Virus de macro.
Les plus répandus sont les virus de macro pour l'application bureautique intégrée Microsoft Office (Word, Excel, PowerPoint et Access). Les virus de macro sont en fait des macros (macros) dans le langage de programmation Visual Basic pour Applications (VBA) intégré qui sont placées dans un document.
Lors de l'utilisation d'un document, l'utilisateur effectue diverses actions: ouvre le document, enregistre, imprime, ferme, etc. Dans ce cas, l'application recherche et exécute les macros standard correspondantes. Les virus de macro contiennent des macros standard, sont appelés à la place et infectent chaque document ouvert ou enregistré. Les actions nuisibles des macro-virus sont implémentées à l'aide de macros intégrées (insertion de textes, interdiction d'exécution des commandes du menu de l'application, etc.).
Les virus de macro sont résident restreint,
En août 1995, une épidémie du premier virus macro "Concept" pour un traitement de texte a commencé Microsoft Word... Le "Concept" de macro-virus est encore répandu, et aujourd'hui environ 100 de ses modifications sont connues.
La protection préventive contre les macro-virus consiste à empêcher le virus de démarrer. Lorsque vous ouvrez un document dans les applications Microsoft Office, vous êtes informé de la présence de macros (virus potentiels) dans celles-ci et il est suggéré d'interdire leur téléchargement. Le choix de l'interdiction de télécharger des macros protégera de manière fiable votre ordinateur contre l'infection par des virus de macro, mais désactivera également les macros utiles contenues dans le document.
Un type spécial de virus sont des éléments actifs (programmes) dans JavaScript ou VBScript, qui peuvent être contenus dans des fichiers de pages Web. L'infection de l'ordinateur local se produit lorsqu'ils sont transmis sur le World Wide Web à partir de serveurs Internet vers le navigateur de l'ordinateur local.
En novembre 1998, le premier virus de script VBScript.Rabbit est apparu, infectant les scripts de pages Web, et un an et demi plus tard, en mai 2000, l’épidémie mondiale du virus de script «LoveLetter» a éclaté. Désormais, ce type de virus occupe la première place dans la liste des virus les plus répandus et les plus dangereux.
La protection préventive contre les virus de script consiste à empêcher le navigateur de recevoir des éléments actifs sur l'ordinateur local.
SAVOIR
Virus informatiques sont des programmes malveillants qui peuvent "se multiplier" et injecter secrètement des copies d'eux-mêmes dans des fichiers exécutables, des secteurs de démarrage de disque et des documents. L'activation d'un virus informatique peut détruire des programmes et des données.
Les conséquences des virus sont variées. Par l'ampleur des effets nocifs, les virus peuvent être divisés en:
- inoffensif, dont l'impact est limité à une diminution de l'espace disque libre, des graphiques, du son et d'autres effets externes;
- dangereux, ce qui peut entraîner des pannes et des blocages pendant le fonctionnement de l'ordinateur;
- très dangereux, dont l'activation peut entraîner la perte de programmes et de données (modification ou suppression de fichiers et répertoires), le formatage du disque dur, etc.
Actuellement, on connaît plusieurs dizaines de milliers de virus qui infectent les ordinateurs de différents systèmes d'exploitation. En enregistrant et en exécutant leur code, les virus peuvent être divisés en virus de démarrage, fichier, macroet virus de script.
Virus de démarrage infecter le secteur d'amorçage d'une disquette ou d'un disque dur. Le principe de fonctionnement des virus de démarrage est basé sur des algorithmes de démarrage système opérateur lorsque vous allumez ou redémarrez votre ordinateur.
Virus de fichiers sont incorporés dans des fichiers exécutables de différentes manières et sont généralement activés lorsqu'ils sont lancés. Une fois le fichier infecté lancé, le virus reste dans la RAM de l'ordinateur et reste actif jusqu'à ce que l'ordinateur soit éteint ou que le système d'exploitation soit redémarré.
Virus de macro sont résident restreint,c'est-à-dire qu'ils se trouvent dans la RAM et infectent les documents lorsque l'application est ouverte. De plus, les virus de macro infectent les modèles de documents et deviennent donc actifs au lancement de l'application infectée.
1. Quels types de virus informatiques existent, en quoi diffèrent-ils les uns des autres et quelle devrait être la prévention des infections?
2. Pourquoi même une disquette vierge formatée peut devenir une source d'infection virale?
3. À l'aide de l'Encyclopédie des virus, familiarisez-vous avec la classification des virus et les méthodes de protection antivirus.
La propagation par avalanche de virus est devenue un gros problème pour la plupart des entreprises et des agences gouvernementales. Plus de 45 000 virus informatiques sont aujourd'hui connus et plus de 300 nouvelles variétés sont introduites chaque mois.
Virus informatique Est un programme spécialement écrit qui peut «s'attribuer» à d'autres programmes, c'est-à-dire «les infecter» pour effectuer diverses actions indésirables sur l'ordinateur et sur le réseau. Lorsqu'un programme infecté par un virus commence son travail, le virus obtient généralement le contrôle en premier. Le virus peut agir de manière indépendante, effectuer certaines actions malveillantes (modifier les fichiers ou la table d'allocation de fichiers sur le disque, obstruer la RAM, modifier l'adressage des appels vers des périphériques externes, etc.), ou infecter d'autres programmes. Les programmes infectés peuvent être transférés vers un autre ordinateur à l'aide de disquettes ou d'un réseau local.
Les formes d'organisation des attaques virales sont très diverses, mais en général, les catégories suivantes sont distinguées:
■ pénétration à distance dans un ordinateur - programmes qui obtiennent un accès non autorisé à un autre ordinateur via Internet (ou un réseau local);
■ pénétration locale dans l'ordinateur - programmes qui obtiennent un accès non autorisé à l'ordinateur sur lequel ils s'exécutent ensuite;
■ blocage de l'ordinateur distant - programmes qui bloquent le fonctionnement de tout l'ordinateur distant ou d'un programme séparé sur celui-ci via Internet (ou le réseau);
■ blocage local d'un ordinateur - programmes qui bloquent le fonctionnement de l'ordinateur sur lequel ils travaillent;
■ analyseurs de réseau - programmes qui collectent des informations sur un réseau pour déterminer quels ordinateurs et programmes exécutés sur eux sont potentiellement vulnérables aux attaques;
■ des scanners de vulnérabilité de programme - programmes qui analysent de grands groupes d'ordinateurs sur Internet à la recherche d'ordinateurs vulnérables à un type d'attaque particulier;
■ crackers de mots de passe - programmes qui détectent les mots de passe facilement devinables dans les fichiers de mots de passe cryptés;
■ analyseurs de réseau (renifleurs) - programmes qui écoutent trafic réseau... Ils ont souvent la capacité d'extraire automatiquement les noms d'utilisateur, les mots de passe et les numéros de carte de crédit du trafic;
■ modification des données transmises ou substitution d'informations;
■ substitution d'un objet de confiance d'un réseau informatique distribué (travaillant pour son compte) ou de son faux objet;
■ «ingénierie sociale» - NSD à l'information différemment du piratage logiciel. L'objectif est d'induire en erreur les employés (administrateurs réseau ou système, utilisateurs, gestionnaires) pour obtenir des mots de passe pour le système ou d'autres informations qui contribueront à compromettre la sécurité du système.
