Các ứng dụng nguy hiểm tiềm ẩn. Các loại phần mềm độc hại

KHÁI NIỆM VÀ CÁC LOẠI PHẦN MỀM ĐỘC LẬP

Những báo cáo đầu tiên về các chương trình độc hại được cố tình và ngấm ngầm đưa vào phần mềm của nhiều hệ thống máy tính khác nhau xuất hiện vào đầu những năm 80. Cái tên “virus máy tính” xuất phát từ sự giống nhau của nó với một nguyên mẫu sinh học, xét về khả năng sinh sản độc lập. Một số thuật ngữ y học và sinh học khác cũng được chuyển sang khu vực máy tính mới, chẳng hạn như đột biến, chủng, vắc xin, v.v. Một thông báo về các chương trình mà khi một số điều kiện nhất định xảy ra sẽ bắt đầu tạo ra các hành động có hại, chẳng hạn như sau một một số lần khởi động nhất định, chúng phá hủy dữ liệu được lưu trữ trong thông tin hệ thống, nhưng không có khả năng tự sao chép đặc trưng của virus, xuất hiện sớm hơn nhiều

1.Lu-ca. Một điều kiện tạo điều kiện thuận lợi cho việc thực hiện nhiều loại mối đe dọa an toàn thông tin trong công nghệ thông tin là sự xuất hiện của các “bẫy”. Cửa sập thường được chèn vào chương trình ở giai đoạn gỡ lỗi để tạo điều kiện thuận lợi cho công việc: mô-đun này có thể được gọi ở những nơi khác nhau, cho phép bạn gỡ lỗi từng phần riêng lẻ của chương trình một cách độc lập. Sự hiện diện của cửa sập cho phép bạn gọi chương trình theo cách không chuẩn, điều này có thể ảnh hưởng đến trạng thái của hệ thống bảo mật. Các cửa sổ nở có thể vẫn còn trong chương trình vì nhiều lý do. Việc phát hiện các cửa sập là kết quả của quá trình tìm kiếm ngẫu nhiên và tốn nhiều công sức. Chỉ có một biện pháp bảo vệ chống lại các cửa sập - để ngăn chặn sự xuất hiện của chúng trong chương trình và khi chấp nhận các sản phẩm phần mềm do nhà sản xuất khác phát triển, mã nguồn của chương trình phải được phân tích để phát hiện các cửa sập.

2. Bom logicđược sử dụng để bóp méo hoặc phá hủy thông tin; ít thường xuyên hơn, chúng được sử dụng để thực hiện hành vi trộm cắp hoặc lừa đảo. Bom logic đôi khi được chèn vào trong quá trình phát triển chương trình và nó được kích hoạt khi đáp ứng một số điều kiện (thời gian, ngày tháng, từ mã). Thao tác với bom logic cũng được thực hiện bởi những nhân viên không hài lòng đang có ý định rời khỏi tổ chức, nhưng họ cũng có thể là nhà tư vấn, nhân viên có niềm tin chính trị nhất định, v.v. Một ví dụ thực tế về bom logic: một lập trình viên, đoán trước được việc mình bị sa thải, bước vào vào chương trình trả lương một số thay đổi nhất định sẽ có hiệu lực khi tên của anh ấy biến mất khỏi bộ dữ liệu nhân sự của công ty.

3. Con ngựa thành Troy- một chương trình thực hiện, ngoài các hành động chính, tức là các hành động được thiết kế và ghi lại, các hành động bổ sung không được mô tả trong tài liệu. Sự tương tự với con ngựa thành Troy của Hy Lạp cổ đại là hợp lý - trong cả hai trường hợp, mối đe dọa ẩn giấu trong một lớp vỏ không đáng ngờ. Trojan horse là một khối lệnh bổ sung được chèn bằng cách này hay cách khác vào chương trình vô hại ban đầu, sau đó được chuyển (tặng, bán) cho người dùng CNTT. Khối lệnh này có thể được kích hoạt khi một điều kiện nhất định xảy ra (ngày, giờ, bằng lệnh bên ngoài, v.v.). Trojan horse thường hoạt động trong phạm vi quyền hạn của một người dùng nhưng vì lợi ích của người dùng khác hoặc thậm chí là một người lạ mà danh tính của họ đôi khi không thể xác định được. Một con ngựa thành Troy có thể thực hiện những hành động nguy hiểm nhất nếu người dùng khởi chạy nó có một bộ đặc quyền mở rộng. Trong trường hợp này, kẻ tấn công đã tạo và giới thiệu một con ngựa Trojan và bản thân không có những đặc quyền này có thể thực hiện các chức năng đặc quyền trái phép bằng cách sử dụng tay sai. Một cách triệt để để bảo vệ khỏi mối đe dọa này là tạo ra một môi trường khép kín để sử dụng các chương trình.

