịu hơn, có một số phương pháp để chống lại chúng. Chúng bao gồm các chương trình được thiết kế để loại bỏ hoặc chặn việc đưa phần mềm gián điệp vào, cũng như các mẹo khác nhau dành cho người dùng nhằm giảm khả năng phần mềm gián điệp xâm nhập vào hệ thống.

Tuy nhiên, phần mềm gián điệp vẫn là một vấn đề tốn kém. Khi một số lượng đáng kể các phần tử phần mềm gián điệp đã lây nhiễm vào hệ điều hành, biện pháp khắc phục duy nhất là lưu các tệp dữ liệu người dùng và cài đặt lại hoàn tất hệ điều hành.

Chương trình chống spyware

Các chương trình như Ad-Aware (miễn phí cho mục đích sử dụng phi thương mại, tính phí dịch vụ bổ sung) từ Lavasoft và Spyware Doctor từ PC Tools ( quét miễn phí, loại bỏ phần mềm gián điệp trả phí) đã nhanh chóng trở nên phổ biến như một công cụ loại bỏ hiệu quả và, trong một số trường hợp, là rào cản đối với phần mềm gián điệp. Năm 2004, Microsoft mua lại GIANT AntiSpyware, đổi tên nó thành Windows AntiSpyware beta và phát hành dưới dạng bản tải xuống miễn phí cho người dùng đã đăng ký Windows XP và Windows. máy chủ Windows 2003. Năm 2006, Microsoft đổi tên phiên bản beta thành Bộ bảo vệ Windowsđược phát hành dưới dạng tải xuống miễn phí (dành cho người dùng đã đăng ký) kể từ tháng 10 năm 2006 và được đưa vào như một công cụ tiêu chuẩn trong Windows Vista.

2.4 Sâu mạng

Sâu mạng– một loại chương trình máy tính tự tái tạo được phân phối trong mạng máy tính địa phương và toàn cầu. Worm là một chương trình độc lập.

Một số thí nghiệm đầu tiên về việc sử dụng sâu máy tính trong điện toán phân tán đã được John Shoch và Jon Hupp tiến hành tại Trung tâm nghiên cứu Xerox Palo Alto vào năm 1978. Thuật ngữ này bị ảnh hưởng bởi tiểu thuyết khoa học viễn tưởng When HARLEY Turned Year" của David Gerrold và của John Brunner. "Trên sóng xung kích"

Một trong những sâu máy tính nổi tiếng nhất là Morris Worm, được viết bởi Robert Morris Jr., lúc đó đang là sinh viên tại Đại học Cornell. Sự lây lan của sâu bắt đầu vào ngày 2 tháng 11 năm 1988, sau đó sâu nhanh chóng lây nhiễm một số lượng lớn các máy tính được kết nối với Internet.

Cơ chế phân phối

Giun có thể sử dụng nhiều cơ chế khác nhau (“vectơ”) để nhân giống. Một số sâu yêu cầu hành động cụ thể của người dùng để phát tán (ví dụ: mở một thư bị nhiễm trong ứng dụng email). Các loại sâu khác có thể lây lan một cách tự động, lựa chọn và tấn công máy tính một cách hoàn toàn tự động. Đôi khi có những con sâu với nhiều vectơ lây lan khác nhau, chiến lược lựa chọn nạn nhân và thậm chí khai thác cho các hệ điều hành khác nhau.

Kết cấu

Cái gọi là sâu thường trú trong RAM thường bị cô lập, chúng có thể lây nhiễm vào một chương trình đang chạy và cư trú trong RAM mà không ảnh hưởng đến Đĩa cứng. Bạn có thể loại bỏ những con sâu như vậy bằng cách khởi động lại máy tính (và theo đó, đặt lại RAM). Những loại sâu như vậy chủ yếu bao gồm một phần “lây nhiễm”: một phần khai thác (shellcode) và một tải trọng nhỏ (chính thân sâu), nằm hoàn toàn trong RAM. Điểm đặc biệt của những con sâu như vậy là chúng không được tải thông qua một trình tải như tất cả các tệp thực thi thông thường, có nghĩa là chúng chỉ có thể dựa vào các thư viện động đã được các chương trình khác tải vào bộ nhớ.

Ngoài ra còn có những con sâu, sau khi lây nhiễm thành công vào bộ nhớ, sẽ lưu mã trên ổ cứng và thực hiện các biện pháp để chạy mã này sau đó (ví dụ: bằng cách ghi các khóa tương ứng vào sổ đăng ký Windows). Những sâu như vậy chỉ có thể bị loại bỏ bằng cách sử dụng phần mềm chống vi-rút hoặc các công cụ tương tự. Thông thường, phần lây nhiễm của những loại sâu như vậy (khai thác, shellcode) chứa một tải trọng nhỏ, được tải vào RAM và có thể “tải” chính sâu đó trực tiếp qua mạng dưới dạng một tệp riêng biệt. Để làm điều này, một số sâu có thể chứa một ứng dụng khách TFTP đơn giản trong phần lây nhiễm. Phần thân của sâu được tải theo cách này (thường là một tệp thực thi riêng biệt) hiện chịu trách nhiệm quét và phát tán thêm từ hệ thống bị nhiễm và cũng có thể chứa một tải trọng đầy đủ, nghiêm trọng hơn, mục đích của nó có thể là vì ví dụ, gây ra một số tác hại (ví dụ: tấn công DoS).

Hầu hết các sâu email được phân phối dưới dạng một tệp duy nhất. Chúng không cần một phần "lây nhiễm" riêng biệt, vì thông thường người dùng nạn nhân, sử dụng ứng dụng email, tự nguyện tải xuống và khởi chạy toàn bộ sâu.

2.5 Rootkit

Rootkit– một chương trình hoặc bộ chương trình sử dụng công nghệ để ẩn các đối tượng hệ thống (tệp, quy trình, trình điều khiển, dịch vụ, khóa đăng ký, cổng mở, kết nối, v.v.) bằng cách bỏ qua các cơ chế hệ thống.

Thuật ngữ rootkit trong lịch sử xuất phát từ thế giới Unix, trong đó thuật ngữ này đề cập đến một bộ tiện ích mà hacker cài đặt trên máy tính bị hack sau khi có được quyền truy cập ban đầu. Theo quy định, đây là các công cụ hacker (máy dò tìm, máy quét) và các chương trình Trojan thay thế các tiện ích chính của Unix. Rootkit cho phép tin tặc có được chỗ đứng trong hệ thống bị xâm nhập và che giấu dấu vết hoạt động của hắn.