À malveillant logiciel Cela inclut les vers réseau, les virus de fichiers classiques, les chevaux de Troie, les utilitaires de piratage et d'autres programmes qui endommagent délibérément l'ordinateur sur lequel ils sont exécutés ou d'autres ordinateurs du réseau.
Vers de réseau
La principale caractéristique par laquelle les types de vers diffèrent entre eux est la façon dont le ver se propage - comment il transfère sa copie à ordinateurs distants... D'autres signes indiquant que les vers informatiques diffèrent les uns des autres sont les méthodes de lancement d'une copie du ver sur un ordinateur infecté, les méthodes d'introduction dans le système, ainsi que le polymorphisme, la stèle et d'autres caractéristiques inhérentes à d'autres types de logiciels malveillants (virus et chevaux de Troie). Un exemple est Email-Worm, c'est-à-dire vers de messagerie. Cette catégorie de vers comprend ceux qui utilisent le courrier électronique pour se propager. Dans ce cas, le ver envoie soit une copie de lui-même en pièce jointe à un e-mail, soit un lien vers son fichier situé sur une ressource réseau (par exemple, une URL vers un fichier infecté situé sur un site Web compromis ou piraté). Dans le premier cas, le code du ver est activé lorsqu'une pièce jointe infectée est ouverte (lancée), dans le second, lorsqu'un lien vers un fichier infecté est ouvert. Dans les deux cas, l'effet est le même - le code du ver est activé.
Les vers de messagerie utilisent différentes méthodes pour envoyer des messages infectés. Les plus courants sont:
■ connexion directe à un serveur SMTP à l'aide de la bibliothèque de messagerie intégrée au code du ver;
■ en utilisant les services MS Outlook;
■ utiliser fonctions Windows MAPI.
Pour la recherche adresses postalesauxquels les messages infectés seront envoyés, les vers de messagerie utilisent diverses méthodes. Vers de messagerie:
■ s'envoyer à toutes les adresses figurant dans le carnet d'adresses MS Outlook;
■ lire les adresses à partir de la base d'adresses WAB;
■ scannez les fichiers "appropriés" sur le disque et mettez en évidence les lignes qui sont des adresses email;
■ s'envoyer à toutes les adresses trouvées dans les messages de la boîte aux lettres (avec certains vers de messagerie "répondant" aux messages trouvés dans la boîte aux lettres).
De nombreux vers utilisent plusieurs de ces méthodes à la fois. Il existe également d'autres moyens de trouver des adresses e-mail.
Il existe d'autres types de vers: IM-Worm - des vers qui utilisent des téléavertisseurs Internet, IRC-Worm - des vers dans les canaux IRC, Net-Worm - d'autres vers de réseau.
Virus informatiques classiques
Àcette catégorie comprend des programmes qui distribuent des copies d'eux-mêmes sur les ressources de l'ordinateur local afin d'exécuter ultérieurement leur code sur les actions de l'utilisateur ou de l'intégrer davantage dans d'autres ressources informatiques.
Contrairement aux vers, les virus n'utilisent pas services réseau pour infiltrer d'autres ordinateurs. Une copie de virus ne parvient aux ordinateurs distants que si l'objet infecté est activé sur un autre ordinateur pour une raison indépendante de la volonté de la fonctionnalité de virus, par exemple:
■ lors de l'infection des disques accessibles, le virus a pénétré dans les fichiers situés sur un partage réseau;
■ le virus s'est copié sur un support amovible ou sur des fichiers infectés;
■ l'utilisateur a envoyé un e-mail avec une pièce jointe infectée.
Certains virus contiennent des propriétés d'autres types de logiciels malveillants, par exemple, une procédure de porte dérobée ou un composant cheval de Troie qui détruit des informations sur un disque.
De nombreux éditeurs tabulaires et graphiques, systèmes de conception, traitements de texte ont leurs propres langages de macro pour automatiser l'exécution d'actions répétitives. Ces langages macro ont souvent une structure complexe et un ensemble d'instructions riche. Les virus de macro sont des programmes en macro-langages intégrés dans de tels systèmes de traitement de données. Pour leur reproduction, les virus de cette classe utilisent les capacités des macro-langages et avec leur aide se transfèrent d'un fichier infecté (document ou table) à d'autres.
Virus de script
Les virus de script sont un sous-ensemble de virus de fichiers. Ces virus sont écrits dans différents langages de script (VBS, JS, BAT, PHP, etc.). Ils infectent d'autres programmes de script (fichiers de commande et de service MS Windows ou Linux) ou font partie de virus à plusieurs composants. Ces virus peuvent également infecter des fichiers d'autres formats (par exemple, HTML), s'ils peuvent exécuter des scripts.
Chevaux de Troie
DANScette catégorie comprend les programmes qui effectuent diverses actions non autorisées par l'utilisateur: collecter des informations et les transférer à un attaquant, les détruire ou les modifier de manière malveillante, perturber les performances de l'ordinateur, utiliser les ressources informatiques à des fins inconvenantes. Certaines catégories de chevaux de Troie endommagent les ordinateurs et les réseaux distants sans perturber le fonctionnement de l'ordinateur infecté (par exemple, les chevaux de Troie conçus pour des attaques DoS massives sur des ressources réseau distantes).
