Makrowirusy.
Najbardziej rozpowszechnione wirusy makr dla zintegrowanej aplikacji biurowej Microsoft Office (Word, Excel, PowerPoint i Access). Makrowirusy to tak naprawdę makra (makra) we wbudowanym języku programowania Visual Basic for Applications (VBA), które są umieszczane w dokumencie.
Podczas pracy z dokumentem użytkownik wykonuje różne czynności: otwiera dokument, zapisuje, drukuje, zamyka itp. W tym samym czasie aplikacja wyszukuje i wykonuje odpowiednie standardowe makra. Makrowirusy zawierają standardowe makra, są wywoływane zamiast tego i infekują każdy dokument, który zostanie otwarty lub zapisany. Szkodliwe działania makrowirusów są realizowane za pomocą wbudowanych makr (wstawianie tekstów, zabrania wykonywania poleceń menu aplikacji itp.).
Makrowirusy są ograniczony mieszkaniec
W sierpniu 1995 r. Rozpoczęła się epidemia pierwszego wirusa makr „Concept” dla edytora tekstu Microsoft Word. Makro-wirus „Concept” jest nadal szeroko rozpowszechniony, a dziś znanych jest około 100 jego modyfikacji.
Zapobiegawcza ochrona przed wirusami makr polega na zapobieganiu uruchomieniu wirusa. Po otwarciu dokumentu w aplikacjach Microsoft Office zgłasza obecność makr (potencjalnych wirusów) i sugeruje zakaz ich pobierania. Wybranie zakazu pobierania makr niezawodnie ochroni komputer przed infekcją wirusami makr, ale także wyłączy przydatne makra zawarte w dokumencie.
Specjalnym rodzajem wirusa są aktywne elementy (programy) w JavaScript lub VBScript, które mogą być zawarte w plikach stron internetowych. Infekcja komputera lokalnego występuje, gdy są przenoszone przez Internet z serwerów internetowych do lokalnej przeglądarki komputera.
W listopadzie 1998 r. Pojawił się pierwszy wirus skryptowy VBScript.Rabbit, infekujący skrypty stron internetowych, a półtora roku później, w maju 2000 r., Wybuchła globalna epidemia wirusa skryptowego LoveLetter. Teraz ten typ wirusa zdecydowanie zajmuje pierwsze miejsce na liście najczęstszych i najbardziej niebezpiecznych wirusów.
Zapobiegawcza ochrona przed wirusami skryptowymi polega na tym, że w przeglądarce można zapobiec odbieraniu aktywnych elementów na komputerze lokalnym.
WIEDZIEĆ
Wirusy komputeroweto złośliwe programy, które mogą „rozmnażać się” i potajemnie osadzać swoje kopie w plikach wykonywalnych, sektorach rozruchowych dysków i dokumentów. Aktywacja wirusa komputerowego może spowodować zniszczenie programów i danych.
Skutki wirusów są różnorodne. Według wielkości szkodliwych skutków wirusów można podzielić na:
- nieszkodliwy, którego wpływ jest ograniczony do zmniejszenia wolnej pamięci na dysku, grafiki, dźwięku i innych efektów zewnętrznych;
- niebezpieczne, co może prowadzić do awarii i zawieszania się podczas pracy komputera;
- bardzo niebezpieczne, których aktywacja może prowadzić do utraty programów i danych (zmiana lub usuwanie plików i katalogów), formatowanie dysku twardego itp.
Obecnie istnieje kilkadziesiąt tysięcy wirusów, które infekują komputery różnych systemów operacyjnych. Dzięki metodzie zapisywania i wykonywania ich kodu wirusy można podzielić na wirusy boot, file, macroi wirusy skryptowe.
Wirusy rozruchowe zainfekować sektor rozruchowy dyskietki lub dysku twardego. Zasada działania wirusów rozruchowych opiera się na algorytmach uruchamiania systemu operacyjnego po włączeniu lub ponownym uruchomieniu komputera.
Wirusy plikowe Na różne sposoby są one osadzone w plikach wykonywalnych i zwykle są aktywowane po uruchomieniu. Po uruchomieniu zainfekowanego pliku wirus znajduje się w pamięci RAM komputera i pozostaje aktywny do momentu wyłączenia komputera lub ponownego uruchomienia systemu operacyjnego.
Makrowirusy są ograniczony mieszkaniecoznacza to, że znajdują się w pamięci RAM i infekują dokumenty, gdy aplikacja jest otwarta. Ponadto makrowirusy infekują szablony dokumentów i dlatego są aktywowane po uruchomieniu zainfekowanej aplikacji.
pytania testowe
1. Jakie rodzaje wirusów komputerowych istnieją, czym się różnią i jakie powinny być sposoby zapobiegania infekcji?
2. Dlaczego nawet czysto sformatowana dyskietka może stać się źródłem infekcji wirusowej?
3. Korzystając z Encyklopedii wirusów, zapoznaj się z klasyfikacją wirusów i metodami ochrony antywirusowej.
Lawinowe rozprzestrzenianie wirusów stało się dużym problemem dla większości firm i agencji rządowych. Obecnie znanych jest ponad 45 000 wirusów komputerowych, a co miesiąc pojawia się ponad 300 nowych gatunków.