TRONG Hệ thống Windows Thuật ngữ rootkit thường được coi là một chương trình tự xâm nhập vào hệ thống và chặn các chức năng của hệ thống hoặc thay thế các thư viện hệ thống. Trước hết, việc chặn và sửa đổi các chức năng API cấp thấp cho phép một chương trình như vậy che giấu đầy đủ sự hiện diện của nó trong hệ thống, bảo vệ nó khỏi bị người dùng và phần mềm chống vi-rút phát hiện. Ngoài ra, nhiều rootkit có thể che dấu sự hiện diện trong hệ thống của bất kỳ quy trình nào được mô tả trong cấu hình, thư mục và tệp trên đĩa hoặc khóa trong sổ đăng ký. Nhiều rootkit cài đặt trình điều khiển và dịch vụ của riêng chúng vào hệ thống (chúng đương nhiên cũng “vô hình”).

Gần đây, mối đe dọa từ rootkit ngày càng trở nên phổ biến khi các nhà phát triển virus, Trojan và phần mềm gián điệp bắt đầu nhúng công nghệ rootkit vào phần mềm độc hại của họ. Một ví dụ kinh điển là chương trình Trojan-Spy. Win32. Qukart, che giấu sự hiện diện của nó trong hệ thống bằng công nghệ rootkit. Cơ chế RootKit của nó hoạt động tốt trên Windows 95, 98, ME, 2000 và XP.

Phân loại rootkit

Thông thường, tất cả các công nghệ rootkit có thể được chia thành hai loại:

· Rootkit hoạt động ở chế độ người dùng (user-mode)

· Rootkit chạy ở chế độ kernel (kernel-mode)

Ngoài ra, rootkit có thể được phân loại theo nguyên tắc hoạt động và tính bền bỉ của chúng. Dựa vào nguyên lý hoạt động:

· Thay đổi thuật toán thực hiện các chức năng của hệ thống.

· Thay đổi cấu trúc dữ liệu hệ thống.

3. Dấu hiệu máy tính của bạn bị nhiễm virus. Các hành động cần thực hiện nếu phát hiện nhiễm trùng

Sự hiện diện của virus trên máy tính rất khó bị phát hiện vì chúng ẩn mình giữa các tập tin thông thường. Bài viết này mô tả chi tiết hơn các dấu hiệu máy tính bị nhiễm virus cũng như các phương pháp khôi phục dữ liệu sau đó. virus tấn công và các biện pháp ngăn chặn chúng bị phần mềm độc hại phá hoại.

Dấu hiệu nhiễm trùng:

· hiển thị tin nhắn hoặc hình ảnh bất ngờ trên màn hình;

· đưa ra các tín hiệu âm thanh bất ngờ;

· Mở và đóng khay thiết bị CD-ROM bất ngờ;

· tùy ý, không có sự tham gia của bạn, khởi chạy bất kỳ chương trình nào trên máy tính của bạn;

· nếu có tường lửa trên máy tính của bạn, các cảnh báo sẽ xuất hiện về việc bất kỳ chương trình máy tính nào của bạn cố gắng truy cập Internet, mặc dù bạn không thực hiện điều này theo bất kỳ cách nào.

Nếu bạn nhận thấy điều tương tự xảy ra với máy tính của mình thì rất có thể máy tính của bạn đã bị nhiễm vi-rút.

Ngoài ra, có một số dấu hiệu đặc trưng của việc bị nhiễm virus qua email:

· bạn bè hoặc người quen cho bạn biết về những tin nhắn từ bạn mà bạn không gửi;

· trong bạn hộp thư có một số lượng lớn tin nhắn không có địa chỉ trả lại và tiêu đề.

Cần lưu ý rằng các triệu chứng như vậy không phải lúc nào cũng do sự hiện diện của virus gây ra. Đôi khi chúng có thể là hậu quả của những lý do khác. Ví dụ: trong trường hợp gửi thư, các thư bị nhiễm virus có thể được gửi cùng với địa chỉ gửi lại của bạn chứ không phải từ máy tính của bạn.

Ngoài ra còn có những dấu hiệu gián tiếp cho thấy máy tính của bạn bị nhiễm virus:

· đóng băng thường xuyên và trục trặc máy tính;

· Máy tính hoạt động chậm khi khởi chạy chương trình;

· không có khả năng tải hệ điều hành;

· Sự biến mất của các tập tin và thư mục hoặc nội dung của chúng bị biến dạng;

· truy cập thường xuyên vào ổ cứng (đèn trên bộ phận hệ thống nhấp nháy thường xuyên);

· Trình duyệt Internet bị treo hoặc hoạt động không mong muốn (ví dụ: không thể đóng cửa sổ chương trình).

Trong 90% trường hợp, sự xuất hiện của các triệu chứng gián tiếp là do lỗi phần cứng hoặc phần mềm. Mặc dù thực tế là các triệu chứng như vậy không có khả năng chỉ ra sự lây nhiễm, nhưng nếu chúng xuất hiện, bạn nên tiến hành quét toàn bộ máy tính của mình bằng chương trình chống vi-rút được cài đặt trên đó.

Các hành động cần thực hiện nếu phát hiện nhiễm trùng:

1. Ngắt kết nối máy tính của bạn khỏi Internet (khỏi mạng cục bộ).

2. Nếu triệu chứng nhiễm virus là bạn không thể khởi động từ ổ cứng của máy tính (máy tính báo lỗi khi bật lên), hãy thử khởi động vào chế độ bảo vệ khỏi sự cố hoặc từ đĩa khởi động khẩn cấp Windows mà bạn đã tạo khi cài đặt hệ điều hành. hệ thống trên máy tính.

3. Trước khi thực hiện bất kỳ hành động nào, hãy lưu kết quả công việc của bạn vào phương tiện bên ngoài (đĩa mềm, CD, ổ flash, v.v.).

4. Cài đặt phần mềm chống vi-rút nếu bạn chưa cài đặt bất kỳ chương trình chống vi-rút nào trên máy tính của mình.

5. Nhận các bản cập nhật mới nhất cho cơ sở dữ liệu chống vi-rút của bạn. Nếu có thể, để nhận được chúng, hãy truy cập Internet không phải từ máy tính của bạn mà từ máy tính chưa bị nhiễm virus của bạn bè, quán cà phê Internet hoặc từ cơ quan. Tốt hơn là nên sử dụng một máy tính khác, vì khi bạn kết nối Internet từ một máy tính bị nhiễm virus, rất có thể vi-rút sẽ gửi thông tin quan trọng cho kẻ tấn công hoặc lây lan vi-rút đến các địa chỉ trong sổ địa chỉ của bạn. Đó là lý do tại sao, nếu bạn nghi ngờ có sự lây nhiễm, tốt nhất bạn nên ngắt kết nối Internet ngay lập tức.