Les chevaux de Troie sont divers et diffèrent dans les actions qu'ils exécutent sur l'ordinateur infecté:
■ Backdoor - Utilitaires d'administration à distance cheval de Troie;
■ Trojan-PSW - vol de mots de passe;
■ Trojan-AOL est une famille de chevaux de Troie qui «volent» les codes d'accès au réseau AOL (America Online). Attribués à un groupe spécial en raison de leur grand nombre;
■ Trojan-Clicker - cliqueurs Internet. Une famille de chevaux de Troie dont la fonction principale est d'organiser l'accès non autorisé aux ressources Internet (généralement aux pages Web). Ceci est réalisé soit en envoyant les commandes appropriées au navigateur, soit en remplaçant les fichiers système, qui indiquent les adresses «standard» des ressources Internet (par exemple, fichier hosts sous MS Windows);
■ Trojan-Downloader - livraison d'autres programmes malveillants;
■ Trojan-Dropper - installateurs d'autres programmes malveillants. Les chevaux de Troie de cette classe sont écrits pour l'installation secrète d'autres programmes et sont presque toujours utilisés pour «glisser» des virus ou d'autres chevaux de Troie sur un ordinateur victime;
■ Trojan-Proxy - Serveurs proxy de chevaux de Troie. Une famille de chevaux de Troie qui fournissent secrètement un accès anonyme à diverses ressources Internet. Généralement utilisé pour envoyer du spam;
■ Trojan-Spy - logiciel espion. Ces chevaux de Troie pratiquent l'espionnage électronique de l'utilisateur de l'ordinateur infecté: des informations saisies depuis le clavier, des captures d'écran, une liste des applications actives et des actions de l'utilisateur avec elles sont enregistrées dans un fichier sur le disque et sont périodiquement envoyées à l'attaquant. Ce type de cheval de Troie est souvent utilisé pour voler des informations utilisateur différents systèmes paiements en ligne et systèmes bancaires;
■ Cheval de Troie - autres chevaux de Troie. Cette catégorie comprend également les chevaux de Troie «polyvalents», tels que ceux qui espionnent simultanément l'utilisateur et fournissent un service proxy à un attaquant distant;
■ Trojan ArcBomb - "bombes" dans les archives. Ce sont des archives spécialement conçues de manière à provoquer un comportement anormal des archiveurs lorsqu'ils tentent de désarchiver des données - gel ou ralentissement important de l'ordinateur ou remplissage du disque avec une grande quantité de données «vides». Les bombes d'archives sont particulièrement dangereuses pour les fichiers et serveurs de messageriesi le serveur utilise un système de traitement automatique des informations entrantes - la "bombe d'archive" peut simplement arrêter le serveur;
■ Trojan-Notifier - notification d'une attaque réussie. Chevaux de Troie de ce type sont conçus pour informer leur «propriétaire» d'un ordinateur infecté. Dans ce cas, les informations sur l'ordinateur sont envoyées à l'adresse du «propriétaire», par exemple l'adresse IP de l'ordinateur, le numéro port ouvert, adresse e-mail, etc. L'envoi est effectué différentes façons: par e-mail, adresse spécialement conçue pour la page Web de l'hôte, message ICQ. Ces chevaux de Troie sont utilisés dans les kits de chevaux de Troie à plusieurs composants pour informer leur «propriétaire» de l'installation réussie des composants du cheval de Troie dans le système attaqué.
Utilitaires de piratage et autres logiciels malveillants
■ des utilitaires pour automatiser la création de virus, vers et chevaux de Troie (constructeurs);
■ bibliothèques de logicielsconçu pour créer des logiciels malveillants;
■ des utilitaires de piratage pour masquer le code des fichiers infectés de l'analyse antivirus (chiffreurs de fichiers);
■ «blagues diaboliques» qui rendent difficile le travail avec un ordinateur;
■ les programmes qui informent l'utilisateur d'informations sciemment fausses sur ses actions dans le système;
■ d'autres programmes qui, d'une manière ou d'une autre, causent intentionnellement des dommages directs ou indirects à cet ordinateur ou à des ordinateurs distants.
Les autres éléments malveillants comprennent programmes variésqui ne constituent pas une menace directement pour l'ordinateur sur lequel ils sont exécutés, mais sont conçus pour créer d'autres virus ou chevaux de Troie, organiser des attaques DoS sur des serveurs distants, pirater d'autres ordinateurs, etc.
Ces programmes comprennent:
■ DoS, DdoS - attaques de réseau;
■ Exploit, HackTool - pirates informatiques d'ordinateurs distants. Les utilitaires de piratage de cette classe sont conçus pour pénétrer les ordinateurs distants afin de les contrôler davantage (en utilisant des méthodes de chevaux de Troie de porte dérobée) ou pour introduire d'autres programmes malveillants dans un système compromis;
■ Flooder - «joncher» le réseau. Ces utilitaires de hackers sont utilisés pour «gaspiller» (messages inutiles) les canaux Internet - canaux IRC, réseaux de pagination informatique, e-mail, etc.
■ Constructeur - constructeurs de virus et de chevaux de Troie. Ce sont des utilitaires conçus pour créer de nouveaux virus informatiques et chevaux de Troie. Il existe des concepteurs connus de virus pour DOS, Windows et les virus de macro. Ils permettent de générer des codes sources de virus, des modules objets et / ou des fichiers directement infectés;
■ Nuker - attaques réseau fatales. Utilitaires qui envoient des requêtes spécialement conçues aux ordinateurs attaqués sur le réseau, à la suite de quoi le système attaqué cesse de fonctionner. Ils exploitent les vulnérabilités des logiciels et du système d'exploitation, à la suite de quoi un type spécial de requête réseau provoque une erreur critique dans l'application attaquée;
■ Bad-Joke, Hoax - "mauvaises blagues", trompant l'utilisateur. Ceux-ci incluent des programmes qui ne causent aucun dommage direct à l'ordinateur, mais affichent des messages indiquant qu'un tel dommage a déjà été fait ou le seront dans toutes les conditions, ou avertissent l'utilisateur d'un danger inexistant. Par exemple, les «blagues malveillantes» incluent des programmes qui «effraient» l'utilisateur avec des messages sur le formatage du disque (bien qu'aucun formatage ne se produise réellement), détectent les virus dans les fichiers non infectés, affichent des messages étranges de type virus, etc. - en fonction du sens de l'humour de l'auteur d'un tel programme;
■ FileCryptor, PolyCryptor - se cachant des programmes antivirus. Utilitaires de piratage utilisés pour crypter d'autres programmes malveillants afin de masquer leur contenu de l'analyse antivirus;
■ PolyEngine - générateurs polymorphes. Ce ne sont pas des virus au sens littéral du terme, puisque leur algorithme n'inclut pas de fonctions de multiplication, i.e. ouverture, fermeture et écriture dans des fichiers, secteurs de lecture et d'écriture, etc. Fonction principale ce type de programme consiste à crypter le corps du virus et à générer le décrypteur correspondant;
■ VirTool - utilitaires conçus pour faciliter l'écriture de virus informatiques et leur étude à des fins de piratage.