4. Giun- một chương trình lan truyền qua mạng và không để lại bản sao của chính nó trên môi trường từ tính.

Sâu sử dụng cơ chế hỗ trợ mạng để xác định máy chủ nào có thể bị nhiễm. Sau đó, bằng cách sử dụng các cơ chế tương tự, nó chuyển phần thân hoặc một phần của nó sang nút này và kích hoạt hoặc chờ các điều kiện thích hợp cho việc này. Môi trường thích hợp để sâu lây lan là một mạng lưới nơi tất cả người dùng được coi là thân thiện và tin cậy lẫn nhau và không có cơ chế bảo vệ. Cách tốt nhất để bảo vệ khỏi sâu máy tính là thực hiện các biện pháp phòng ngừa chống truy cập mạng trái phép

5. Trình lấy mật khẩu- Đây là những chương trình được thiết kế đặc biệt để đánh cắp mật khẩu. Khi người dùng cố gắng truy cập vào máy trạm, thông tin cần thiết để kết thúc phiên làm việc sẽ được hiển thị trên màn hình. Khi cố gắng đăng nhập, người dùng nhập tên và mật khẩu, những thông tin này sẽ được gửi đến chủ sở hữu của kẻ xâm lược, sau đó một thông báo lỗi được hiển thị và thông tin đầu vào cũng như quyền kiểm soát sẽ được trả về hệ điều hành. Một người dùng cho rằng mình đã gõ sai mật khẩu sẽ đăng nhập lại và có quyền truy cập vào hệ thống. Tuy nhiên, tên và mật khẩu của nó đã được chủ sở hữu của chương trình xâm lược biết. Việc chặn mật khẩu cũng có thể được thực hiện theo những cách khác. Để ngăn chặn mối đe dọa này, trước khi đăng nhập vào hệ thống, bạn cần đảm bảo rằng bạn đang nhập tên và mật khẩu của mình vào chương trình nhập hệ thống chứ không phải một chương trình nào khác. Ngoài ra, bạn phải tuân thủ nghiêm ngặt các quy định sử dụng mật khẩu và làm việc với hệ thống. Hầu hết các vi phạm xảy ra không phải do tấn công khéo léo mà do sơ suất cơ bản. Việc tuân thủ các quy tắc sử dụng mật khẩu được phát triển đặc biệt là điều kiện cần thiết để bảo vệ đáng tin cậy.

7. Virus máy tính Thông thường, người ta thường đề cập đến một chương trình nhỏ, được viết đặc biệt, có khả năng tự động gắn vào các chương trình khác (tức là lây nhiễm chúng), tạo các bản sao của chính nó (không nhất thiết phải hoàn toàn giống với bản gốc) và đưa chúng vào các tệp, vùng hệ thống. của máy tính cá nhân và các máy tính khác kết hợp với nó nhằm làm gián đoạn hoạt động bình thường của các chương trình, làm hỏng các tập tin và thư mục, đồng thời gây ra nhiều cản trở khi làm việc trên máy tính.

CÁC LOẠI VI-RÚT MÁY TÍNH, PHÂN LOẠI CỦA CHÚNG

Cách thức hoạt động của hầu hết vi-rút là thay đổi các tệp hệ thống của PC để vi-rút bắt đầu hoạt động mỗi khi máy tính cá nhân được khởi động. Một số vi-rút lây nhiễm vào các tệp khởi động hệ thống, một số khác chuyên về các tệp chương trình khác nhau. Bất cứ khi nào người dùng sao chép tệp vào phương tiện lưu trữ của máy hoặc gửi tệp bị nhiễm qua mạng, bản sao vi-rút được truyền sẽ cố gắng tự cài đặt trên ổ đĩa mới. Mọi hành động của vi-rút có thể được thực hiện khá nhanh chóng và không đưa ra bất kỳ thông báo nào, vì vậy người dùng thường không nhận thấy rằng PC của mình bị nhiễm và không có thời gian để thực hiện các biện pháp thích hợp. Để phân tích tác động của virus máy tính, khái niệm vòng đời virus, bao gồm bốn giai đoạn chính:

1. Thực hiện

2. Thời kỳ ủ bệnh (chủ yếu để che giấu nguồn thâm nhập)

3. Sinh sản (tự nhân giống)

4. Phá hủy (bóp méo và/hoặc phá hủy thông tin)

Mục tiêu của virus máy tính có thể được chia thành hai nhóm:

1. Để kéo dài sự tồn tại của chúng, vi-rút lây nhiễm vào các chương trình khác, và không phải tất cả, mà là những chương trình được sử dụng thường xuyên nhất và/hoặc có mức độ ưu tiên cao về thông tin

2. Virus thường hoạt động với mục đích phá hủy dữ liệu và ít thường xuyên hơn trên các chương trình.

Các phương thức biểu hiện của virus máy tính bao gồm:

Làm chậm máy tính cá nhân, bao gồm cả việc treo và dừng;

Thay đổi dữ liệu trong các tập tin tương ứng;

Không thể tải hệ điều hành;

Chấm dứt hoạt động hoặc vận hành không chính xác một chương trình người dùng đã hoạt động thành công trước đó;

Tăng số lượng tệp trên đĩa;

Thay đổi kích thước tập tin;

Trục trặc của hệ điều hành, yêu cầu khởi động lại định kỳ;

Xuất hiện định kỳ các thông báo không phù hợp trên màn hình điều khiển;

Sự xuất hiện của hiệu ứng âm thanh;

Giảm dung lượng RAM trống;

Thời gian truy cập ổ cứng tăng lên đáng kể;

Thay đổi ngày giờ tạo tập tin;

Phá hủy cấu trúc tập tin (biến mất tập tin, hỏng thư mục);

Đèn cảnh báo ổ đĩa bật sáng khi không có người dùng truy cập vào;

Định dạng đĩa mà không cần lệnh của người dùng, v.v.