6. Chạy quét toàn bộ máy tính của bạn.

4. Phương pháp chống phần mềm độc hại

virus máy tính nhiễm trojan

Không có biện pháp bảo vệ 100% chống lại tất cả phần mềm độc hại: không ai tránh khỏi các hành vi khai thác như Sasser hoặc Conficker. Để giảm nguy cơ mất mát do phần mềm độc hại, chúng tôi khuyên bạn nên:

· sử dụng các hệ điều hành hiện đại có mức độ bảo vệ nghiêm ngặt chống lại phần mềm độc hại;

· cài đặt các bản vá kịp thời; nếu có chế độ cập nhật tự động, hãy kích hoạt nó;

· liên tục làm việc trên máy tính cá nhân độc quyền theo quyền của người dùng chứ không phải với tư cách quản trị viên, điều này sẽ không cho phép cài đặt hầu hết các chương trình độc hại trên máy tính cá nhân;

· sử dụng các sản phẩm phần mềm chuyên dụng sử dụng cái gọi là máy phân tích heuristic (hành vi) để chống lại phần mềm độc hại, tức là những sản phẩm không yêu cầu cơ sở chữ ký;

· sử dụng các sản phẩm phần mềm diệt virus nhà sản xuất nổi tiếng, với việc cập nhật tự động cơ sở dữ liệu chữ ký;

· sử dụng Tường lửa cá nhân để kiểm soát quyền truy cập Internet từ máy tính cá nhân dựa trên các chính sách do người dùng đặt ra;

· giới hạn Truy cập vật lý tới máy tính của những người không được phép;

· chỉ sử dụng phương tiện bên ngoài từ các nguồn đáng tin cậy;

· Đừng mở tập tin máy tính nhận được từ các nguồn không đáng tin cậy;

· vô hiệu hóa tính năng tự động chạy từ phương tiện di động, điều này sẽ không cho phép các mã trên đó chạy mà người dùng không biết (đối với Windows, bạn cần gpedit.msc->Mẫu quản trị (Cấu hình người dùng)->Hệ thống->Tắt tính năng Tự động chạy->Đã bật “bật” tất cả các ổ đĩa”).

Biện pháp bảo vệ hiện đại chống lại nhiều dạng phần mềm độc hại khác nhau bao gồm nhiều thành phần phần mềm và các phương pháp phát hiện ứng dụng “tốt” và “xấu”. Ngày nay, các nhà cung cấp phần mềm chống vi-rút tích hợp máy quét vào chương trình của họ để phát hiện phần mềm gián điệp và mã độc hại khác, vì vậy mọi thứ đều được thực hiện để bảo vệ người dùng cuối. Tuy nhiên, không có gói chống phần mềm gián điệp nào là hoàn hảo. Một sản phẩm có thể quá gần với các chương trình, chặn chúng khi có nghi ngờ nhỏ nhất, bao gồm cả việc “dọn dẹp” các tiện ích hữu ích mà bạn thường xuyên sử dụng. Một sản phẩm khác thân thiện với chương trình hơn nhưng có thể bỏ lỡ một số mã gián điệp. Vì vậy, thật không may, không có thuốc chữa bách bệnh.

Không giống như các gói chống vi-rút thường đạt điểm hiệu quả 100% trong việc phát hiện vi-rút trong thử nghiệm chuyên nghiệp do các chuyên gia thực hiện như Virus Bulletin, không có gói chống phần mềm quảng cáo nào đạt điểm trên 90% và nhiều sản phẩm khác có hiệu quả từ 70% đến 80%.

Điều này giải thích tại sao việc sử dụng đồng thời một chương trình chống vi-rút và phần mềm gián điệp là cách tốt nhất để bảo vệ hoàn toàn hệ thống của bạn khỏi những nguy hiểm có thể xảy ra bất ngờ. Thực tiễn cho thấy rằng nên sử dụng một gói làm "trình chặn" vĩnh viễn được tải mỗi khi bật máy tính (ví dụ: AVP 6.0), trong khi gói khác (hoặc nhiều hơn) phải được chạy ít nhất một lần một tuần để cung cấp thêm quét (ví dụ: Ad-Aware). Vì vậy, gói nào bị thiếu thì gói khác có thể phát hiện được.

5. Phân loại chương trình diệt virus

Các loại chương trình diệt virus

Evgeny Kaspersky vào năm 1992 đã sử dụng cách phân loại phần mềm chống vi-rút sau đây tùy thuộc vào nguyên tắc hoạt động của chúng (xác định chức năng):

· Máy quét(phiên bản lỗi thời - “polyphages”) - xác định sự hiện diện của vi-rút bằng cơ sở dữ liệu chữ ký lưu trữ chữ ký (hoặc tổng kiểm tra) virus. Hiệu quả của chúng được xác định bởi mức độ phù hợp của chúng cơ sở virus và sự hiện diện của máy phân tích heuristic (xem: Quét heuristic).

· Kiểm toán viên(một lớp gần với IDS) – chúng ghi nhớ trạng thái của hệ thống tệp, điều này giúp phân tích các thay đổi trong tương lai.

· Người canh gác(màn hình) – giám sát các hoạt động nguy hiểm tiềm ẩn, đưa ra yêu cầu tương ứng cho người dùng để cho phép / cấm hoạt động.

· Vắc-xin– thay đổi tệp ghép theo cách mà vi-rút chống lại tệp ghép đã được coi là tệp bị nhiễm. Trong điều kiện hiện đại (2007), khi số lượng virus có thể được đo bằng hàng trăm nghìn, phương pháp này không thể áp dụng được.

Các phần mềm chống vi-rút hiện đại kết hợp tất cả các chức năng trên.

Phần mềm chống vi-rút cũng có thể được chia thành:

Sản phẩm dành cho người dùng gia đình:

· Trên thực tế là phần mềm chống vi-rút;

· Các sản phẩm kết hợp (ví dụ: chống thư rác, tường lửa, chống rootkit, v.v. được thêm vào phần mềm chống vi-rút cổ điển);

Sản phẩm của doanh nghiệp:

· Phần mềm diệt virus máy chủ;

· Phần mềm diệt virus trên máy trạm (“điểm cuối”).

Hiện đại đại lý chống vi-rút bảo vệ và chính của họ tính năng chức năng

BitDefender Antivirus Plus v10.

Các tính năng chức năng chính:

· Heuristics trong chức năng Môi trường ảo – mô phỏng một máy ảo, với sự trợ giúp của các đối tượng nguy hiểm tiềm tàng được quét bằng thuật toán heuristic;

· tự động xác minh dữ liệu được truyền qua giao thức POP3, hỗ trợ các ứng dụng email phổ biến nhất (MS Exchange, MS Outlook, MS Outlook Express, Netscape, Eudora, Hương sen, Phi mã, Con dơi và những người khác);

· bảo vệ chống lại vi-rút lây lan qua mạng chia sẻ tệp ngang hàng;

· tạo danh sách thư rác cá nhân cho người dùng.