Contre quoi devez-vous vous défendre en premier lieu?Premièrement, il s'agit de virus (Virus, Worm) et de toutes sortes d'informations pratiquement inutiles (généralement de la publicité), envoyées de force aux abonnés de la messagerie électronique (Spam). Selon diverses données, en 2008, 80 à 85% des entreprises dans le monde ont été exposées à des attaques virales. Et ce chiffre continue de croître.
Deuxièmement, les programmes de chevaux de Troie peuvent être installés sur leur ordinateur sans que le propriétaire ne s'en aperçoive et peuvent également y fonctionner inaperçus. Options simples Les chevaux de Troie n'exécutent qu'une seule fonction, comme voler des mots de passe. Cependant, il existe des instances plus "avancées" qui implémentent un large éventail de fonctions pour le contrôle informatique à distance, y compris la navigation dans le contenu du répertoire, l'interception de toutes les commandes clavier, le vol ou la corruption de données et d'informations, la modification de fichiers et de champs de base de données.
Les actions visant à désactiver un nœud de réseau particulier constituent un autre type d'attaque courant. Ces attaques sont appelées attaques par déni de service (DoS). À ce jour, plus d'une centaine d'options différentes pour ces actions sont connues. Il a été précédemment noté que la désactivation d'un hôte pendant plusieurs heures peut avoir des conséquences très graves. Par exemple, désactiver le serveur système de paiement la banque entraînera l'impossibilité d'effectuer des paiements et, par conséquent, d'importantes pertes financières et de notation directes et indirectes.
Ces types d'attaques et de menaces sont les plus courants, mais il existe d'autres menaces qui peuvent avoir de graves conséquences. Par exemple, le système de détection d'intrusion RealSecure détecte plus de 600 événements de sécurité différents liés à des attaques externes.
L'organisation américaine US-CERT s'occupant des problèmes de terrain sécurité informatique, a suggéré d'utiliser des noms standard pour les vers Internet et autres logiciels malveillants. Les membres de l'US-CERT ont nommé leur programme " Classification générale malware "(CME). Le but du programme n'est pas de tromper les utilisateurs en utilisant des noms différents pour les mêmes virus. Par exemple, le ver W32.
Zotob.E s'appelle W32 / IRCbot.worm par Symantec dans la classification McAfee! MS05-039 et Trend Micro appelle ce programme WORM_RBOT.CBQ.
De nos jours, de nombreux virus obtiennent leur nom en fonction de la description ou des informations incluses dans le code du programme par leurs créateurs. DANS nouveau système les virus utiliseront des numéros CME. Le premier virus sera nommé CME-1.
Un système de classification similaire existe déjà pour décrire les vulnérabilités des logiciels. L'identifiant générique de vulnérabilité comprend un numéro séquentiel et l'année au cours de laquelle la vulnérabilité a été identifiée. La date n'est pas incluse dans l'identifiant du virus car les utilisateurs comprennent souvent mal ces informations. Ils pensent qu'une vulnérabilité avec une date précoce est moins dangereuse qu'une vulnérabilité découverte plus tard.
Les initiateurs de la proposition CME autorisent également l'utilisation d'anciens noms de virus, mais espèrent que leur système améliorera l'échange d'informations entre les développeurs d'antivirus et la communauté antivirus dans son ensemble. Le projet a déjà reçu le soutien de Computer Associates, McAfee, Microsoft, Symantec et F-Secure.
Comment devez-vous vous défendre?Les techniques générales de protection antivirus sont nécessairement partie de Les politiciens sécurité de l'information entreprises. Les sections pertinentes de la politique décrivent les principes de la protection antivirus, les normes et réglementations applicables qui déterminent la procédure à suivre pour les actions de l'utilisateur lorsqu'il travaille sur des réseaux locaux et externes, ses pouvoirs et les outils antivirus utilisés. Les ensembles de règles obligatoires peuvent être assez variés. Cependant, pour les utilisateurs, les règles suivantes peuvent être formulées en termes généraux:
■ analyser toutes les disquettes, CD-RW, disques ZIP qui ont été sur un autre ordinateur, tous les CD achetés pour les virus;
■ utiliser des programmes antivirus d'entreprises de confiance renommées, mettre à jour régulièrement (idéalement - quotidiennement) leurs bases de données;
■ ne déchargez pas la partie résidente (moniteur) du programme antivirus de la RAM de l'ordinateur;
■ n'utilisez que des programmes et des données provenant de sources fiables - le plus souvent, les copies piratées de programmes sont infectées par des virus;
■ n'ouvrez jamais les fichiers joints à des e-mails d'expéditeurs inconnus et n'allez pas sur des sites annoncés via des spams (selon Kaspersky Lab, actuellement environ 90% des virus se propagent de cette manière).
Plusieurs exigences générales pour un bon programme antivirus peuvent être formulées de la même manière. Un tel programme devrait:
■ fournir protection efficace en temps réel - la partie résidente (moniteur) du programme doit être constamment dans la RAM de l'ordinateur et vérifier toutes les opérations sur les fichiers (lors de la création, l'édition, la copie de fichiers, leur lancement pour exécution), les messages électroniques, les données et les programmes reçus d'Internet ;
■ Autoriser l'analyse de l'intégralité du contenu des disques locaux «à la demande» en exécutant l'analyse manuellement ou automatiquement selon une planification ou lorsque l'ordinateur est allumé;
■ protégez votre ordinateur même des virus inconnus - le programme doit inclure des technologies de recherche de virus inconnus basées sur les principes de l'analyse heuristique;
■ être en mesure de vérifier et de désinfecter les fichiers archivés;
■ offrir la possibilité de mettre à jour régulièrement (de préférence quotidiennement) les bases de données antivirus (via Internet, à partir de disquettes ou de CD).
Actuellement, la Russie utilise principalement deux logiciels antivirus de haute qualité éprouvés: Dr.WEB et Kaspersky Anti-Virus. Chacun de ces produits a sa propre ligne, axée sur différents domaines d'application - pour une utilisation sur les ordinateurs locaux, pour les petites et moyennes entreprises, les grandes entreprises clientes, pour la protection réseaux locaux, frais de port, serveurs de fichiers, serveurs d'applications. Les deux produits répondent certainement à toutes ces exigences.