Virus có thể được phân loại theo các đặc điểm sau:

1. Theo loại môi trường sống Virus được chia thành các loại sau:

· khởi động được nhúng vào khu vực khởi động của đĩa hoặc trong khu vực chứa chương trình khởi động của đĩa hệ thống;

· tài liệu được nhúng chủ yếu trong các tệp thực thi có phần mở rộng .COM Và .EXE;

· mang tính hệ thống thâm nhập các mô-đun hệ thống và trình điều khiển thiết bị ngoại vi, bảng phân bổ tệp và bảng phân vùng;

· mạng virus sống trong mạng máy tính;

· khởi động tập tin Chúng ảnh hưởng đến các phần khởi động của đĩa và tệp chương trình ứng dụng.

2. Theo mức độ ảnh hưởng đến tài nguyên của hệ thống máy tính và mạng nổi bật :

vô hại virus , điều đó không có tác động phá hủy hoạt động của máy tính cá nhân, nhưng có thể làm đầy RAM do quá trình sao chép của chúng;

không nguy hiểm virus không phá hủy tập tin mà làm giảm bộ nhớ đĩa trống, hiển thị hiệu ứng đồ họa trên màn hình, tạo hiệu ứng âm thanh, v.v.;

nguy hiểm vi-rút thường dẫn đến nhiều gián đoạn nghiêm trọng khác nhau trong hoạt động của máy tính cá nhân và tất cả công nghệ thông tin;

phá hoại dẫn đến việc thông tin bị xóa, gián đoạn toàn bộ hoặc một phần các chương trình ứng dụng...v.v.

3. Theo phương pháp lây nhiễm của môi trường sống virus được chia thành các nhóm sau:

virus thường trú Khi một máy tính bị nhiễm virus, chúng để lại phần cư trú của mình trong RAM, sau đó chặn các cuộc gọi của hệ điều hành đến các đối tượng lây nhiễm khác, xâm nhập chúng và thực hiện các hành động phá hoại cho đến khi máy tính bị tắt hoặc khởi động lại. Chương trình thường trú là một chương trình nằm cố định trong RAM của máy tính cá nhân.

virus không cư trú không lây nhiễm vào RAM của máy tính cá nhân và hoạt động trong một thời gian giới hạn.

4. Đặc điểm thuật toán xây dựng virus ảnh hưởng đến sự biểu hiện và hoạt động của chúng. Các loại virus sau đây được phân biệt:

§ máy sao chép, do tốc độ sao chép nhanh nên dẫn đến tràn bộ nhớ chính, đồng thời việc phá hủy các chương trình sao chép trở nên khó khăn hơn nếu chương trình được sao chép không phải là bản sao chính xác của bản gốc;

§ biến đổi theo thời gian chúng thay đổi và tự sản xuất. Đồng thời, tự sao chép, họ tạo ra những bản sao khác biệt rõ ràng với bản gốc;

§ virus tàng hình (vô hình) chặn các cuộc gọi từ hệ điều hành đến các tệp và khu vực đĩa bị nhiễm và thay thế các đối tượng không bị nhiễm vào vị trí của chúng. Khi truy cập các tệp, những loại vi-rút như vậy sử dụng các thuật toán khá độc đáo cho phép chúng "đánh lừa" các trình giám sát chống vi-rút thường trú;

§ virus macrovirus sử dụng khả năng của ngôn ngữ macro được tích hợp trong các chương trình xử lý dữ liệu văn phòng (trình soạn thảo văn bản, bảng tính, v.v.).

Chương trình độc hại-- bất kỳ phần mềm nào được thiết kế để truy cập trái phép vào tài nguyên máy tính của chính máy tính hoặc vào thông tin được lưu trữ trên máy tính nhằm mục đích sử dụng trái phép tài nguyên máy tính hoặc gây tổn hại cho chủ sở hữu thông tin (hoặc chủ sở hữu máy tính) bằng cách sao chép, bóp méo, xóa hoặc thay thế thông tin.

Phần mềm độc hại được chia thành ba loại chính: virus máy tính, sâu mạng và ngựa Trojan. Chúng ta hãy xem xét từng người trong số họ chi tiết hơn.

Virus máy tính

Loại phần mềm độc hại này là loại phổ biến nhất trong số các loại khác.

Virus máy tính là một loại chương trình máy tính, đặc điểm nổi bật của nó là khả năng sao chép (tự sao chép). Ngoài ra, vi-rút có thể làm hỏng hoặc phá hủy hoàn toàn tất cả các tệp và dữ liệu do người dùng thay mặt họ khởi chạy chương trình bị nhiễm, cũng như làm hỏng hoặc thậm chí phá hủy toàn bộ hệ điều hành với tất cả các tệp.

Thông thường, việc vi-rút xâm nhập vào máy tính cá nhân của người dùng là lỗi của chính người dùng, người không kiểm tra thông tin vào máy tính bằng chương trình chống vi-rút, do đó trên thực tế đã xảy ra lây nhiễm. Có khá nhiều cách để "lây nhiễm" một loại vi-rút cổ điển vào máy tính (phương tiện lưu trữ ngoài, tài nguyên Internet, các tệp được phân phối qua mạng)

Virus được chia thành các nhóm theo hai đặc điểm chính: theo môi trường sống, theo phương thức lây nhiễm.

Dựa vào môi trường sống, người ta chia virus thành:

• · Tài liệu(được chèn vào các tập tin thực thi)
• · Khởi động(được đưa vào khu vực khởi động của đĩa hoặc vào khu vực chứa bộ tải khởi động hệ thống ổ cứng)
• · Mạng(phân phối qua mạng máy tính)
• · kết hợp(ví dụ: vi-rút khởi động tệp lây nhiễm vào cả tệp và khu vực khởi động của đĩa. Những vi-rút này có phương thức xâm nhập ban đầu và thuật toán vận hành phức tạp)

Theo phương pháp lây nhiễm, chúng được chia thành:

Sâu mạng

Loại phần mềm độc hại lớn tiếp theo được gọi là “Network Worms”.