CPU Intel Pentium II 350 MHz, RAM 128 MB, 60 MB không gian trông trên ổ cứng, Windows 98/NT/Me/2000/XP.

Eset NOD32 2.5

· phân tích heuristic để phát hiện các mối đe dọa chưa biết;

· Công nghệ ThreatSense – phân tích tệp để phát hiện vi-rút, phần mềm gián điệp, quảng cáo không được yêu cầu (phần mềm quảng cáo), các cuộc tấn công lừa đảo và các mối đe dọa khác;

· kiểm tra và loại bỏ vi-rút khỏi các tệp bị khóa ghi (ví dụ: các tệp DLL được bảo vệ bởi hệ thống bảo mật Windows);

· Xác minh các giao thức HTTP, POP3 và PMTP.

Yêu cầu hệ thống tối thiểu: Bộ xử lý Intel Pentium, RAM 32 MB, dung lượng ổ cứng trống 30 MB, Windows 95/98/NT/Me/2000/XP.

Phần mềm diệt virus kaspersky 6.0

Các tính năng chức năng chính:

· kiểm tra lưu lượng ở cấp độ giao thức POP3, IMAP và NNTP đối với thư đến và SMTP đối với thư đi, plugin đặc biệt cho Microsoft Outlook, Microsoft Outlook Express và The Bat!;

· cảnh báo người dùng nếu phát hiện các thay đổi cả trong các quy trình thông thường và khi phát hiện các quy trình ẩn, nguy hiểm và đáng ngờ;

· kiểm soát các thay đổi được thực hiện đối với sổ đăng ký hệ thống;

· chặn các macro Visual Basic for Application nguy hiểm trong các tài liệu Microsoft Office.

Yêu cầu hệ thống tối thiểu: Bộ xử lý Intel Pentium 133 MHz, RAM 32 MB, dung lượng ổ cứng trống 50 MB, tính khả dụng Hệ thống Microsoft Windows 98/NT/2000/Me/XP.

McAfee VirusScan Pro 10 (2006)

Các tính năng chức năng chính:

· Bảo vệ chống lại virus, virus macro, Trojan, sâu Internet, phần mềm gián điệp, phần mềm quảng cáo, các điều khiển ActiveX và Java độc hại;

· tự động kiểm tra email đến (POP3) và gửi đi (SMTP);

· Công nghệ ScriptStopper và WormStopper để chặn hoạt động độc hại của các tập lệnh và sâu.

Yêu cầu hệ thống tối thiểu: Bộ xử lý Intel Pentium 133 MHz, RAM 64 MB, dung lượng ổ cứng trống 40 MB, Windows 98/Me/2000/XP.

Tiến sĩ Web 4.33a

Các tính năng chức năng chính:

· Bảo vệ chống lại sâu, virus, Trojan, virus đa hình, virus macro, phần mềm gián điệp, trình quay số, phần mềm quảng cáo, tiện ích của hacker và các tập lệnh độc hại;

· cập nhật cơ sở dữ liệu chống vi-rút lên đến vài lần mỗi giờ, kích thước của mỗi bản cập nhật lên tới 15 KB;

· kiểm tra bộ nhớ hệ thống của máy tính để phát hiện các virus không tồn tại ở dạng tệp (ví dụ CodeRed hoặc Slammer);

· một bộ phân tích theo kinh nghiệm cho phép bạn vô hiệu hóa các mối đe dọa chưa biết trước khi các bản cập nhật cơ sở dữ liệu vi-rút tương ứng được phát hành.

Yêu cầu hệ thống tối thiểu: tính khả dụng của Windows 95/98/NT/Tôi/2000/XP. Các yêu cầu phần cứng tương ứng với các yêu cầu đã nêu cho hệ điều hành được chỉ định.

Phần kết luận

Nếu bạn chưa từng gặp virus máy tính trước đây thì chắc chắn bạn sẽ gặp phải chúng. Đã có lúc phần mềm diệt virus mới xuất hiện và virus đã phát huy hết tác dụng, gây thiệt hại hàng triệu đô la mỗi ngày. Tất nhiên, ngày nay, vi-rút cũng có thể khiến cuộc sống của chúng ta trở nên khó chịu, nhưng trong hầu hết các trường hợp, ngay cả người dùng bình thường cũng có thể dọn sạch phần mềm độc hại trên PC của họ. Nhưng một vài năm trước, bạn phải định dạng lại hoàn toàn ổ cứng của mình và bắt đầu lại từ đầu. Nhưng ngay cả điều này không phải lúc nào cũng dẫn đến kết quả mong muốn.

Hãy nhớ: để bảo vệ máy tính của mình, bạn cần cài đặt và cập nhật chương trình chống vi-rút. Đừng mắc phải thủ đoạn của những kẻ lừa đảo, bỏ qua thư rác và cẩn thận khi cài đặt các chương trình không được cấp phép trên PC của bạn.

Danh sách các nguồn

1. ITipedia http://www.itpedia.ru/index.php/

2. Wikipedia (bách khoa toàn thư miễn phí) http://ru.wikipedia.org/wiki/

3. bài viết http://roox.net.ru/infosec/04/

4. bài viết http://www.thg.ru/software/malware_spyware_faq/index.html

5. bài viết http://www.oxpaha.ru/publisher_234_28501

KHÁI NIỆM VÀ CÁC LOẠI PHẦN MỀM ĐỘC LẬP

Những báo cáo đầu tiên về các chương trình độc hại được cố tình và ngấm ngầm đưa vào phần mềm của nhiều hệ thống máy tính khác nhau xuất hiện vào đầu những năm 80. Cái tên “virus máy tính” xuất phát từ sự giống nhau của nó với một nguyên mẫu sinh học, xét về khả năng sinh sản độc lập. Đến cái mới khu vực máy tính Một số thuật ngữ y học và sinh học khác cũng được chuyển giao, chẳng hạn như đột biến, chủng, vắc xin, v.v. Thông báo về các chương trình mà khi một số điều kiện nhất định xảy ra, bắt đầu tạo ra các hành động có hại, chẳng hạn như sau một số lần khởi động nhất định, chúng sẽ phá hủy hệ thống. thông tin được lưu trữ trong hệ thống, tuy nhiên, chúng không có khả năng tự sao chép đặc trưng của virus; chúng xuất hiện sớm hơn nhiều

1.Lu-ca. Một điều kiện tạo điều kiện thuận lợi cho việc thực hiện nhiều loại mối đe dọa an toàn thông tin trong công nghệ thông tin là sự xuất hiện của các “bẫy”. Cửa sổ thường được chèn vào chương trình ở giai đoạn gỡ lỗi để giúp công việc dễ dàng hơn: mô-đun này có thể được gọi ở những nơi khác nhau, cho phép bạn gỡ lỗi từng phần của chương trình một cách độc lập. Sự hiện diện của cửa sập cho phép bạn gọi chương trình theo cách không chuẩn, điều này có thể ảnh hưởng đến trạng thái của hệ thống bảo mật. Các cửa sập có thể vẫn còn trong chương trình bằng cách nhiều lý do khác nhau. Việc phát hiện các cửa sập là kết quả của quá trình tìm kiếm ngẫu nhiên và tốn nhiều công sức. Chỉ có một biện pháp bảo vệ chống lại các cửa hầm - không cho phép chúng xuất hiện trong chương trình và khi được chấp nhận sản phẩm phần mềmđược phát triển bởi các nhà sản xuất khác nên được phân tích văn bản nguồn các chương trình nhằm mục đích phát hiện các cửa sập.