Wirus komputerowy - Jest to specjalnie napisany program, który może „przypisywać” się innym programom, tj. „zainfekować je” w celu wykonania różnych niepożądanych działań na komputerze i w sieci. Gdy program zainfekowany wirusem zaczyna działać, najpierw z reguły wirus przejmuje kontrolę. Wirus może działać samodzielnie, wykonując określone złośliwe działania (modyfikuje pliki lub tablicę alokacji plików na dysku, zatyka pamięć RAM, zmienia adresowanie połączeń z urządzeniami zewnętrznymi itp.) Lub infekuje inne programy. Zainfekowane programy można przenieść na inny komputer za pomocą dyskietek lub sieci lokalnej.
Formy organizowania ataków wirusowych są bardzo zróżnicowane, ale ogólnie wyróżnia się następujące kategorie:
■ zdalna penetracja komputera - programy, które uzyskują nieautoryzowany dostęp do innego komputera przez Internet (lub sieć lokalną);
■ lokalna penetracja komputera - programy, które uzyskują nieautoryzowany dostęp do komputera, na którym następnie działają;
■ zdalne blokowanie komputera - programy, które blokują działanie całego komputera zdalnego lub oddzielnego programu na nim przez Internet (lub sieć);
■ blokowanie komputera lokalnego - programy, które blokują działanie komputera, na którym działają;
■ skanery sieciowe - programy, które zbierają informacje o sieci w celu ustalenia, które komputery i programy na nich działające są potencjalnie narażone na ataki;
■ skanery podatności na programy - programy, które skanują duże grupy komputerów w Internecie w poszukiwaniu komputerów narażonych na określony rodzaj ataku;
■ programy do łamania haseł - programy, które wykrywają łatwe do odgadnięcia hasła w zaszyfrowanych plikach haseł;
■ sniffery sieciowe - programy, które nasłuchują na ruchu sieciowym. Często mają one możliwość automatycznego wydobywania nazw użytkowników, haseł i numerów kart kredytowych z ruchu;
■ modyfikacja przesyłanych danych lub zastępowanie informacji;
■ podstawienie zaufanego obiektu w rozproszonej sieci komputerowej (praca w jego imieniu) lub jego fałszywy obiekt;
■ „inżynieria społeczna” - NSD do informacji różni się od oprogramowania hakerskiego. Celem jest wprowadzenie w błąd pracowników (administratorów sieci lub systemu, użytkowników, menedżerów) w celu uzyskania haseł do systemu lub innych informacji, które pomogą naruszyć bezpieczeństwo systemu.
Złośliwe oprogramowanie obejmuje robaki sieciowe, klasyczne wirusy plikowe, trojany, narzędzia hakerskie i inne programy, które powodują znane szkody na komputerze, na którym działają, lub na innych komputerach w sieci.
Robaki sieciowe
Głównym znakiem różnicującym typy robaków między sobą jest sposób rozprzestrzeniania się robaka - sposób, w jaki przenosi on swoją kopię na zdalne komputery. Inne oznaki różnicy między robakami komputerowymi to metody uruchamiania kopii robaka na zainfekowanym komputerze, metody wprowadzania ich do systemu, a także polimorfizm, „stela” i inne cechy wspólne dla innych rodzajów złośliwego oprogramowania (wirusów i trojanów). Przykładem jest robak pocztowy, tj. robaki pocztowe. Ta kategoria robaków obejmuje te, które rozprzestrzeniają się za pomocą poczty e-mail. W takim przypadku robak wysyła swoją kopię jako załącznik do wiadomości e-mail lub link do swojego pliku znajdującego się w zasobie sieciowym (na przykład adres URL zainfekowanego pliku znajdującego się na stronie zaatakowanej przez hakera lub hakera). W pierwszym przypadku kod robaka jest aktywowany po otwarciu (uruchomieniu) zainfekowanego załącznika, w drugim - po otwarciu łącza do zainfekowanego pliku. W obu przypadkach efekt jest taki sam - kod robaka jest aktywowany.
Robaki pocztowe używają różnych metod do wysyłania zainfekowanych wiadomości. Najczęstsze to:
■ bezpośrednie połączenie z serwerem SMTP za pomocą biblioteki poczty wbudowanej w kod robaka;
■ korzystanie z usług MS Outlook;
■ Korzystanie z funkcji Windows MAPI.
Robaki pocztowe wykorzystują różne metody wyszukiwania adresów e-mail, na które będą wysyłane zainfekowane wiadomości. Robaki pocztowe:
■ wysyłać się na wszystkie adresy znajdujące się w książce adresowej MS Outlook;
■ odczytać adresy z bazy adresów WAB;
■ skanuj „odpowiednie” pliki na dysku i zaznacz w nich wiersze, które są adresami e-mail;
■ wysyłają się na wszystkie adresy znajdujące się w literach w skrzynce pocztowej (jednocześnie niektóre robaki pocztowe „odpowiadają” na listy znalezione w skrzynce pocztowej).
Wiele robaków używa jednocześnie kilku z tych metod. Istnieją również inne sposoby wyszukiwania adresów e-mail.
Istnieją inne rodzaje robaków: robak komunikacyjny - robaki wykorzystujące pagery internetowe, robak IRC - robaki w kanałach IRC, robak sieciowy - inne robaki sieciowe.
Klasyczne wirusy komputerowe
DOta kategoria obejmuje programy, które dystrybuują swoje kopie do zasobów komputera lokalnego w celu późniejszego uruchomienia ich kodu za pomocą dowolnych działań użytkownika lub dalszej implementacji w innych zasobach komputera.