Sâu mạng là một mã chương trình độc hại phân phối các bản sao của chính nó trên các mạng cục bộ và/hoặc toàn cầu với mục tiêu xâm nhập vào máy tính, khởi chạy bản sao của nó trên máy tính đó và lan rộng hơn nữa. Để lây lan, sâu sử dụng email, mạng irc, lan, mạng trao đổi dữ liệu giữa các thiết bị di động, v.v. Hầu hết sâu được phát tán dưới dạng tệp (đính kèm thư, liên kết đến tệp). Nhưng cũng có những loại sâu lây lan dưới dạng các gói tin mạng. Những loại như vậy xâm nhập trực tiếp vào bộ nhớ máy tính và ngay lập tức bắt đầu hoạt động thường trú. Một số cách được sử dụng để xâm nhập máy tính nạn nhân: tự định hướng (sâu gói), hướng người dùng (kỹ thuật xã hội), cũng như các lỗ hổng khác nhau trong hệ thống bảo mật của hệ điều hành và ứng dụng. Một số sâu có đặc tính của các loại phần mềm độc hại khác (thường là ngựa Trojan).

Các loại sâu mạng:

Sâu email. Đây là một hệ thống độc hại nằm trong một tệp đính kèm với email. Các tác giả của sâu thư sử dụng mọi cách để khuyến khích tệp đính kèm có vi-rút được thực thi. Nó được ngụy trang dưới dạng một trò chơi mới, bản cập nhật hoặc chương trình phổ biến. Kích hoạt hoạt động trên máy tính của bạn, sâu thư trước tiên sẽ gửi một bản sao của chính nó qua e-mail, sử dụng sổ địa chỉ của bạn, sau đó gây hại cho máy tính của bạn.

• · Sâu Internet Messenger (IM-Worm). Hoạt động của “sâu” này gần như lặp lại hoàn toàn phương thức phân phối được sử dụng bởi sâu thư, chỉ có điều nhà cung cấp dịch vụ không phải là email mà là một tin nhắn được triển khai trong các chương trình nhắn tin tức thời.
• · Worm cho mạng chia sẻ file (P2P-Worm). Để xâm nhập vào mạng P2P, sâu chỉ cần sao chép chính nó vào thư mục chia sẻ tệp, thư mục này thường nằm trên máy cục bộ. Mạng P2P đảm nhiệm tất cả công việc còn lại trên bản phân phối của nó - khi tìm kiếm tệp trên mạng, nó sẽ thông báo cho người dùng từ xa về tệp này và cung cấp dịch vụ tải xuống tệp từ máy tính bị nhiễm.

Có nhiều loại sâu phức tạp hơn thuộc loại này bắt chước giao thức mạng của một hệ thống chia sẻ tệp cụ thể và phản hồi tích cực với các yêu cầu tìm kiếm. Trong trường hợp này, sâu cung cấp một bản sao của chính nó để tải xuống.

Sử dụng phương pháp đầu tiên, sâu tìm kiếm trên mạng các máy có tài nguyên mở để ghi và sao chép. Đồng thời, nó có thể ngẫu nhiên tìm thấy các máy tính và cố gắng mở quyền truy cập vào các tài nguyên. Để xâm nhập bằng phương pháp thứ hai, sâu tìm kiếm các máy tính có cài đặt phần mềm có chứa lỗ hổng nghiêm trọng. Do đó, sâu sẽ gửi một gói (yêu cầu) được tạo ra đặc biệt và một phần của "sâu" sẽ xâm nhập vào máy tính, sau đó nó tải toàn bộ tệp xuống và khởi chạy để thực thi.

Trojan

Trojan hoặc chương trình thuộc loại “Trojan horse” được viết với mục đích gây thiệt hại cho máy tính mục tiêu bằng cách thực hiện các hành động trái phép của người dùng: đánh cắp dữ liệu, làm hỏng hoặc xóa dữ liệu bí mật, làm gián đoạn PC hoặc sử dụng tài nguyên của nó cho những mục đích không chính đáng.

Một số chương trình Trojan có khả năng vượt qua hệ thống bảo mật của hệ thống máy tính một cách độc lập để xâm nhập vào hệ thống đó. Tuy nhiên, trong hầu hết các trường hợp, chúng xâm nhập vào PC cùng với một loại virus khác. Ngựa Trojan có thể được coi là phần mềm độc hại bổ sung. Thông thường, người dùng tự tải xuống các chương trình Trojan từ Internet.

Chu kỳ hoạt động của Trojan có thể được xác định theo các giai đoạn sau:

• - thâm nhập vào hệ thống.
• - kích hoạt.
• - thực hiện các hành động độc hại.

Các chương trình Trojan khác nhau về hành động mà chúng thực hiện trên PC bị nhiễm.