2. Bom logicđược sử dụng để bóp méo hoặc phá hủy thông tin; ít thường xuyên hơn, chúng được sử dụng để thực hiện hành vi trộm cắp hoặc lừa đảo. Bom logic đôi khi được chèn vào trong quá trình phát triển chương trình và nó được kích hoạt khi đáp ứng một số điều kiện (thời gian, ngày tháng, từ mã). Thao túng bom logic cũng là việc mà những nhân viên bất mãn đang có ý định rời tổ chức làm, nhưng đây cũng có thể là những nhà tư vấn, những nhân viên có niềm tin chính trị nhất định, v.v. Ví dụ thực tế quả bom logic: một lập trình viên, đoán trước được việc mình bị sa thải, thực hiện một số thay đổi nhất định đối với chương trình trả lương, bắt đầu có hiệu lực khi tên của anh ta biến mất khỏi bộ dữ liệu nhân sự của công ty.

3. Con ngựa thành Troy- một chương trình thực hiện, ngoài các hành động chính, tức là các hành động được thiết kế và ghi lại, các hành động bổ sung không được mô tả trong tài liệu. Sự tương tự với con ngựa thành Troy của Hy Lạp cổ đại là hợp lý - trong cả hai trường hợp, mối đe dọa ẩn giấu trong một lớp vỏ không đáng ngờ. Trojan horse là một khối lệnh bổ sung được chèn bằng cách này hay cách khác vào chương trình vô hại ban đầu, sau đó được chuyển (tặng, bán) cho người dùng CNTT. Khối lệnh này có thể được kích hoạt khi một điều kiện nhất định xảy ra (ngày, giờ, bằng lệnh bên ngoài, v.v.). Trojan horse thường hoạt động trong phạm vi quyền hạn của một người dùng nhưng vì lợi ích của người dùng khác hoặc thậm chí là một người lạ mà danh tính của họ đôi khi không thể xác định được. Một con ngựa thành Troy có thể thực hiện những hành động nguy hiểm nhất nếu người dùng khởi chạy nó có một bộ đặc quyền mở rộng. Trong trường hợp này, kẻ tấn công đã tạo và giới thiệu một con ngựa Trojan và bản thân không có những đặc quyền này có thể thực hiện các chức năng đặc quyền trái phép bằng cách sử dụng tay sai. Một cách triệt để để bảo vệ khỏi mối đe dọa này là tạo ra một môi trường khép kín để sử dụng các chương trình.

4. Giun- một chương trình lan truyền qua mạng và không để lại bản sao của chính nó trên môi trường từ tính.

Sâu sử dụng cơ chế hỗ trợ mạng để xác định máy chủ nào có thể bị nhiễm. Sau đó, bằng cách sử dụng các cơ chế tương tự, nó chuyển phần thân hoặc một phần của nó sang nút này và kích hoạt hoặc chờ các điều kiện thích hợp cho việc này. Môi trường thích hợp để sâu lây lan là một mạng lưới nơi tất cả người dùng được coi là thân thiện và tin cậy lẫn nhau và không có cơ chế bảo vệ. Cách tốt nhất để bảo vệ khỏi sâu máy tính là thực hiện các biện pháp phòng ngừa chống truy cập mạng trái phép

5. Trình lấy mật khẩu- Đây là những chương trình được thiết kế đặc biệt để đánh cắp mật khẩu. Khi người dùng cố gắng truy cập vào máy trạm, thông tin cần thiết để kết thúc phiên làm việc sẽ được hiển thị trên màn hình. Khi cố gắng đăng nhập, người dùng sẽ nhập tên và mật khẩu, những thông tin này sẽ được gửi đến chủ sở hữu của kẻ xâm lược, sau đó một thông báo lỗi được hiển thị và thông tin đầu vào cũng như quyền kiểm soát sẽ được trả về hệ điều hành. Một người dùng cho rằng mình đã gõ sai mật khẩu sẽ đăng nhập lại và có quyền truy cập vào hệ thống. Tuy nhiên, tên và mật khẩu của nó đã được chủ sở hữu của chương trình xâm lược biết. Việc chặn mật khẩu cũng có thể được thực hiện theo những cách khác. Để ngăn chặn mối đe dọa này, trước khi đăng nhập, bạn phải đảm bảo rằng bạn nhập chính xác tên người dùng và mật khẩu của mình chương trình hệ thốngđầu vào chứ không phải bất kỳ đầu vào nào khác. Ngoài ra, bạn phải tuân thủ nghiêm ngặt các quy định sử dụng mật khẩu và làm việc với hệ thống. Hầu hết các vi phạm xảy ra không phải do tấn công khéo léo mà do sơ suất cơ bản. Tuân thủ các quy tắc được phát triển đặc biệt để sử dụng mật khẩu - Điều kiện cần thiết bảo vệ đáng tin cậy.

7. Virus máy tính Thông thường, người ta thường đề cập đến một chương trình nhỏ, được viết đặc biệt, có khả năng tự động gắn vào các chương trình khác (tức là lây nhiễm chúng), tạo các bản sao của chính nó (không nhất thiết phải hoàn toàn giống với bản gốc) và đưa chúng vào các tệp, vùng hệ thống. của máy tính cá nhân và các máy tính khác được kết nối với nó nhằm mục đích vi phạm hoạt động binh thương chương trình, làm hỏng các tập tin và thư mục, tạo ra nhiều sự can thiệp khác nhau khi làm việc trên máy tính.