W przeciwieństwie do robaków wirusy nie wykorzystują usług sieciowych do przenikania do innych komputerów. Kopia wirusa trafia na komputery zdalne tylko wtedy, gdy z jakiegoś powodu zainfekowany obiekt jest aktywowany na innym komputerze, na przykład:
■ podczas infekcji dostępnych dysków wirus przeniknął do plików znajdujących się w udziale sieciowym;
■ wirus skopiował się na nośnik wymienny lub zainfekowane pliki;
■ Użytkownik wysłał wiadomość e-mail z zainfekowanym załącznikiem.
Niektóre wirusy zawierają właściwości innych rodzajów złośliwego oprogramowania, takie jak procedura backdoor lub składnik trojana, niszczący informacje na dysku.
Wiele edytorów tabel i grafik, systemów projektowych i edytorów tekstu ma własne języki makr do automatyzacji wykonywania powtarzających się działań. Te języki makr często mają złożoną strukturę i rozbudowany zestaw poleceń. Makrowirusy to programy w języku makr wbudowane w takie systemy przetwarzania danych. W celu rozprzestrzeniania się wirusy tej klasy wykorzystują możliwości języków makr i, z ich pomocą, przenoszą się z jednego zainfekowanego pliku (dokumentu lub tabeli) do innych.
Wirusy skryptowe
Wirusy skryptowe są podzbiorem wirusów plikowych. Wirusy te są napisane w różnych językach skryptowych (VBS, JS, BAT, PHP itp.). Infekują inne programy skryptowe (pliki poleceń i usług MS Windows lub Linux) lub są częścią wirusów wieloskładnikowych. Wirusy te mogą również infekować pliki innych formatów (na przykład HTML), jeśli możliwe jest w nich tworzenie skryptów.
Programy trojańskie
Wta kategoria obejmuje programy, które wykonują różne działania nieautoryzowane przez użytkownika: zbieranie informacji i przekazywanie ich atakującemu, niszczenie lub złośliwe modyfikowanie, zakłócanie wydajności komputera i wykorzystywanie zasobów komputera do niestosownych celów. Niektóre kategorie koni trojańskich wyrządzają szkody zdalnym komputerom i sieciom bez wpływu na zdrowie zainfekowanego komputera (na przykład konie trojańskie zaprojektowane do masowych ataków DoS na zdalne zasoby sieciowe).
Konie trojańskie są różnorodne i różnią się między sobą działaniami wykonywanymi na zainfekowanym komputerze:
■ Backdoor - narzędzia trojańskie do zdalnej administracji;
■ Trojan-PSW - kradzież haseł;
■ Trojan-AOL - rodzina trojanów, które „kradną” kody dostępu do sieci AOL (America Online). Przydzielony do specjalnej grupy ze względu na dużą liczbę;
■ Trojan-Clicker - Clickery internetowe. Rodzina trojanów, których główną funkcją jest organizowanie nieautoryzowanego dostępu do zasobów internetowych (zwykle stron internetowych). Osiąga się to albo poprzez wysłanie odpowiednich poleceń do przeglądarki, albo przez zastąpienie plików systemowych określających „standardowe” adresy zasobów internetowych (na przykład plik hosts w MS Windows);
■ Trojan-Downloader - dostarczanie innego złośliwego oprogramowania;
■ Trojan-Dropper - instalatory innych złośliwych programów. Trojany tej klasy są pisane w celu potajemnej instalacji innych programów i prawie zawsze są używane do „odrywania” wirusów lub innych trojanów na komputerze ofiary;
■ Trojan-Proxy - proxy trojana. Rodzina trojanów, które potajemnie zapewniają anonimowy dostęp do różnych zasobów internetowych. Powszechnie używane do wysyłania spamu;
■ Trojan-Spy - oprogramowanie szpiegujące. Trojany te przeprowadzają szpiegostwo elektroniczne dla użytkownika zainfekowanego komputera: informacje wprowadzone z klawiatury, zrzuty ekranu, lista aktywnych aplikacji i działań użytkownika są zapisywane w pliku na dysku i okresowo wysyłane do atakującego. Trojany tego typu są często wykorzystywane do kradzieży informacji od użytkowników różnych systemów płatności online i systemów bankowych;
■ Trojan - inne programy trojańskie. W tej kategorii znajdują się również trojany „uniwersalne”, na przykład te, które jednocześnie szpiegują użytkownika i zapewniają usługę proxy zdalnemu napastnikowi;
■ Trojan ArcBomb - „bomby” w archiwach. Są to archiwa specjalnie zaprojektowane w taki sposób, aby powodować nieprawidłowe zachowanie archiwizatorów podczas próby rozpakowania danych - zamrażanie lub znaczne spowolnienie komputera lub zapełnianie dysku dużą ilością „pustych” danych. Bomby archiwalne są szczególnie niebezpieczne dla serwerów plików i poczty, jeśli serwer używa pewnego rodzaju automatycznego systemu przetwarzania przychodzących informacji - bomba archiwalna może po prostu zatrzymać serwer;
■ Trojan-Notifier - powiadomienie o udanym ataku. Trojany tego typu mają na celu informowanie swojego „hosta” o zainfekowanym komputerze. W takim przypadku informacje o komputerze są wysyłane na adres „hosta”, na przykład adres IP komputera, numer otwartego portu, adres e-mail itp. Wysyłanie odbywa się na różne sposoby: przez e-mail, specjalnie zaprojektowane odwołanie do strony internetowej hosta lub wiadomość ICQ. Trojany te są używane w trojanach wieloskładnikowych do informowania swojego „mistrza” o pomyślnej instalacji trojanów w zaatakowanym systemie.