• · Trojan-PSW. Mục đích - Đánh cắp mật khẩu. Loại Trojan này có thể được sử dụng để tìm kiếm các tệp hệ thống lưu trữ nhiều thông tin bí mật khác nhau (ví dụ: mật khẩu) và thông tin đăng ký “đánh cắp” cho nhiều phần mềm khác nhau.
• · Trình tải xuống Trojan. Mục đích - Cung cấp các chương trình độc hại khác. Kích hoạt các chương trình được tải xuống từ Internet (khởi chạy để thực thi, đăng ký tự động tải)
• · Trojan nhỏ giọt. Cài đặt các tệp độc hại khác trên đĩa, khởi chạy và thực thi chúng
• · Proxy Trojan. Chúng cung cấp quyền truy cập ẩn danh từ PC của “nạn nhân” vào các tài nguyên Internet khác nhau. Dùng để gửi thư rác.
• · gián điệp trojan. Chúng là phần mềm gián điệp. Chúng thực hiện hoạt động gián điệp điện tử đối với người dùng PC bị nhiễm: thông tin đã nhập, ảnh chụp màn hình, danh sách các ứng dụng đang hoạt động, hành động của người dùng được lưu trong một tệp và gửi định kỳ cho kẻ tấn công.
• · Trojan(Trojan khác). Chúng thực hiện các hành động khác thuộc định nghĩa của các chương trình Trojan, chẳng hạn như phá hủy hoặc sửa đổi dữ liệu, làm gián đoạn PC.
• · Cửa sau. Chúng là những tiện ích quản trị từ xa. Chúng có thể được sử dụng để phát hiện và chuyển thông tin bí mật cho kẻ tấn công, phá hủy dữ liệu, v.v.
• · ArcBomb (“Bom” trong kho lưu trữ). Gây ra hành vi bất thường của người lưu trữ khi cố gắng giải nén dữ liệu
• RootKit. Mục đích - Ẩn sự hiện diện trong hệ điều hành. Sử dụng mã chương trình, sự hiện diện của một số đối tượng nhất định trong hệ thống sẽ bị ẩn: quy trình, tệp, dữ liệu đăng ký, v.v.

Trong số này, phần mềm gián điệp được sử dụng rộng rãi nhất là Trojan-Spy và RootKit (rootkit). Chúng ta hãy xem xét chúng chi tiết hơn.

Rootkit. Trong hệ thống Windows, RootKit được coi là một chương trình tự xâm nhập trái phép vào hệ thống, chặn các cuộc gọi đến các chức năng hệ thống (API) và sửa đổi thư viện hệ thống. Việc chặn các API cấp thấp cho phép một chương trình như vậy che giấu sự hiện diện của nó trên hệ thống, bảo vệ nó khỏi bị người dùng và phần mềm chống vi-rút phát hiện.

Thông thường, tất cả các công nghệ rootkit có thể được chia thành hai loại:

• · Rootkit hoạt động ở chế độ người dùng (user-mode)
• · Rootkit chạy ở chế độ kernel (kernel-mode)

Đôi khi rootkit xuất hiện trong các tệp đính kèm email, giả mạo dưới dạng tài liệu có định dạng khác nhau (ví dụ: PDF). Trên thực tế, “tài liệu tưởng tượng” này là một tệp thực thi. Bằng cách cố gắng mở nó, người dùng sẽ kích hoạt rootkit.

Cách phân phối thứ hai là thông qua các trang web đã bị tin tặc thao túng. Người dùng mở một trang web và rootkit xâm nhập vào máy tính của anh ta. Điều này có thể xảy ra do lỗi bảo mật trong trình duyệt. chương trình tập tin máy tính

Rootkit không chỉ có thể được cài đặt bởi những kẻ tấn công. Có một trường hợp nổi tiếng là Tập đoàn Sony đã xây dựng một thứ giống như rootkit vào các đĩa âm thanh được cấp phép của mình. Rootkit về cơ bản là hầu hết các phần mềm chống sao chép (và là phương tiện để vượt qua các biện pháp bảo vệ này - ví dụ: trình giả lập ổ đĩa CD và DVD). Chúng khác với những thứ “bất hợp pháp” chỉ ở chỗ chúng không được cài đặt bí mật với người dùng.

Phần mềm gián điệp. Các chương trình như vậy có thể thực hiện nhiều nhiệm vụ khác nhau, ví dụ:

• · Thu thập thông tin về thói quen sử dụng Internet và các trang web được truy cập thường xuyên nhất (chương trình theo dõi);
• · Ghi nhớ các lần gõ phím trên bàn phím (keylogger) và ghi lại ảnh chụp màn hình (screen Scraper) và sau đó gửi thông tin cho người tạo;
• · Được sử dụng để phân tích trái phép trạng thái của hệ thống bảo mật - máy quét cổng và lỗ hổng cũng như trình bẻ khóa mật khẩu;
• · Thay đổi các tham số của hệ điều hành - rootkit, bộ chặn điều khiển, v.v. - dẫn đến giảm tốc độ kết nối Internet hoặc mất kết nối, mở các trang chủ khác hoặc xóa một số chương trình nhất định;
• · Chuyển hướng hoạt động của trình duyệt, đòi hỏi phải truy cập các trang web một cách mù quáng với nguy cơ bị nhiễm vi-rút.

Các chương trình giám sát và điều khiển từ xa có thể được sử dụng để hỗ trợ kỹ thuật từ xa hoặc truy cập vào tài nguyên của riêng bạn được đặt trên máy tính từ xa.

Công nghệ theo dõi thụ động có thể hữu ích trong việc cá nhân hóa các trang web mà người dùng truy cập.