CÁC LOẠI VI-RÚT MÁY TÍNH, PHÂN LOẠI CỦA CHÚNG

Cách thức hoạt động của hầu hết virus là nhờ sự thay đổi này tập tin hệ thống PC, để virus bắt đầu hoạt động mỗi khi máy tính cá nhân được khởi động. Một số virus lây nhiễm vào các tập tin khởi động hệ thống, một số khác chuyên về nhiều loại virus khác nhau. file chương trình. Bất cứ khi nào người dùng sao chép tệp vào phương tiện lưu trữ máy tính hoặc gửi tệp bị nhiễm qua mạng, bản sao vi-rút được truyền sẽ cố gắng tự cài đặt trên đĩa mới. Mọi hành động của vi-rút có thể được thực hiện khá nhanh chóng và không đưa ra bất kỳ thông báo nào, vì vậy người dùng thường không nhận thấy rằng PC của mình bị nhiễm và không có thời gian để thực hiện các biện pháp thích hợp. Để phân tích tác động của virus máy tính, khái niệm vòng đời virus, bao gồm bốn giai đoạn chính:

1. Thực hiện

2. Thời kỳ ủ bệnh (chủ yếu để che giấu nguồn thâm nhập)

3. Sinh sản (tự nhân giống)

4. Phá hủy (bóp méo và/hoặc phá hủy thông tin)

Mục tiêu của virus máy tính có thể được chia thành hai nhóm:

1. Để kéo dài sự tồn tại của chúng, vi-rút lây nhiễm vào các chương trình khác, và không phải tất cả, mà là những chương trình được sử dụng thường xuyên nhất và/hoặc có mức độ ưu tiên cao về thông tin

2. Virus thường hoạt động với mục đích phá hủy dữ liệu và ít thường xuyên hơn trên các chương trình.

Các phương thức biểu hiện của virus máy tính bao gồm:

Làm chậm máy tính cá nhân, bao gồm cả việc treo và dừng;

Thay đổi dữ liệu trong các tập tin tương ứng;

Không thể tải hệ điều hành;

Chấm dứt hoạt động hoặc vận hành không chính xác một chương trình người dùng đã hoạt động thành công trước đó;

Tăng số lượng tệp trên đĩa;

Thay đổi kích thước tập tin;

Trục trặc của hệ điều hành, yêu cầu khởi động lại định kỳ;

Xuất hiện định kỳ các thông báo không phù hợp trên màn hình điều khiển;

Sự xuất hiện của hiệu ứng âm thanh;

Giảm dung lượng RAM trống;

Thời gian truy cập ổ cứng tăng lên đáng kể;

Thay đổi ngày giờ tạo tập tin;

Phá hủy cấu trúc tập tin (biến mất tập tin, hỏng thư mục);

Đèn cảnh báo ổ đĩa bật sáng khi không có người dùng truy cập vào;

Định dạng đĩa mà không cần lệnh của người dùng, v.v.

Virus có thể được phân loại theo các đặc điểm sau:

1. Theo loại môi trường sống Virus được chia thành các loại sau:

· khởi động được nhúng vào khu vực khởi động của đĩa hoặc trong khu vực chứa chương trình khởi động đĩa hệ thống;

· tài liệu được nhúng chủ yếu trong các tệp thực thi có phần mở rộng .COM Và .EXE;

· mang tính hệ thống thâm nhập các mô-đun và trình điều khiển hệ thống thiết bị ngoại vi, bảng phân bổ tệp và bảng phân vùng;

· mạng virus sống trong mạng máy tính;

· khởi động tập tin Chúng ảnh hưởng đến các phần khởi động của đĩa và tệp chương trình ứng dụng.

2. Theo mức độ ảnh hưởng đến tài nguyên của hệ thống máy tính và mạng nổi bật :

vô hại virus , điều đó không có tác động phá hủy hoạt động của máy tính cá nhân, nhưng có thể lấp đầy RAM do quá trình tái tạo của chúng;

không nguy hiểm Virus không phá hủy tập tin mà làm giảm bộ nhớ đĩa trống, hiển thị hiệu ứng đồ họa trên màn hình, tạo hiệu ứng âm thanh vân vân.;

nguy hiểm vi-rút thường dẫn đến nhiều gián đoạn nghiêm trọng khác nhau trong hoạt động của máy tính cá nhân và tất cả công nghệ thông tin;

phá hoại dẫn đến việc thông tin bị xóa, gián đoạn toàn bộ hoặc một phần các chương trình ứng dụng...v.v.

3. Theo phương pháp lây nhiễm của môi trường sống virus được chia thành các nhóm sau:

virus thường trú Khi một máy tính bị nhiễm virus, chúng để lại phần cư trú của mình trong RAM, sau đó chặn các cuộc gọi của hệ điều hành đến các đối tượng lây nhiễm khác, xâm nhập chúng và thực hiện các hành động phá hoại cho đến khi máy tính bị tắt hoặc khởi động lại. Chương trình thường trú là một chương trình nằm cố định trong RAM của máy tính cá nhân.

virus không cư trú không lây nhiễm vào RAM của máy tính cá nhân và hoạt động trong một thời gian giới hạn.

4. Đặc điểm thuật toán xây dựng virus ảnh hưởng đến sự biểu hiện và hoạt động của chúng. Các loại virus sau đây được phân biệt:

§ máy sao chép, do tốc độ sao chép nhanh nên dẫn đến tràn bộ nhớ chính, đồng thời việc phá hủy các chương trình sao chép trở nên khó khăn hơn nếu chương trình được sao chép không phải là bản sao chính xác của bản gốc;

§ biến đổi theo thời gian chúng thay đổi và tự sản xuất. Đồng thời, tự sao chép, họ tạo ra những bản sao khác biệt rõ ràng với bản gốc;

§ virus tàng hình (vô hình) chặn các cuộc gọi từ hệ điều hành đến các tệp và khu vực đĩa bị nhiễm và thay thế các đối tượng không bị nhiễm vào vị trí của chúng. Khi truy cập các tệp, những loại vi-rút như vậy sử dụng các thuật toán khá độc đáo cho phép chúng "đánh lừa" các trình giám sát chống vi-rút thường trú;

§ virus macrovirus sử dụng khả năng của ngôn ngữ macro được tích hợp trong các chương trình xử lý dữ liệu văn phòng ( soạn thảo văn bản, bảng tính, v.v.).

Chương trình độc hại-- bất kỳ phần mềm nào được thiết kế để truy cập trái phép vào tài nguyên máy tính của chính máy tính hoặc vào thông tin được lưu trữ trên máy tính nhằm mục đích sử dụng trái phép tài nguyên máy tính hoặc gây tổn hại cho chủ sở hữu thông tin (hoặc chủ sở hữu máy tính) bằng cách sao chép, bóp méo, xóa hoặc thay thế thông tin.

Phần mềm độc hại được chia thành ba loại chính: virus máy tính, sâu mạng và ngựa Trojan. Chúng ta hãy xem xét từng người trong số họ chi tiết hơn.

Virus máy tính

Loại phần mềm độc hại này là loại phổ biến nhất trong số các loại khác.