- Encyclopédie des virus. [Ressource électronique] Mode d'accès: wvvw. viruslist.com/en/viruses/encyclopedia.
- Disponible sur: vww.vnunet.com/vnunet/news/2143314/ security-industry-gathers.
Les virus de script, qui sont un sous-groupe de virus de fichiers, doivent également être notés. Ces virus sont écrits dans différents langages de script (VBS, JS, BAT, PHP, etc.). Ils infectent d'autres programmes de script (fichiers de commande et de service MS Windows ou Linux) ou font partie de virus à plusieurs composants. En outre, ces virus peuvent infecter des fichiers d'autres formats (par exemple, HTML), s'ils peuvent exécuter des scripts.
Trojans.
Les chevaux de Troie diffèrent dans les actions qu'ils exécutent sur l'ordinateur infecté.
Backdoor - Utilitaires d'administration à distance Trojanized
Les chevaux de Troie de cette classe sont des utilitaires pour l'administration à distance d'ordinateurs sur un réseau. En termes de fonctionnalités, ils ressemblent largement à divers systèmes d'administration développés et distribués par les fabricants de logiciels.
La seule caractéristique de ces programmes les fait classer comme chevaux de Troie nuisibles: l'absence d'avertissement sur l'installation et le lancement. Une fois lancé, le cheval de Troie s'installe sur le système puis le surveille, tandis que l'utilisateur ne reçoit aucun message sur les actions du cheval de Troie dans le système. De plus, le lien vers le cheval de Troie peut ne pas figurer dans la liste des applications actives. En conséquence, «l'utilisateur» de ce programme cheval de Troie peut même ne pas être conscient de sa présence dans le système, alors que son ordinateur est ouvert au contrôle à distance.
Les utilitaires de contrôle caché vous permettent de faire avec l'ordinateur tout ce que l'auteur y a posé: recevoir ou envoyer des fichiers, les lancer et les détruire, afficher des messages, effacer des informations, redémarrer l'ordinateur, etc. En conséquence, ces chevaux de Troie peuvent être utilisés pour détecter et transmettre des informations confidentielles, pour lancer des virus, détruire des données, etc. - Les ordinateurs affectés sont exposés aux actions malveillantes des pirates.
Ainsi, les chevaux de Troie de ce type sont l'un des types de logiciels malveillants les plus dangereux, car ils sont capables d'une grande variété d'actions malveillantes inhérentes à d'autres types de chevaux de Troie.
Par ailleurs, il convient de noter un groupe de portes dérobées qui peuvent se propager sur le réseau et s'infiltrer dans d'autres ordinateurs, comme le font les vers informatiques. Ce qui distingue ces chevaux de Troie des vers, c'est qu'ils ne se propagent pas spontanément sur le réseau (comme les vers), mais uniquement sur une commande spéciale du "propriétaire" contrôlant la copie donnée du programme de Troie.
Trojan-PSW - voler des mots de passe
Cette famille combine des chevaux de Troie qui «volent» diverses informations d'un ordinateur infecté, généralement des mots de passe système (PSW - Password-Stealing-Ware). Lorsque les chevaux de Troie PSW sont lancés, ils recherchent des fichiers système qui stockent diverses informations confidentielles (généralement des numéros de téléphone et des mots de passe pour accéder à Internet) et les envoient à l'adresse e-mail ou aux adresses spécifiées dans le code du cheval de Troie.
Il existe des chevaux de Troie PSW qui fournissent d'autres informations sur l'ordinateur infecté, par exemple des informations sur le système (taille de la mémoire et de l'espace disque, version du système d'exploitation), le type de client de messagerie utilisé, l'adresse IP, etc. Certains chevaux de Troie de ce type «volent» des informations d'enregistrement pour divers logiciels, des codes d'accès pour des jeux en ligne, etc.
Trojan-AOL est une famille de chevaux de Troie qui «volent» les codes d'accès au réseau AOL (America Online). Attribués à un groupe spécial en raison de leur grand nombre.
Trojan-Clicker - Cliqueurs Internet
Une famille de chevaux de Troie dont la fonction principale est d'organiser l'accès non autorisé aux ressources Internet (généralement aux pages Web). Ceci est réalisé soit en envoyant les commandes appropriées au navigateur, soit en remplaçant les fichiers système, qui indiquent les adresses «standard» des ressources Internet (par exemple, le fichier hosts sous MS Windows).
Un attaquant peut avoir les cibles suivantes pour de telles actions:
augmenter le trafic vers tous les sites afin d'augmenter les impressions d'annonces;
organisation d'une attaque DoS (Denial of Service) sur un serveur;
attirer des victimes potentielles d'infection par des virus ou des chevaux de Troie.
Trojan-Downloader - livraison d'autres programmes malveillants
Les chevaux de Troie de cette classe sont conçus pour télécharger et installer de nouvelles versions de programmes malveillants sur un ordinateur victime, installer des chevaux de Troie ou des systèmes publicitaires. Les programmes téléchargés à partir d'Internet sont alors soit lancés pour exécution, soit enregistrés par le cheval de Troie pour le démarrage conformément aux capacités du système d'exploitation. Dans ce cas, ces actions se produisent à l'insu de l'utilisateur.
Les informations sur les noms et les emplacements des programmes téléchargés sont contenues dans le code et les données du cheval de Troie, ou sont téléchargées par le cheval de Troie à partir d'une ressource Internet «de contrôle» (généralement à partir d'une page Web).
Trojan-Dropper - installateurs d'autres programmes malveillants
Les chevaux de Troie de cette classe sont écrits pour l'installation secrète d'autres programmes et sont presque toujours utilisés pour «glisser» des virus ou d'autres chevaux de Troie sur un ordinateur victime.
Ces chevaux de Troie généralement sans aucun message (ou avec de faux messages sur une erreur dans l'archive ou une version incorrecte du système d'exploitation) vident d'autres fichiers sur un disque dans un répertoire (la racine du lecteur C:, un répertoire temporaire, des répertoires Windows) et se lancent les pour exécution.
Habituellement, la structure de ces programmes est la suivante:
Code principal
Le "code principal" extrait les composants restants de son fichier (fichier 1, fichier 2 ,.), les écrit sur le disque et les ouvre (les lance pour exécution).