Bản thân các chương trình này không phải là vi-rút, nhưng vì lý do này hay lý do khác, chúng được đưa vào cơ sở dữ liệu chống vi-rút. Theo quy định, đây là những chương trình nhỏ có phạm vi ảnh hưởng nhỏ và giống như vi-rút, không hiệu quả.

• · Phần mềm quảng cáo là tên gọi chung của phần mềm hiển thị quảng cáo một cách cưỡng bức.
• · Bad-Joke - trò đùa độc ác. Các chương trình khiến người dùng sợ hãi khi phát hiện bất ngờ và không chuẩn hoặc sử dụng đồ họa. Đây cũng có thể là các chương trình đưa ra thông báo sai về việc định dạng đĩa hoặc dừng chương trình, v.v.
• · Sniffer - một chương trình được thiết kế để chặn và sau đó phân tích lưu lượng mạng.
• · SpamTool là một chương trình được thiết kế để gửi thư rác (theo quy luật, chương trình này biến máy tính thành máy gửi thư rác).
• · IM-Flooder là chương trình cho phép bạn gửi nhiều tin nhắn khác nhau với số lượng lớn tới một số tin nhắn IM nhất định.
• · VirTool - các tiện ích được thiết kế để giúp việc viết virus máy tính và nghiên cứu chúng cho mục đích hacker trở nên dễ dàng hơn.
• · DoS (Từ chối dịch vụ) là một chương trình độc hại được thiết kế để thực hiện cuộc tấn công Từ chối dịch vụ trên máy chủ từ xa.
• · FileCryptor, PolyCryptor - các tiện ích hack được sử dụng để mã hóa các chương trình độc hại khác nhằm ẩn nội dung của chúng khỏi quá trình quét chống vi-rút.

Có một loại chương trình ban đầu được viết với mục đích phá hủy dữ liệu trên máy tính của người khác, đánh cắp thông tin của người khác, sử dụng trái phép tài nguyên của người khác, v.v. hoặc lấy được những tài sản đó vì một lý do nào đó. Những chương trình như vậy mang tải trọng độc hại và do đó được gọi là phần mềm độc hại.

Phần mềm độc hại là chương trình gây ra bất kỳ tác hại nào cho máy tính chạy chương trình đó hoặc cho các máy tính khác trên mạng.

2.1 Virus

Thuật ngữ "virus máy tính" xuất hiện sau - chính thức tác giả của nó được coi là nhân viên của Đại học Lehigh (Mỹ) F. Cohen vào năm 1984 tại hội nghị lần thứ bảy về an toàn thông tin. Đặc điểm chính của virus máy tính là khả năng tự sinh sản.

Virus máy tính là một chương trình có khả năng tạo các bản sao của chính nó (không nhất thiết phải giống với bản gốc) và đưa chúng vào mạng máy tính và/hoặc các tệp, vùng hệ thống của máy tính và các đối tượng thực thi khác. Đồng thời, các bản sao vẫn giữ được khả năng lây lan thêm.

Thông thường, vòng đời của bất kỳ loại virus máy tính nào cũng có thể được chia thành 5 giai đoạn:

Xâm nhập vào máy tính của người khác

Kích hoạt

Tìm kiếm đối tượng lây nhiễm

Chuẩn bị bản sao

Nhúng bản sao

Vi-rút có thể xâm nhập cả phương tiện di động và kết nối mạng - trên thực tế, tất cả các kênh mà qua đó tệp có thể được sao chép. Tuy nhiên, không giống như sâu, vi-rút không sử dụng tài nguyên mạng - việc lây nhiễm vi-rút chỉ có thể xảy ra nếu chính người dùng đã kích hoạt nó theo một cách nào đó. Ví dụ: anh ta sao chép hoặc nhận một tệp bị nhiễm qua thư và tự chạy nó hoặc đơn giản là mở nó.

Sau khi xâm nhập, virus sẽ được kích hoạt. Điều này có thể xảy ra theo nhiều cách và theo phương pháp đã chọn, vi-rút được chia thành nhiều loại. Việc phân loại virus được trình bày trong Bảng 1:

Bảng 1- Các loại virus máy tính

Một điểm khác biệt nữa giữa vi-rút và các chương trình độc hại khác là chúng gắn chặt vào hệ điều hành hoặc vỏ phần mềm mà mỗi loại vi-rút cụ thể được viết. Điều này có nghĩa là vi-rút Microsoft Windows sẽ không hoạt động và lây nhiễm các tệp trên máy tính được cài đặt hệ điều hành khác, chẳng hạn như Unix. Tương tự như vậy, virus macro dành cho Microsoft Word 2003 rất có thể sẽ không hoạt động trong Microsoft Excel 97.

Khi chuẩn bị các bản sao vi-rút để ngụy trang khỏi phần mềm chống vi-rút, chúng có thể sử dụng các công nghệ sau:

Mã hóa- trong trường hợp này, vi-rút bao gồm hai phần: bản thân vi-rút và bộ mã hóa.

biến thái- khi sử dụng phương pháp này, các bản sao lan truyền được tạo bằng cách thay thế một số lệnh bằng các lệnh tương tự, sắp xếp lại các phần của mã và chèn các lệnh bổ sung vào giữa chúng mà thường không làm gì cả.

Theo đó, tùy thuộc vào phương pháp được sử dụng, virus có thể được chia thành mã hóa, biến chất và đa hình, sử dụng kết hợp hai loại ngụy trang.