Virus máy tính là một loại chương trình máy tính, đặc điểm nổi bật của nó là khả năng sao chép (tự sao chép). Ngoài ra, vi-rút có thể làm hỏng hoặc phá hủy hoàn toàn tất cả các tệp và dữ liệu do người dùng thay mặt họ khởi chạy chương trình bị nhiễm, cũng như làm hỏng hoặc thậm chí phá hủy toàn bộ hệ điều hành với tất cả các tệp.

Thông thường, việc vi-rút xâm nhập vào máy tính cá nhân của người dùng là lỗi của chính người dùng, người không kiểm tra thông tin vào máy tính bằng chương trình chống vi-rút, do đó trên thực tế đã xảy ra lây nhiễm. Có khá nhiều cách để "lây nhiễm" một loại vi-rút cổ điển vào máy tính (phương tiện lưu trữ ngoài, tài nguyên Internet, các tệp được phân phối qua mạng)

Virus được chia thành các nhóm theo hai đặc điểm chính: theo môi trường sống, theo phương thức lây nhiễm.

Dựa vào môi trường sống, người ta chia virus thành:

· Tài liệu(được chèn vào các tập tin thực thi)
· Khởi động(được đưa vào khu vực khởi động của đĩa hoặc vào khu vực chứa bộ tải khởi động hệ thống ổ cứng)
· Mạng(phân phối qua mạng máy tính)
· kết hợp(ví dụ: vi-rút khởi động tệp lây nhiễm vào cả tệp và khu vực khởi động của đĩa. Những vi-rút này có cách ban đầu thuật toán thâm nhập và vận hành phức tạp)

Theo phương pháp lây nhiễm, chúng được chia thành:

Sâu mạng

Loại phần mềm độc hại lớn tiếp theo được gọi là “Network Worms”.

Sâu mạng là một mã chương trình độc hại có khả năng phát tán các bản sao của chính nó trên khắp địa phương và/hoặc mạng lưới toàn cầu với mục đích xâm nhập vào máy tính, tung ra bản sao của nó trên máy tính này và phân phối thêm. Để lây lan, sâu sử dụng email, mạng irc, lan, mạng trao đổi dữ liệu giữa các thiết bị di động, v.v. Hầu hết sâu được phát tán dưới dạng tệp (đính kèm thư, liên kết đến tệp). Nhưng cũng có những loại sâu lây lan dưới dạng các gói tin mạng. Những loại như vậy xâm nhập trực tiếp vào bộ nhớ máy tính và ngay lập tức bắt đầu hoạt động thường trú. Một số cách được sử dụng để xâm nhập máy tính nạn nhân: tự định hướng (sâu gói), hướng người dùng (kỹ thuật xã hội), cũng như các lỗ hổng khác nhau trong hệ thống bảo mật của hệ điều hành và ứng dụng. Một số sâu có đặc tính của các loại phần mềm độc hại khác (thường là ngựa Trojan).

Các loại sâu mạng:

Sâu email. Cái này hệ thống độc hại, nằm trong một tệp đính kèm với email. Các tác giả của sâu thư sử dụng mọi cách để khuyến khích tệp đính kèm có vi-rút được thực thi. Nó được ngụy trang dưới dạng một trò chơi mới, bản cập nhật hoặc chương trình phổ biến. Kích hoạt hoạt động trên máy tính của bạn, sâu thư trước tiên sẽ gửi một bản sao của chính nó qua e-mail, sử dụng sổ địa chỉ của bạn, sau đó gây hại cho máy tính của bạn.

· Sâu Internet Messenger (IM-Worm). Hoạt động của “sâu” này gần như lặp lại hoàn toàn phương thức phân phối được sử dụng bởi sâu thư, chỉ có điều nhà cung cấp dịch vụ không phải là email mà là một tin nhắn được triển khai trong các chương trình nhắn tin tức thời.
· Worm cho mạng chia sẻ file (P2P-Worm). Để xâm nhập vào mạng P2P, sâu chỉ cần sao chép chính nó vào thư mục chia sẻ tệp, thư mục này thường nằm trên máy cục bộ. Mạng P2P đảm nhiệm tất cả công việc còn lại trong quá trình phân phối của nó - khi tìm kiếm tệp trên mạng, nó sẽ báo cáo người dùng từ xa về tệp này và sẽ cung cấp dịch vụ tải xuống tệp từ máy tính bị nhiễm.

Có nhiều loại sâu phức tạp hơn thuộc loại này bắt chước giao thức mạng của một hệ thống chia sẻ tệp cụ thể và phản hồi tích cực với truy vấn tìm kiếm. Trong trường hợp này, sâu cung cấp một bản sao của chính nó để tải xuống.

Sử dụng phương pháp đầu tiên, sâu tìm kiếm trên mạng các máy có tài nguyên mở để ghi và sao chép. Đồng thời anh ta có thể ngẫu nhiên tìm máy tính và cố gắng mở quyền truy cập vào tài nguyên. Để xâm nhập bằng phương pháp thứ hai, sâu tìm kiếm các máy tính được cài đặt phần mềm có chứa lỗ hổng nghiêm trọng. Do đó, sâu sẽ gửi một gói (yêu cầu) được tạo ra đặc biệt và một phần của "sâu" sẽ xâm nhập vào máy tính, sau đó nó tải toàn bộ tệp xuống và khởi chạy để thực thi.

Trojan

Trojan hoặc chương trình thuộc loại “Trojan horse” được viết với mục đích gây thiệt hại cho máy tính mục tiêu bằng cách thực hiện các hành động trái phép của người dùng: đánh cắp dữ liệu, làm hỏng hoặc xóa dữ liệu bí mật, làm gián đoạn PC hoặc sử dụng tài nguyên của nó cho những mục đích không chính đáng.

Một số chương trình Trojan có khả năng vượt qua hệ thống bảo mật một cách độc lập hệ thống máy tínhđể thâm nhập vào nó. Tuy nhiên, trong hầu hết các trường hợp, chúng xâm nhập vào PC cùng với một loại virus khác. Ngựa Trojan có thể được coi là phần mềm độc hại bổ sung. Thông thường, người dùng tự tải xuống các chương trình Trojan từ Internet.

Chu kỳ hoạt động của Trojan có thể được xác định theo các giai đoạn sau:

- thâm nhập vào hệ thống.
- kích hoạt.
- thực hiện các hành động độc hại.

Các chương trình Trojan khác nhau về hành động mà chúng thực hiện trên PC bị nhiễm.