En général, un (ou plusieurs) des composants sont des chevaux de Troie, et au moins un composant est une astuce: une blague, un jeu, une image ou quelque chose de similaire. Le «truc» devrait détourner l'attention de l'utilisateur et / ou démontrer que le fichier exécutable fait réellement quelque chose «d'utile» pendant que le composant cheval de Troie est en cours d'installation sur le système.
En utilisant des programmes de cette classe, les pirates atteignent deux objectifs:
installation secrète de chevaux de Troie et / ou de virus;
protection contre les programmes antivirus, car tous ne sont pas capables d'analyser tous les composants à l'intérieur des fichiers de ce type.
Trojan-Proxy - Serveurs proxy Trojan
Une famille de chevaux de Troie qui fournissent secrètement un accès anonyme à diverses ressources Internet. Généralement utilisé pour envoyer du spam.
Trojan-Spy - logiciel espion
Ces chevaux de Troie effectuent un espionnage électronique de l'utilisateur de l'ordinateur infecté: des informations saisies à partir du clavier, des captures d'écran, une liste des applications actives et des actions de l'utilisateur avec elles sont enregistrées dans un fichier sur le disque et sont périodiquement envoyées à l'attaquant.
Ce type de cheval de Troie est souvent utilisé pour voler des informations aux utilisateurs de divers systèmes bancaires et de paiement en ligne.
Trojan - autres chevaux de Troie
Ces chevaux de Troie incluent ceux qui exécutent d'autres actions qui relèvent de la définition des chevaux de Troie, c.-à-d. destruction ou modification malveillante des données, dysfonctionnement de l'ordinateur, etc.
Cette catégorie comprend également les chevaux de Troie «polyvalents», par exemple ceux qui espionnent simultanément l'utilisateur et fournissent un service proxy à un attaquant distant.
Rootkit - masquer la présence dans le système d'exploitation
Le concept de rootkit vient d'UNIX. Il était à l'origine utilisé pour désigner un ensemble d'outils utilisés pour obtenir les privilèges root.
Puisque des outils tels que les rootkits ont maintenant pris racine sur d'autres systèmes d'exploitation (y compris Windows), il faut reconnaître qu'une telle définition de rootkit est moralement dépassée et ne correspond pas à l'état réel des choses.
Ainsi, un rootkit est un code de programme ou une technique visant à masquer la présence d'objets spécifiés (processus, fichiers, clés de registre, etc.) dans le système.
Le comportement du rootkit dans la classification de Kaspersky Lab est soumis à des règles d'absorption: Rootkit est le comportement le plus bas parmi les programmes malveillants. Autrement dit, si un programme Rootkit a un composant Trojan, il est alors détecté comme Trojan.
ArcBomb - "bombes" dans les archives
Ce sont des archives spécialement conçues de manière à provoquer un comportement anormal des archiveurs lors de la tentative de décompression de données - gel ou ralentissement important de l'ordinateur ou remplissage du disque avec une grande quantité de données "vides". Les "bombes d'archives" sont particulièrement dangereuses pour les serveurs de fichiers et de messagerie si le serveur utilise un système de traitement automatique des informations entrantes - la "bombe d'archives" peut simplement arrêter le serveur.
Il existe trois types de ces «bombes»: un en-tête d'archive incorrect, des données en double et des fichiers identiques dans l'archive.
Un en-tête d'archive incorrect ou des données corrompues dans l'archive peuvent entraîner un échec du fonctionnement d'un archiveur spécifique ou un algorithme de désarchivage lors de l'analyse du contenu de l'archive.
Un gros fichier contenant des données en double vous permet d'archiver un tel fichier dans une petite archive (par exemple, 5 Go de données sont regroupés dans une archive RAR de 200 Ko ou ZIP de 480 Ko).
Un grand nombre de fichiers identiques dans l'archive n'affecte pratiquement pas la taille de l'archive lors de l'utilisation de méthodes spéciales (par exemple, il existe des techniques pour emballer 10100 fichiers identiques dans une archive RAR de 30 Ko ou ZIP de 230 Ko).
Trojan-Notifier - notification d'une attaque réussie
Les chevaux de Troie de ce type sont conçus pour informer leur hôte d'un ordinateur infecté. Dans ce cas, les informations sur l'ordinateur sont envoyées à l'adresse de l'hôte, par exemple, l'adresse IP de l'ordinateur, le numéro de port ouvert, l'adresse e-mail, etc. L'envoi se fait de différentes manières: par e-mail, appel spécialement conçu pour la page web de l'hébergeur, ICQ-message.
Ces chevaux de Troie sont utilisés dans les kits de chevaux de Troie à plusieurs composants pour informer leur «propriétaire» de l'installation réussie des composants du cheval de Troie dans le système attaqué.
En fait, les macro-virus décrits dans le chapitre précédent ne sont pas une "espèce" indépendante, mais juste l'une des variétés d'une grande famille de programmes malveillants - les virus de script. Leur isolement est uniquement lié au fait que ce sont les macro-virus qui ont jeté les bases de toute cette famille, d’ailleurs, les virus «aiguisés» programmes Microsoft Les bureaux sont les plus courants de tout le clan.
Une caractéristique commune des virus de script est leur liaison à l'un des langages de programmation «intégrés». Chacun d'eux est lié à un "trou" spécifique dans la protection de l'un des programmes Windows et n'est pas un programme indépendant, mais un ensemble d'instructions qui forcent le "moteur" généralement inoffensif du programme à effectuer des actions destructrices inhabituelles pour lui.
Depuis la fin des années 90, les virus de script ont pu «chevaucher» une grande variété de programmes. En plus de la famille déjà familière des "macro-virus", il existe des "petits animaux" qui peuvent attaquer Internet Explorer ou Windows Media Player de diverses modifications.
Comme avec documents Word, l'utilisation de micrologiciels (scripts, applets Java, etc.) n'est pas un crime en soi - la plupart d'entre eux fonctionnent de manière assez pacifique, ce qui rend la page plus attrayante ou plus pratique. Chat, livre d'or, système de vote, compteur - toute cette commodité que nos pages doivent aux microprogrammes - "scripts". Quant aux applets Java, leur présence sur la page est également justifiée - elles permettent, par exemple, d'afficher un menu pratique et fonctionnel sur l'écran qui se déplie sous le curseur de votre souris ...