Mục tiêu chính của bất kỳ vi rút máy tính nào là lây lan sang các tài nguyên máy tính khác và thực hiện các hành động đặc biệt đối với một số sự kiện hoặc hành động của người dùng nhất định (ví dụ: vào ngày 26 hàng tháng chẵn hoặc khi máy tính được khởi động lại). Các hành động đặc biệt thường trở nên độc hại.

Virus thường được hiểu là một loại phần mềm độc hại có khả năng tự sao chép chính nó. Với sự trợ giúp của nó, các tệp khác sẽ bị lây nhiễm (tương tự như vi-rút trong đời thực lây nhiễm vào các tế bào sinh học nhằm mục đích sinh sản).

Với sự trợ giúp của vi-rút, bạn có thể thực hiện một số lượng lớn các hành động khác nhau: truy cập vào máy tính ở chế độ nền, đánh cắp mật khẩu và khiến máy tính bị treo (RAM bị đầy và CPU được tải với nhiều quy trình khác nhau).

Tuy nhiên, chức năng chính của virus phần mềm độc hại là khả năng sinh sản. Khi nó được kích hoạt, các chương trình trên máy tính sẽ bị nhiễm virus.

Bằng cách chạy phần mềm trên một máy tính khác, vi-rút cũng lây nhiễm các tệp ở đây; ví dụ: ổ đĩa flash từ một PC bị nhiễm được cắm vào một máy tính khỏe mạnh sẽ ngay lập tức truyền vi-rút sang nó.

Sâu

Hành vi của sâu giống như hành vi của virus. Sự khác biệt duy nhất là trong phân phối. Khi vi-rút lây nhiễm vào các chương trình do một người điều hành (nếu chương trình không được sử dụng trên máy tính bị nhiễm vi-rút sẽ không xâm nhập vào đó), sâu sẽ lây lan qua mạng máy tính theo sáng kiến ​​cá nhân.

Ví dụ: Blaster nhanh chóng lan sang Windows XP vì hệ điều hành này không có biện pháp bảo vệ đáng tin cậy cho các dịch vụ web.

Vì vậy, sâu đã sử dụng quyền truy cập vào hệ điều hành thông qua Internet.

Sau đó, phần mềm độc hại đã chuyển sang một máy bị nhiễm mới để tiếp tục nhân bản thêm.

Bạn hiếm khi nhìn thấy những con sâu này, vì ngày nay Windows có tính năng bảo vệ chất lượng cao: tường lửa được sử dụng theo mặc định.

Tuy nhiên, sâu có khả năng lây lan bằng các phương pháp khác - ví dụ: chúng lây nhiễm vào máy tính thông qua hộp thư điện tử và gửi bản sao của chính chúng đến mọi người được lưu trong danh sách liên hệ.

Worm và virus có khả năng thực hiện nhiều hành động nguy hiểm khác khi lây nhiễm vào máy tính. Yếu tố chính tạo nên đặc điểm của phần mềm độc hại của sâu là cách nó phân phối các bản sao của chính nó.

Trojan

Các chương trình Trojan thường được hiểu là một loại phần mềm độc hại có hình dáng giống như các tập tin bình thường.

Nếu bạn chạy một con ngựa Trojan, nó sẽ bắt đầu hoạt động ở chế độ nền cùng với tiện ích thông thường. Bằng cách này, những kẻ phát triển Trojan có thể truy cập vào máy tính của nạn nhân.

Trojan cũng cho phép bạn giám sát hoạt động trên máy tính và kết nối máy tính với mạng botnet. Trojan được sử dụng để mở cổng và tải nhiều loại ứng dụng độc hại khác nhau xuống máy tính.

Chúng ta hãy nhìn vào những điểm phân biệt chính.

¹ Phần mềm độc hại ẩn mình dưới dạng các ứng dụng hữu ích và khi khởi chạy, nó hoạt động ở chế độ nền, cho phép truy cập vào máy tính của chính bạn. Có thể so sánh với con ngựa thành Troy, loài vật đã trở thành nhân vật chính trong tác phẩm của Homer.

² Phần mềm độc hại này không tự sao chép vào nhiều tệp khác nhau và không có khả năng lây lan độc lập trên Internet, như sâu và vi-rút.

³ Phần mềm lậu có thể bị nhiễm Trojan.

Phần mềm gián điệp

Phần mềm gián điệp là một loại phần mềm độc hại khác. Nói một cách đơn giản, ứng dụng này là một gián điệp.

Với sự giúp đỡ của nó, thông tin được thu thập. Nhiều loại phần mềm độc hại thường chứa Phần mềm gián điệp.

Vì vậy, thông tin tài chính bị đánh cắp chẳng hạn.

Phần mềm gián điệp thường được sử dụng với phần mềm hoàn toàn miễn phí và thu thập thông tin về các trang Internet đã truy cập, lượt tải xuống tệp, v.v.

Các nhà phát triển phần mềm kiếm tiền bằng cách bán kiến ​​thức của chính họ.

Phần mềm quảng cáo

Adware có thể coi là đồng minh của Spyware.

Chúng ta đang nói về bất kỳ loại phần mềm nào để hiển thị thông báo quảng cáo trên máy tính.

Điều cũng thường xảy ra là Phần mềm quảng cáo sử dụng quảng cáo bổ sung trên các trang web khi bạn đang duyệt chúng. Trong tình huống này thật khó để nghi ngờ bất cứ điều gì.

Keylogger

Keylogger là một tiện ích độc hại.