· Trojan-PSW. Mục đích - Đánh cắp mật khẩu. Loại Trojan này có thể được sử dụng để tìm kiếm các tệp hệ thống lưu trữ nhiều thông tin bí mật khác nhau (ví dụ: mật khẩu) và thông tin đăng ký “đánh cắp” cho nhiều phần mềm khác nhau.
· Trình tải xuống Trojan. Mục đích - Cung cấp các chương trình độc hại khác. Kích hoạt các chương trình được tải xuống từ Internet (khởi chạy để thực thi, đăng ký tự động tải)
· Trojan nhỏ giọt. Cài đặt trên đĩa của người khác tập tin độc hại, sự ra mắt và thực thi của chúng
· Proxy Trojan. Chúng cung cấp quyền truy cập ẩn danh từ PC của “nạn nhân” vào các tài nguyên Internet khác nhau. Dùng để gửi thư rác.
· gián điệp trojan. Chúng là phần mềm gián điệp. Chúng thực hiện hoạt động gián điệp điện tử đối với người dùng PC bị nhiễm: thông tin đã nhập, ảnh chụp màn hình, danh sách các ứng dụng đang hoạt động, hành động của người dùng được lưu trong một tệp và gửi định kỳ cho kẻ tấn công.
· Trojan(Trojan khác). Chúng thực hiện các hành động khác thuộc định nghĩa của các chương trình Trojan, chẳng hạn như phá hủy hoặc sửa đổi dữ liệu, làm gián đoạn PC.
· Cửa sau. Là tiện ích quản trị từ xa. Chúng có thể được sử dụng để phát hiện và chuyển thông tin bí mật cho kẻ tấn công, phá hủy dữ liệu, v.v.
· ArcBomb (“Bom” trong kho lưu trữ). Gây ra hành vi bất thường của người lưu trữ khi cố gắng giải nén dữ liệu
RootKit. Mục đích - Ẩn sự hiện diện trong hệ điều hành. Bằng cách sử dụng Mã chương trình sự hiện diện của một số đối tượng nhất định trong hệ thống bị ẩn: quy trình, tệp, dữ liệu đăng ký, v.v.

Trong số này, phần mềm gián điệp được sử dụng rộng rãi nhất là Trojan-Spy và RootKit (rootkit). Chúng ta hãy xem xét chúng chi tiết hơn.

Rootkit. Trong hệ thống Windows, RootKit được coi là một chương trình tự xâm nhập trái phép vào hệ thống, chặn các cuộc gọi đến các chức năng hệ thống (API) và sửa đổi thư viện hệ thống. Việc chặn các API cấp thấp cho phép một chương trình như vậy che giấu sự hiện diện của nó trên hệ thống, bảo vệ nó khỏi bị người dùng và phần mềm chống vi-rút phát hiện.

Thông thường, tất cả các công nghệ rootkit có thể được chia thành hai loại:

· Rootkit hoạt động ở chế độ người dùng (user-mode)
· Rootkit chạy ở chế độ kernel (kernel-mode)

Đôi khi rootkit xuất hiện trong các tệp đính kèm email, giả mạo dưới dạng tài liệu có định dạng khác nhau (ví dụ: PDF). Trên thực tế, một “tài liệu tưởng tượng” như vậy là tập tin thực thi. Bằng cách cố gắng mở nó, người dùng sẽ kích hoạt rootkit.

Cách phân phối thứ hai là thông qua các trang web đã bị tin tặc thao túng. Người dùng mở một trang web và rootkit xâm nhập vào máy tính của anh ta. Điều này có thể xảy ra do lỗi bảo mật trong trình duyệt. chương trình tập tin máy tính

Rootkit không chỉ có thể được cài đặt bởi những kẻ tấn công. Có một trường hợp nổi tiếng là Tập đoàn Sony đã xây dựng một thứ giống như rootkit vào các đĩa âm thanh được cấp phép của mình. Rootkit về cơ bản là hầu hết các phần mềm chống sao chép (và là phương tiện để vượt qua các biện pháp bảo vệ này - ví dụ: trình giả lập ổ đĩa CD và DVD). Chúng khác với những thứ “bất hợp pháp” chỉ ở chỗ chúng không được cài đặt bí mật với người dùng.

Phần mềm gián điệp. Các chương trình như vậy có thể thực hiện nhiều nhiệm vụ khác nhau, ví dụ:

· Thu thập thông tin về thói quen sử dụng Internet và các trang web được truy cập thường xuyên nhất (chương trình theo dõi);
· Ghi nhớ các lần gõ phím trên bàn phím (keylogger) và ghi lại ảnh chụp màn hình (screen Scraper) và sau đó gửi thông tin cho người tạo;
· Được sử dụng để phân tích trái phép trạng thái của hệ thống bảo mật - máy quét cổng và lỗ hổng cũng như trình bẻ khóa mật khẩu;
· Thay đổi các tham số của hệ điều hành - rootkit, bộ chặn điều khiển, v.v. - dẫn đến giảm tốc độ kết nối Internet hoặc mất kết nối, mở các trang chủ khác hoặc xóa một số chương trình nhất định;
· Chuyển hướng hoạt động của trình duyệt, đòi hỏi phải truy cập các trang web một cách mù quáng với nguy cơ bị nhiễm vi-rút.

Các chương trình giám sát và điều khiển từ xa có thể được sử dụng để hỗ trợ kỹ thuật từ xa hoặc truy cập vào tài nguyên của riêng bạn được đặt trên máy tính từ xa.

Công nghệ theo dõi thụ động có thể hữu ích trong việc cá nhân hóa các trang web mà người dùng truy cập.

Bản thân các chương trình này không phải là vi-rút, nhưng vì lý do này hay lý do khác mà chúng được đưa vào cơ sở dữ liệu chống virus. Thông thường đây là chương trình nhỏ, có một vùng ảnh hưởng nhỏ và giống như virus, không hiệu quả.

· Phần mềm quảng cáo là tên gọi chung của phần mềm hiển thị quảng cáo một cách cưỡng bức.
· Bad-Joke - trò đùa độc ác. Các chương trình khiến người dùng sợ hãi khi phát hiện bất ngờ và không chuẩn hoặc sử dụng đồ họa. Đây cũng có thể là các chương trình đưa ra thông báo sai về việc định dạng đĩa hoặc dừng chương trình, v.v.
· Sniffer - một chương trình được thiết kế để chặn và sau đó phân tích lưu lượng mạng.
· SpamTool là một chương trình được thiết kế để gửi thư rác (theo quy luật, chương trình này biến máy tính thành máy gửi thư rác).
· IM-Flooder là chương trình cho phép bạn gửi nhiều tin nhắn khác nhau với số lượng lớn tới một số tin nhắn IM nhất định.
· VirTool - các tiện ích được thiết kế để giúp việc viết virus máy tính và nghiên cứu chúng cho mục đích hacker trở nên dễ dàng hơn.
· DoS (Từ chối dịch vụ) là một chương trình độc hại được thiết kế để thực hiện cuộc tấn công Từ chối dịch vụ trên máy chủ từ xa.
· FileCryptor, PolyCryptor - các tiện ích hack được sử dụng để mã hóa các chương trình độc hại khác nhằm ẩn nội dung của chúng khỏi quá trình quét chống vi-rút.