Narzędzia hakerów i inne złośliwe oprogramowanie
■ Narzędzia do automatyzacji tworzenia wirusów, robaków i trojanów (konstruktorów);
■ biblioteki oprogramowania zaprojektowane do tworzenia złośliwego oprogramowania;
■ narzędzia hakerskie do ukrywania kodu zainfekowanych plików przed skanowaniem antywirusowym (programy szyfrujące pliki);
■ „złe żarty”, które utrudniają pracę z komputerem;
■ programy informujące użytkownika o świadomie fałszywych informacjach o jego działaniach w systemie;
■ inne programy, które w taki czy inny sposób celowo powodują bezpośrednie lub pośrednie uszkodzenie tego lub zdalnych komputerów.
Inne złośliwe programy obejmują różne programy, które nie stanowią zagrożenia bezpośrednio dla komputera, na którym są wykonywane, ale są zaprojektowane do tworzenia innych wirusów lub trojanów, organizowania ataków DoS na zdalne serwery, włamywania się na inne komputery itp.
Programy te obejmują:
■ DoS, DdoS - ataki sieciowe;
■ Exploit, HackTool - hakerzy zdalnych komputerów. Narzędzia hakerskie tej klasy przeznaczone są do przenikania zdalnych komputerów w celu dalszego zarządzania nimi (przy użyciu metod programów trojańskich takich jak backdoor) lub do wprowadzania innych złośliwych programów do zhakowanego systemu;
■ Flooder - „zaśmiecanie” sieci. Te narzędzia hakerskie służą do „zatykania” (bezużytecznych wiadomości) kanałów internetowych - kanałów IRC, komputerowych sieci przywoławczych, poczty elektronicznej itp.;
■ Konstruktor - konstruktor wirusów i trojanów. Są to narzędzia zaprojektowane do tworzenia nowych wirusów komputerowych i trojanów. Są znani projektanci wirusów dla DOS, Windows i wirusów makr. Pozwalają generować kody źródłowe wirusów, moduły obiektów i / lub bezpośrednio zainfekowane pliki;
■ Nuker - śmiertelne ataki sieciowe. Narzędzia, które wysyłają specjalnie spreparowane żądania do zaatakowanych komputerów w sieci, w wyniku czego zaatakowany system przestaje działać. Wykorzystują luki w oprogramowaniu i systemie operacyjnym, w wyniku których specjalny rodzaj żądania sieciowego powoduje błąd krytyczny w zaatakowanej aplikacji;
■ Bad-Joke, Hoax - „złe żarty”, wprowadzające użytkownika w błąd. Należą do nich programy, które nie powodują bezpośredniej szkody dla komputera, ale wyświetlają komunikaty, że taka szkoda została już wyrządzona lub zostanie wykonana w każdych warunkach, lub ostrzegają użytkownika o nieistniejącym niebezpieczeństwie. Na przykład „złośliwe żarty” obejmują programy, które „straszą” użytkownika wiadomościami o sformatowaniu dysku (chociaż tak naprawdę nie ma formatowania), wykrywają wirusy w niezainfekowanych plikach, wyświetlają dziwne wiadomości podobne do wirusów itp. - w zależności od poczucia humoru autora takiego programu;
■ FileCryptor, PolyCryptor - ukrywanie się przed programami antywirusowymi. Narzędzia hakerów używane do szyfrowania innych złośliwych programów w celu ukrycia ich zawartości przed skanowaniem antywirusowym;
■ PolyEngine - generatory polimorficzne. Nie są wirusami w dosłownym tego słowa znaczeniu, ponieważ ich algorytm nie obejmuje funkcji reprodukcji, tj. otwieranie, zamykanie i zapisywanie do plików, czytanie i zapisywanie sektorów itp. Główną funkcją takich programów jest szyfrowanie wirusa i generowanie odpowiedniego deszyfratora;
■ VirTool - narzędzia zaprojektowane w celu ułatwienia pisania wirusów komputerowych i ich badania do celów hakerów.
Co przede wszystkim należy chronić?Przede wszystkim są to wirusy (wirusy, robaki) i wszelkiego rodzaju praktycznie bezużyteczne informacje (zwykle reklamy) przymusowo wysyłane do subskrybentów wiadomości e-mail (spam). Według różnych źródeł w 2008 r. 80–85% firm na całym świecie było narażonych na ataki wirusów. Liczba ta stale rośnie.
Po drugie, programy takie jak „Trojan Horse” mogą być niepostrzeżenie dla właściciela zainstalowanego na jego komputerze, a także niepostrzeżenie działać na nim. Proste wersje konia trojańskiego wykonują tylko jedną funkcję, taką jak kradzież haseł. Istnieją jednak bardziej „zaawansowane” instancje, które implementują szeroki zakres funkcji do zdalnego sterowania komputerem, w tym przeglądanie zawartości katalogów, przechwytywanie wszystkich poleceń wprowadzanych z klawiatury, kradzież lub zniekształcanie danych i informacji, zmienianie plików i zawartości pól bazy danych.
Innym powszechnym rodzajem ataku są działania mające na celu wyłączenie określonego węzła sieci. Ataki te nazywane są Denial of Service (DoS). Do chwili obecnej znanych jest ponad sto różnych opcji dla tych działań. Wcześniej zauważono, że wyłączenie hosta na kilka godzin może prowadzić do bardzo poważnych konsekwencji. Na przykład awaria serwera systemu płatności banku doprowadzi do niemożności dokonywania płatności, aw konsekwencji do dużych bezpośrednich i pośrednich strat finansowych i ratingowych.