Chạy ở chế độ nền và ghi lại tất cả các lần nhấn nút. Thông tin này có thể bao gồm mật khẩu, tên người dùng, thông tin thẻ tín dụng và các thông tin nhạy cảm khác.

Keylogger rất có thể lưu trữ các lần nhấn nút trên máy chủ của chính nó, nơi chúng được phân tích bởi một người hoặc phần mềm đặc biệt.

mạng botnet

Botnet là một mạng máy tính khổng lồ được điều khiển bởi nhà phát triển.

Trong trường hợp này, máy tính hoạt động như một “bot” vì thiết bị bị nhiễm một phần mềm độc hại cụ thể.

Nếu một máy tính bị nhiễm “bot”, nó sẽ liên hệ với một số máy chủ điều khiển và chờ hướng dẫn từ mạng botnet của nhà phát triển.

Ví dụ: botnet có khả năng tạo ra các cuộc tấn công DDoS. Tất cả các máy tính trong mạng botnet có thể được sử dụng để tấn công một máy chủ và trang web cụ thể với các yêu cầu khác nhau.

Những yêu cầu thường xuyên này có thể khiến máy chủ gặp sự cố.

Các nhà phát triển Botnet bán quyền truy cập vào mạng botnet của riêng họ. Những kẻ lừa đảo có thể sử dụng các botnet lớn để thực hiện những ý tưởng quỷ quyệt của chúng.

Rootkit

Rootkit thường được hiểu là phần mềm độc hại nằm ở đâu đó sâu trong máy tính cá nhân.

Ẩn theo nhiều cách khác nhau khỏi người dùng và các chương trình bảo mật.

Ví dụ: rootkit được tải trước khi Windows khởi động và chỉnh sửa chức năng hệ thống của hệ điều hành.

Một rootkit có thể được ngụy trang. Nhưng cái chính biến tiện ích độc hại thành rootkit là nó ẩn trong “cung” của hệ điều hành.

Biểu ngữ ransomware

Chúng ta đang nói về một loại sản phẩm phần mềm độc hại khá quỷ quyệt.

Có vẻ như khá nhiều người đã gặp phải loại tội phạm này.

Do đó, máy tính hoặc các tập tin cá nhân sẽ bị giữ làm con tin. Một khoản tiền chuộc sẽ phải được trả cho họ.

Loại phổ biến nhất là các biểu ngữ khiêu dâm yêu cầu bạn gửi tiền và chỉ định mã. Bạn có thể trở thành nạn nhân của phần mềm này không chỉ bằng cách truy cập các trang web khiêu dâm.

Có phần mềm độc hại như CryptoLocker.

Nó mã hóa một số đối tượng theo đúng nghĩa đen và yêu cầu thanh toán để mở quyền truy cập vào chúng. Loại phần mềm độc hại này là nguy hiểm nhất.

Lừa đảo

Lừa đảo (tiếng Anh lừa đảo, từ câu cá - câu cá, câu cá - một loại lừa đảo trên Internet, mục đích của nó là giành quyền truy cập vào dữ liệu bí mật của người dùng - thông tin đăng nhập và mật khẩu.

Điều này đạt được bằng cách gửi email hàng loạt thay mặt cho các thương hiệu nổi tiếng, cũng như tin nhắn cá nhân trong các dịch vụ khác nhau, chẳng hạn như thay mặt cho ngân hàng hoặc trong mạng xã hội. mạng.

Sau khi người dùng truy cập trang web giả mạo, những kẻ lừa đảo thử sử dụng nhiều kỹ thuật tâm lý khác nhau để buộc người dùng nhập dữ liệu, mật khẩu đăng nhập mà anh ta sử dụng để truy cập trang web, trên trang giả mạo, điều này cho phép những kẻ lừa đảo có quyền truy cập vào tài khoản và Tài khoản ngân hàng.

Thư rác

Thư rác là việc gửi thư quảng cáo thương mại hoặc quảng cáo khác tới những người không bày tỏ mong muốn nhận nó.

Theo nghĩa được chấp nhận rộng rãi, thuật ngữ “thư rác” trong tiếng Nga lần đầu tiên được sử dụng để chỉ việc gửi email.

Tin nhắn không được yêu cầu trong hệ thống nhắn tin tức thời (ví dụ: ICQ) được gọi là SPIM (tiếng Anh) tiếng Nga. (Tiếng Anh: Spam qua IM).

Tỷ lệ thư rác trong lưu lượng email toàn cầu dao động từ 60% đến 80% (trích từ Wikipedia).

Phần kết luận

Dưới đây là hầu hết các loại virus phần mềm độc hại “phổ biến” nhất.

Tôi hy vọng bạn có thể giảm thiểu các cuộc gặp gỡ với họ và một số cuộc gặp mà bạn sẽ không bao giờ gặp. Bạn có thể đọc về cách bảo vệ máy tính và dữ liệu người dùng của mình trong đó.

Kết quả

Tại sao phần mềm diệt virus lại có tên như vậy? Có lẽ do một số lượng lớn người tin rằng “vi-rút” là từ đồng nghĩa với phần mềm độc hại.

Như bạn đã biết, phần mềm chống vi-rút không chỉ bảo vệ khỏi vi-rút mà còn khỏi các chương trình không mong muốn khác, cũng như để phòng ngừa - ngăn ngừa lây nhiễm. Bây giờ đó là tất cả, hãy cẩn thận vì đây là một trong những thành phần chính để bảo vệ máy tính của bạn.

Video thú vị: 10 loại virus máy tính có sức tàn phá khủng khiếp.