La commodité est la commodité, mais n'oubliez pas que tous ces applets et scripts sont de vrais programmes complets. De plus, beaucoup d'entre eux sont lancés et ne fonctionnent pas quelque part là-bas, "à une belle distance", sur un serveur inconnu, mais directement sur votre ordinateur! Et en y incorporant des éléments malveillants, les créateurs de pages pourront accéder au contenu de votre disque dur. Les conséquences sont déjà connues - du simple vol de mot de passe à formatage difficile disque.
Bien sûr, vous devrez rencontrer des «scripts tueurs» cent fois moins souvent qu'avec des virus ordinaires. À propos, dans ce cas, il y a peu d'espoir pour les antivirus conventionnels, mais le programme malveillant ouvert avec la page devra surmonter la protection du navigateur lui-même, dont les créateurs sont bien conscients de ces choses.
Revenons un instant aux paramètres d'Internet Explorer - à savoir dans le menu Service Internet Options Sécurité .
Comme vous pouvez le voir, Internet Explorer nous offre plusieurs niveaux de sécurité. En plus du niveau de protection standard (zone l'Internet ) nous pouvons renforcer (zone Limite ) ou affaiblissez votre vigilance (zone Nœuds fiables ). En appuyant sur le bouton Autre , nous pouvons régler manuellement la protection du navigateur en activant ou en désactivant le fonctionnement de divers «éléments actifs» des pages.
Bien que le système de sécurité d'Internet Explorer soit plein de "trous" qui peuvent être exploités par des intrus, s'il est utilisé correctement, vous vous assurerez contre les surprises les plus désagréables. Par exemple, lors de la saisie d'un site douteux "hacker", la protection peut être augmentée ...
Cependant, la plupart des virus de script se propagent par courrier électronique (rappelons que ces virus sont le plus souvent appelés «vers Internet»). Les représentants les plus brillants de cette famille sont peut-être les virus LoveLetter et Anna Kournikova, qui ont été attaqués au cours de la saison 2001-2002. Ces deux «animaux» utilisaient la même technique, basée non seulement sur la faible protection du système d'exploitation, mais aussi sur la naïveté des utilisateurs.
Nous rappelons que dans la plupart des cas, les virus sont véhiculés par des messages électroniques contenant des pièces jointes. Nous rappelons également qu'une infection peut pénétrer dans un ordinateur soit via des programmes (c'est-à-dire des fichiers exécutables avec l'extension * .exe ou * .com), soit via documents Microsoft Office, qui peut contenir du code malveillant. On sait aussi que du côté des images ou des fichiers son, il semble qu'aucun problème ne puisse menacer. C'est pourquoi, après avoir déterré à l'improviste dans la boîte aux lettres une lettre avec une photo attachée (à en juger par le nom du fichier et l'extension), nous la lançons immédiatement avec joie ... Et nous constatons qu'un virus "script" malveillant s'est caché sous le couvert de l'image. C'est également bien si nous le détectons immédiatement, et pas après que le virus ait réussi à détruire complètement toutes vos données.
L'astuce des créateurs du virus est simple: le fichier qui nous semblait être une image avait une double extension! par exemple
AnnaCournikova.jpg.vbs
C'est la deuxième extension qui est le vrai type de fichier, tandis que la première n'est qu'une partie de son nom. Et depuis l'extension vbsWindows est familier, il, sans réfléchir à deux fois, le cache aux yeux des utilisateurs, ne laissant que le nom à l'écran
AnnaCournikova.jpg
C'est exactement ce que Windows fait avec tous les types de fichiers enregistrés: l'autorisation est supprimée et le type de fichier doit être indiqué par son icône. Ce à quoi, hélas, nous prêtons rarement attention.
Bon piège?
Bien. Mais il est plus facile de le distinguer: l'astuce "double extension" ne fonctionne pas si on active le mode d'affichage du type de fichier au préalable. Cela peut être fait en utilisant le menu Propriétés du dossier dans le panneau de configuration de Windows: cliquez sur cette icône, puis ouvrez l'onglet Vue et retirercochez la ligne Masquer les extensions pour les types de fichiers enregistrés .
Cependant, les virus ne jugent pas nécessairement nécessaire d'être camouflés. Parfois, les fichiers exe sont «intégrés» dans une lettre assez ouvertement. Et, il semblerait, même un imbécile comprend ici que ça arrive à propos attaque virale (surtout si la lettre venait d'un inconnu). Cependant, ces programmes sont lancés avec empressement par les utilisateurs: l'un d'eux est des auteurs de virus insidieux qui promettent de démontrer la beauté inexplicable de l'image (ce qu'ils font d'ailleurs), d'autres promettent un programme pour «pirater» Internet, le troisième est une mise à jour du programme populaire. Il existe de nombreuses façons de poudrer le cerveau de l'utilisateur. Mais il arrive aussi qu'un ami ou une connaissance vous envoie un fichier infecté en toute conscience ... Enfin, vous pouvez attraper des virus avec les programmes eux-mêmes - surtout si vous les téléchargez à partir de serveurs inconnus de vous.
RAPPELEZ-VOUS: Seuls quelques types de fichiers sont autorisés en tant que pièces jointes à un e-mail. Relativement sûr (mis à part les astuces "double expansion") fichiers txt, jpg, gif, bmp, tif, mp3, wma Les documents Microsoft Office (doc, xls) et les archives zip et rar peuvent être reconnus comme «conditionnellement comestibles». Ils peuvent bien sûr contenir un virus, mais il est tout à fait possible de le neutraliser à l'aide d'un programme anti-virus, à condition de mettre régulièrement à jour ses bases de données. Dans tous les cas, un tel fichier peut être ouvert pour consultation.
Et voici une liste de types de fichiers inconditionnellement dangereux: lorsque vous les trouvez dans un e-mail qui vous est envoyé, n'hésitez pas à l'envoyer à la poubelle ... qui devrait être vidée plus tard.
En eux-mêmes, ces fichiers sont des créatures assez paisibles, alors ne lavez pas fiévreusement votre ordinateur, en les supprimant à gauche et à droite. Non: le seul signe de danger est la présence de ces fichiers dans la lettre, car chacun d'eux porte presque certainement un remplissage viral.
La liste des «porteurs de virus» potentiels comprend plus d'une douzaine de types de fichiers. Mais ceux-ci sont plus courants que d'autres.