Ataki i zagrożenia tego typu są najczęstsze, ale są też inne zagrożenia, które mogą prowadzić do poważnych konsekwencji. Na przykład system wykrywania ataków RealSecure wykrywa ponad 600 różnych zdarzeń, które wpływają na bezpieczeństwo i są powiązane z atakami zewnętrznymi.
US-CERT, amerykańska organizacja bezpieczeństwa komputerowego, zasugerowała użycie standardowych nazw dla robaków internetowych i innych złośliwych programów. Członkowie US-CERT nazwali swój program Common Classification of Malware (CME). Celem programu nie jest wprowadzanie użytkowników w błąd przy użyciu różnych nazw dla tych samych wirusów. Na przykład robak W32.
Symantec Zotob.E w klasyfikacji McAfee nazywa się W32 / IRCbot.worm! MS05-039, „Trend Micro” nazywa ten program WORM_RBOT.CBQ.
Teraz wiele wirusów otrzymuje swoje nazwy na podstawie opisu lub informacji zawartych w kodzie programu przez ich twórców. W nowym systemie wirusy będą używać numerów CME. Pierwszy wirus nazywa się CME-1.
Podobny system klasyfikacji istnieje już w celu opisania luk w oprogramowaniu. Wspólny identyfikator podatności obejmuje numer porządkowy i rok, w którym zidentyfikowano podatność. Identyfikator wirusa nie zawiera daty, ponieważ użytkownicy często źle rozumieją te informacje. Uważają, że luka z wcześniejszą datą jest mniej niebezpieczna niż późniejsza.
Inicjatorzy propozycji CME pozwalają na stosowanie starych nazw wirusów, ale mają nadzieję, że ich system usprawni wymianę informacji między twórcami programów antywirusowych a całą społecznością antywirusową. Projekt był już wspierany przez Computer Associates, McAfee, Microsoft, Symantec i F-Secure.
Jak się chronić?Ogólne metody ochrony przed wirusami są z konieczności integralną częścią polityki bezpieczeństwa informacji w przedsiębiorstwie. Odpowiednie sekcje zasad opisują zasady ochrony antywirusowej, obowiązujące standardy i dokumenty regulacyjne, które określają działania użytkownika podczas pracy w sieciach lokalnych i zewnętrznych, jego poświadczenia oraz używane narzędzia antywirusowe. Zestawy zasad obowiązkowych mogą być dość różnorodne. Jednak następujące zasady mogą być sformułowane ogólnie dla użytkowników:
■ skanowanie w poszukiwaniu wirusów wszystkich dyskietek, CD-RW, ZIP-ów znajdujących się na innym komputerze, wszystkie zakupione dyski CD;
■ używać programów antywirusowych znanych zaufanych firm, regularnie (najlepiej codziennie) aktualizować swoje bazy danych;
■ nie usuwaj rezydentnej części (monitora) programu antywirusowego z pamięci RAM komputera;
■ używaj tylko programów i danych uzyskanych z wiarygodnych źródeł - najczęściej pirackie kopie programów są zainfekowane wirusami;
■ Nigdy nie otwieraj plików załączonych do wiadomości e-mail otrzymanych od nieznanych nadawców i nie uzyskuj dostępu do witryn reklamowanych za pośrednictwem wysyłek spamowych (według Kaspersky Lab obecnie około 90% wirusów rozprzestrzenia się w ten sposób).
Podobnie możesz sformułować kilka ogólnych wymagań dotyczących dobrego programu antywirusowego. Taki program powinien:
■ zapewnia skuteczną ochronę w czasie rzeczywistym - rezydentna część (monitor) programu musi stale znajdować się w pamięci RAM komputera i sprawdzać wszystkie operacje na plikach (podczas tworzenia, edycji, kopiowania plików, uruchamiania ich do wykonania), wiadomości e-mail, danych i programów pozyskiwane z Internetu;
■ Zezwalaj na sprawdzanie całej zawartości dysków lokalnych „na żądanie”, uruchamianie skanowania ręcznie lub automatycznie zgodnie z harmonogramem lub po włączeniu komputera;
■ chronić komputer nawet przed nieznanymi wirusami - program powinien zawierać technologie wyszukiwania nieznanych wirusów w oparciu o zasady analizy heurystycznej;
■ być w stanie sprawdzać i leczyć zarchiwizowane pliki;
■ umożliwiać regularną (najlepiej codzienną) aktualizację antywirusowych baz danych (przez Internet, z dyskietek lub płyt CD).
Obecnie Rosja wykorzystuje głównie dwa sprawdzone pakiety antywirusowe: Dr.WEB i Kaspersky Anti-Virus. Każdy z tych produktów ma swoją własną linię, skoncentrowaną na różnych obszarach aplikacji - do użytku na komputerach lokalnych, dla małych i średnich firm, dużych klientów korporacyjnych, do ochrony sieci lokalnych, poczty, serwerów plików, serwerów aplikacji. Oba produkty oczywiście spełniają wszystkie powyższe wymagania.
- Encyklopedia wirusów. [Zasób elektroniczny] Tryb dostępu: wvvw. viruslist.com/en/viruses/encyclopedia.
- Tryb dostępu: vww.vnunet.com/vnunet/news/2143314/ security-industry-gathers.
Należy również zauważyć wirusy skryptowe, które są podzbiorem wirusów plikowych. Wirusy te są napisane w różnych językach skryptowych (VBS, JS, BAT, PHP itp.). Infekują inne programy skryptowe (pliki poleceń i usług MS Windows lub Linux) lub są częścią wirusów wieloskładnikowych. Ponadto wirusy te mogą infekować pliki innych formatów (na przykład HTML), jeśli możliwe jest w nich tworzenie skryptów.
Programy trojańskie.
Konie trojańskie różnią się działaniami wykonywanymi na zainfekowanym komputerze.
Backdoor - narzędzia do zdalnej administracji trojana
Trojany tej klasy to narzędzia do zdalnej administracji komputerami w sieci. W swojej funkcjonalności w dużej mierze przypominają różne systemy administracyjne opracowane i dystrybuowane przez firmy produkujące oprogramowanie.
Jedyną cechą tych programów sprawia, że \u200b\u200bklasyfikują się one jako szkodliwe trojany: brak ostrzeżenia o instalacji i uruchomieniu. Po uruchomieniu „trojan” instaluje się w systemie, a następnie monitoruje go, a użytkownik nie otrzymuje żadnych wiadomości o działaniach trojana w systemie. Ponadto łącze do trojana może nie znajdować się na liście aktywnych aplikacji. W rezultacie „użytkownik” tego trojana może nie być świadomy jego obecności w systemie, podczas gdy jego komputer jest otwarty do zdalnego sterowania.
Ukryte narzędzia do zarządzania pozwalają zrobić z komputerem wszystko, co umieścił w nich autor: odbieranie lub wysyłanie plików, uruchamianie i niszczenie ich, wyświetlanie wiadomości, usuwanie informacji, ponowne uruchamianie komputera itp. W rezultacie trojany te mogą być wykorzystywane do wykrywania i przesyłania poufnych informacji, uruchamiania wirusów, niszczenia danych itp. - zainfekowane komputery są otwarte na złośliwych hakerów.
W związku z tym trojany tego typu są jednym z najniebezpieczniejszych rodzajów złośliwego oprogramowania, ponieważ zawierają one możliwość wykonywania różnorodnych złośliwych działań związanych z innymi rodzajami trojanów.
Osobno należy zauważyć grupę tylnych drzwi, które mogą rozprzestrzeniać się w sieci i infiltrować inne komputery, podobnie jak robaki komputerowe. Tym, co odróżnia te „trojany” od robaków, jest fakt, że nie rozprzestrzeniają się one spontanicznie w sieci (jak robaki), ale jedynie za pomocą specjalnego polecenia „hosta” kontrolującego tę kopię trojana.
Trojan-PSW - kradzież hasła
Ta rodzina łączy trojany kradnące różne informacje z zainfekowanego komputera, zwykle hasła systemowe (PSW - Password-Stealing-Ware). Po uruchomieniu trojany PSW szukają plików systemowych, które przechowują różne poufne informacje (zwykle numery telefonów i hasła dostępu do Internetu) i wysyłają je na adres e-mail lub adresy określone w kodzie trojana.
Istnieją trojany PSW, które dostarczają inne informacje o zainfekowanym komputerze, na przykład informacje o systemie (rozmiar pamięci i miejsca na dysku, wersja systemu operacyjnego), typ używanego klienta poczty, adres IP itp. Niektóre trojany tego typu „kradną” informacje rejestracyjne dla różnych programów, kody dostępu do gier sieciowych i inne.
Trojan-AOL to rodzina trojanów, które „kradną” kody dostępu do sieci AOL (America Online). Przydzielony do specjalnej grupy ze względu na dużą liczbę.
Trojan-Clicker - Internet Clickers
Rodzina trojanów, których główną funkcją jest organizacja nieautoryzowanego dostępu do zasobów internetowych (zwykle stron internetowych). Można to osiągnąć przez wysłanie odpowiednich poleceń do przeglądarki lub przez zastąpienie plików systemowych określających „standardowe” adresy zasobów internetowych (na przykład plik hosts w MS Windows).
Atakujący może mieć następujące cele dla takich działań:
zwiększyć ruch do dowolnych witryn w celu zwiększenia liczby wyświetleń reklamy;
organizacja ataku DoS (Denial of Service) na dowolny serwer;
przyciąganie potencjalnych ofiar infekcji wirusami lub trojanami.
Trojan-Downloader - dostarczanie innego złośliwego oprogramowania
Trojany tej klasy są zaprojektowane do pobierania i instalowania nowych wersji złośliwego oprogramowania na zaatakowanym komputerze, instalowania trojanów lub systemów adware. Programy pobrane z Internetu są następnie uruchamiane w celu wykonania lub rejestrowane przez „trojana” w celu uruchomienia zgodnie z możliwościami systemu operacyjnego. Działania te występują bez wiedzy użytkownika.
Informacje o nazwach i lokalizacji pobranych programów są zawarte w kodzie i danych trojana lub pobrane przez trojana z „zarządzającego” zasobu internetowego (zwykle ze strony internetowej).
Trojan-Dropper - instalatory innego złośliwego oprogramowania
Trojany tej klasy są pisane w celu potajemnej instalacji innych programów i prawie zawsze są używane do „odrywania” wirusów lub innych trojanów na komputerze ofiary.
Trojany te zwykle bez żadnych komunikatów (lub z fałszywymi komunikatami o błędzie w archiwum lub niepoprawnej wersji systemu operacyjnego) zrzucają inne pliki na dysk w pewnym katalogu (w katalogu głównym dysku C:, w katalogu tymczasowym, w katalogach Windows) i uruchamiają je spełnić.