Types de virus informatiques
Il n'y a pas de personne de ce genre aujourd'hui qui n'ait entendu parler de virus informatiques. Qu'est-ce que c'est, que sont types de virus informatiqueset les logiciels malveillants, essayons de le comprendre dans cet article. Ainsi, les virus informatiques peuvent être divisés en types suivants:
Les programmes de publicité et d'information sont des programmes qui, en plus de leur fonction principale, affichent également des bannières publicitaires et toutes sortes de publicités pop-up avec des publicités. Ces publicités peuvent parfois être difficiles à masquer ou à désactiver. Tel programmes publicitaires sont basées sur le comportement des utilisateurs d'ordinateurs et sont assez problématiques pour des raisons de sécurité du système.
Portes arrière
Les utilitaires d'administration cachés permettent, en contournant les systèmes de protection, de mettre l'ordinateur de l'utilisateur installé sous votre contrôle. Le programme, qui fonctionne en mode invisible, donne au pirate des droits illimités pour contrôler le système. Avec l'aide de ces programmes de porte dérobée, vous pouvez accéder aux données personnelles et personnelles de l'utilisateur. Souvent, ces programmes sont utilisés pour infecter le système avec des virus informatiques et pour l'installation cachée de programmes malveillants à l'insu de l'utilisateur.
Virus de démarrage
Il n'est pas rare que le secteur de démarrage principal de votre disque dur soit affecté par des virus de démarrage spéciaux. Les virus de ce type remplacent les informations nécessaires au bon démarrage du système. L'une des conséquences d'un tel programme malveillant est l'impossibilité de charger le système d'exploitation ...
Réseau de robots
Un réseau de robots est un réseau à part entière sur Internet qui peut être administré par un attaquant et se compose de nombreux ordinateurs infectés qui interagissent les uns avec les autres. Le contrôle d'un tel réseau est obtenu à l'aide de virus ou de chevaux de Troie qui pénètrent dans le système. Pendant le fonctionnement, les programmes malveillants ne se manifestent en aucune façon, attendant une commande de l'attaquant. Ces réseaux sont utilisés pour envoyer des messages SPAM ou pour organiser Attaques DDoS sur le serveurs requis... Fait intéressant, les utilisateurs d'ordinateurs infectés peuvent n'avoir aucune idée de ce qui se passe sur le réseau.
Exploit
Un exploit (littéralement une faille de sécurité) est un script ou un programme qui exploite des failles et des vulnérabilités spécifiques du système d'exploitation ou d'un programme. De la même manière, les programmes pénètrent dans le système, en utilisant les droits d'accès d'administrateur peuvent être obtenus.
Canular (littéralement blague, mensonge, canular, blague, tromperie)
Depuis plusieurs années, de nombreux internautes reçoivent des courriers électroniques concernant des virus prétendument propagés par courrier électronique. Ces avertissements sont envoyés en masse avec une demande larmoyante de les envoyer à tous les contacts de votre liste personnelle.
Pièges
Honeypot (un pot de miel) est un service réseau qui a pour tâche de surveiller l'ensemble du réseau et de corriger les attaques lorsqu'un foyer se produit. Le simple utilisateur ignore totalement l'existence d'un tel service. Si un pirate informatique examine et surveille le réseau à la recherche de trous, il peut alors utiliser les services offerts par un tel piège. Cela créera une entrée dans les fichiers journaux et une alarme automatique sera déclenchée.
Macrovirus
Les macrovirus sont de très petits programmes écrits dans le langage macro des applications. Ces programmes sont distribués uniquement parmi les documents créés spécifiquement pour cette application.
Pour activer de tels programmes malveillants, l'application doit être lancée, ainsi que l'exécution du fichier de macro infecté. La différence avec les virus de macros courants est que l'infection se produit sur les documents d'application et non sur les fichiers d'application en cours de lancement.
Agriculture
Le pharming est la manipulation secrète du fichier hôte du navigateur afin de diriger l'utilisateur vers un faux site. Les fraudeurs maintiennent des serveurs à grand volume, ces serveurs stockent grande base fausses pages Internet. Lorsqu'un fichier hôte est manipulé avec un cheval de Troie ou un virus, il est tout à fait possible de manipuler le système infecté. En conséquence, le système infecté ne téléchargera que de faux sites, même si vous entrez la bonne adresse dans la barre du navigateur.
Hameçonnage
Le phishing se traduit littéralement par la «pêche» des informations personnelles de l'utilisateur sur Internet. Lorsque l'attaquant agit, il envoie un email à la victime potentielle indiquant qu'il est nécessaire d'envoyer des informations personnelles pour confirmation. Il s'agit souvent du prénom et du nom de l'utilisateur, des mots de passe requis, Codes PIN pour accéder aux comptes utilisateurs en ligne. Avec l'utilisation de ces données volées, un pirate informatique peut très bien se faire passer pour une autre personne et mener des actions en son nom.
Virus polymorphes
Les virus polymorphes sont des virus qui utilisent le déguisement et la réincarnation au travail. Dans le processus, ils peuvent changer leur code de programme par eux-mêmes, et il est donc très difficile de les détecter, car la signature change avec le temps.
Virus logiciels
Un virus informatique est un programme courant qui peut s'attacher à d'autres programmes en cours d'exécution, endommageant ainsi leur travail. Les virus distribuent eux-mêmes leurs copies, ce qui les distingue considérablement des chevaux de Troie. En outre, la différence entre un virus et un ver est qu’un virus a besoin d’un programme avec lequel il peut attribuer son code.
Rootkit
Un rootkit est un ensemble spécifique d'outils logiciels qui est caché derrière le système de l'utilisateur, tout en garantissant que la connexion cybercriminelle personnelle et divers processus sont cachés, tout en faisant des copies des données.
Script de virus et de vers
Ces types de virus informatiques sont assez simples pour écrire et se propager principalement par courrier électronique. Les virus de script utilisent des langages de script pour s’ajouter eux-mêmes aux scripts nouvellement créés ou se propager via des fonctions de réseau d’exploitation. Souvent, l'infection se produit par e-mail ou à la suite d'un échange de fichiers entre utilisateurs. Un ver est un programme qui se reproduit mais infecte d'autres programmes en même temps. Lorsque les vers se multiplient, ils ne peuvent pas faire partie d'autres programmes, ce qui les distingue des types courants de virus informatiques.
Spyware
Les espions peuvent transmettre les données personnelles de l'utilisateur à son insu à des tiers. Spyware en même temps, ils analysent le comportement de l'utilisateur sur Internet, et également, sur la base des données collectées, montrent à l'utilisateur des publicités ou des pop-ups (fenêtres pop-up) qui intéresseront certainement l'utilisateur.