Zazwyczaj struktura takich programów jest następująca:
Kod główny
„Kod główny” wybiera pozostałe komponenty ze swojego pliku (plik 1, plik 2,.), Zapisuje je na dysku i otwiera (rozpoczyna wykonywanie).
Zazwyczaj jeden (lub więcej) komponentów to trojany, a przynajmniej jeden komponent to „sztuczka”: program do żartów, gry, obrazu lub czegoś podobnego. „Sztuczka” powinna odwrócić uwagę użytkownika i / lub wykazać, że plik wykonywalny naprawdę robi coś „użytecznego”, podczas gdy komponent trojana jest zainstalowany w systemie.
W wyniku korzystania z programów tej klasy hakerzy osiągają dwa cele:
tajna instalacja trojanów i / lub wirusów;
ochrona przed programami antywirusowymi, ponieważ nie wszystkie z nich są w stanie przeskanować wszystkie składniki w plikach tego typu.
Trojan-Proxy - proxy trojana
Rodzina trojanów, które potajemnie zapewniają anonimowy dostęp do różnych zasobów internetowych. Powszechnie używany do wysyłania spamu.
Trojan-Spy - oprogramowanie szpiegujące
Trojany te przeprowadzają szpiegostwo elektroniczne dla użytkownika zainfekowanego komputera: informacje wprowadzone z klawiatury, zrzuty ekranu, lista aktywnych aplikacji i działań użytkownika są zapisywane w pliku na dysku i okresowo wysyłane do atakującego.
Trojany tego typu są często wykorzystywane do kradzieży informacji od użytkowników różnych systemów płatności internetowych i systemów bankowych.
Trojan - inne trojany
Trojany te obejmują te, które wykonują inne czynności objęte definicją trojanów, tj. zniszczenie lub złośliwa modyfikacja danych, uszkodzenie komputera i tak dalej.
Ta kategoria zawiera również trojany „uniwersalne”, na przykład te, które jednocześnie szpiegują użytkownika i zapewniają zdalną osobę atakującą usługę proxy.
Rootkit - ukrywanie obecności w systemie operacyjnym
Koncepcja rootkita przyszła do nas z systemu UNIX. Początkowo koncepcja ta była używana do wskazania zestawu narzędzi używanych do uzyskania uprawnień roota.
Ponieważ narzędzia takie jak rootkit dotychczas rootowały w innych systemach operacyjnych (w tym Windows), należy uznać, że taka definicja rootkita jest moralnie przestarzała i nie odpowiada rzeczywistej sytuacji.
Zatem rootkit to kod lub technika programu mająca na celu ukrycie obecności w systemie określonych obiektów (procesów, plików, kluczy rejestru itp.).
Jeśli chodzi o zachowanie Rootkita, klasyfikacja Kaspersky Lab ma reguły absorpcji: Rootkit to najmłodsze zachowanie wśród złośliwego oprogramowania. Oznacza to, że jeśli program Rootkit zawiera składnik trojana, wówczas jest wykrywany jako trojan.
ArcBomb - „bomby” w archiwach
Są to archiwa specjalnie zaprojektowane w taki sposób, aby powodować nieprawidłowe zachowanie archiwizatorów podczas próby rozpakowania danych - zamrażanie lub znaczne spowolnienie komputera lub zapełnianie dysku dużą ilością „pustych” danych. Bomby archiwalne są szczególnie niebezpieczne dla serwerów plików i poczty, jeśli serwer używa dowolnego systemu do automatycznego przetwarzania przychodzących informacji, bomba archiwalna może po prostu zatrzymać serwer.
Istnieją trzy rodzaje takich „bomb”: niepoprawny nagłówek archiwum, zduplikowane dane i identyczne pliki w archiwum.
Nieprawidłowy nagłówek archiwum lub uszkodzone dane w archiwum mogą prowadzić do nieprawidłowego działania konkretnego archiwizatora lub rozpakowania algorytmu podczas analizowania zawartości archiwum.
Znaczący plik zawierający zduplikowane dane pozwala zarchiwizować taki plik w małym archiwum (na przykład 5 GB danych jest spakowanych w RAR 200 KB lub w archiwum ZIP 480 KB).
Ogromna liczba identycznych plików w archiwum również praktycznie nie wpływa na rozmiar archiwum przy użyciu specjalnych metod (na przykład istnieją techniki pakowania 10 100 identycznych plików w archiwum RAR 30 KB lub 230 KB ZIP).
Trojan-Notifier - powiadomienie o udanym ataku
Trojany tego typu mają na celu informowanie swojego „hosta” o zainfekowanym komputerze. W takim przypadku informacje o komputerze są wysyłane na adres „hosta”, na przykład adres IP komputera, numer otwartego portu, adres e-mail itp. Wysyłanie odbywa się na różne sposoby: przez e-mail, specjalnie zaprojektowane odwołanie do strony internetowej hosta lub wiadomość ICQ.
Trojany te są używane w trojanach wieloskładnikowych do informowania swojego „mistrza” o pomyślnej instalacji trojanów w zaatakowanym systemie.
W rzeczywistości makrowirusy opisane w poprzednim rozdziale nie są niezależnym „gatunkiem”, ale tylko jedną z odmian dużej rodziny szkodliwych programów - wirusami skryptowymi. Ich izolacja wiąże się tylko z faktem, że to właśnie makrowirusy położyły fundamenty pod całą rodzinę, ponadto wirusy „zaostrzone” dla programów Microsoft Office otrzymały największą dystrybucję z całego klanu.
Wspólną cechą wirusów skryptowych jest wiązanie z jednym z „wbudowanych” języków programowania. Każdy z nich jest powiązany z konkretną „dziurą” w ochronie jednego z programów Windows i nie jest niezależnym programem, ale zestawem instrukcji, które sprawiają, że ogólnie nieszkodliwy „silnik” programu wykonuje dla niego niszczycielskie działania.
Od końca lat 90. wirusom skryptowym udało się „osiodłać” bardzo wiele programów. Oprócz znanej już rodziny wirusów makr, istnieje niewiele zwierząt, które mogą atakować różne modyfikacje programu Internet Explorer lub Windows Media Player.
Podobnie jak w przypadku dokumentów Word, korzystanie z mikroprogramów (skryptów, apletów Java itd.) Samo w sobie nie jest przestępstwem - większość z nich działa dość spokojnie, dzięki czemu strona jest bardziej atrakcyjna dla oka lub wygodniejsza. Czat, księga gości, system głosowania, licznik - z całą tą wygodą nasze strony zawdzięczają mikroprogramy „skryptom”. Jeśli chodzi o aplety Java, ich obecność na stronie jest również uzasadniona - umożliwiają one na przykład wyświetlanie wygodnego i funkcjonalnego menu, które rozwija się pod kursorem myszy ...
Wygoda z udogodnieniami, ale nie zapominaj, wszystkie te aplety i skrypty są prawdziwymi, pełnoprawnymi programami. Co więcej, wiele z nich jest uruchamianych i nie działają gdzieś tam, „w pięknym odległym”, na nieznanym serwerze, ale bezpośrednio na twoim komputerze! A osadzając w nich złośliwą zawartość, twórcy strony będą mogli uzyskać dostęp do zawartości dysku twardego. Konsekwencje są już znane - od zwykłego kradzieży hasła do sformatowania dysku twardego.
Oczywiście będziesz musiał radzić sobie ze „zabójczymi skryptami” sto razy rzadziej niż ze zwykłymi wirusami. Nawiasem mówiąc, w tym przypadku nie ma nadziei na zwykłe antywirusy, jednak złośliwy program otwarty ze stroną będzie musiał pokonać ochronę samej przeglądarki, której twórcy są świadomi takich rzeczy.
Wróćmy na chwilę do ustawień Internet Explorera - mianowicie w menu Usługi Opcje internetowe Bezpieczeństwo .
Jak widać, Internet Explorer oferuje nam kilka poziomów bezpieczeństwa. Oprócz standardowego poziomu ochrony (strefa Internet ) możemy wzmocnić (strefa Limit ) lub osłabić czujność (strefa Zaufane strony ). Naciśnięcie przycisku Inny , możemy ręcznie dostosować ochronę przeglądarki, dopuszczając lub wyłączając działanie różnych „aktywnych elementów” stron.
Chociaż system bezpieczeństwa tego samego programu Internet Explorer jest pełen „dziur”, z których mogą skorzystać osoby atakujące, przy prawidłowym użyciu zapewnisz sobie ochronę przed większością przykrych niespodzianek. Załóżmy, że wchodząc w wątpliwą witrynę hakerów można wzmocnić ochronę ...
Jednak większość wirusów skryptowych rozprzestrzenia się za pośrednictwem poczty e-mail (pamiętaj, że takie wirusy są najczęściej nazywane „robakami internetowymi”). Być może najbardziej znanymi przedstawicielami tej rodziny są wirusy LoveLetter i Anna Kournikova, których ataki miały miejsce w sezonie 2001–2002. Oba te „zwierzęta” wykorzystały tę samą sztuczkę, opartą nie tylko na słabej ochronie systemu operacyjnego, ale także na naiwności użytkowników.
Pamiętamy, że nosicielami wirusów w większości przypadków są wiadomości e-mail zawierające załączone pliki. Pamiętamy również, że infekcja może przeniknąć do komputera albo przez programy (tzn. Pliki wykonywalne z rozszerzeniem * .exe lub * .com), albo przez dokumenty Microsoft Office, które mogą zawierać złośliwe sekcje kodu. Wiemy również, że ze strony zdjęć lub plików dźwiękowych nie wydaje się, aby szkoda mogła zagrozić. I tak, po nieoczekiwanym odkryciu litery w skrzynce pocztowej z dołączonym obrazem (sądząc po nazwie pliku i rozszerzeniu), natychmiast z radością go uruchamiamy ... I dowiadujemy się, że pod pozorem obrazu ukryty został złośliwy „skrypt” wirusa. Dobrze, jeśli wykryjemy go natychmiast, a nie po tym, jak wirus całkowicie zniszczy wszystkie twoje dane.
Sztuczka twórców wirusa jest prosta - plik, który wydawał nam się obrazem, miał podwójne rozszerzenie! na przykład
AnnaCournikova.jpg.vbs
Jest to drugie rozszerzenie, które jest prawdziwym typem pliku, a pierwsze to tylko część jego nazwy. A od rozszerzenia vbsWindows jest znany, bez zastanowienia, ukrywa go przed oczami użytkowników, pozostawiając tylko nazwę na ekranie
AnnaCournikova.jpg
Właśnie to robi system Windows ze wszystkimi zarejestrowanymi typami plików: uprawnienie jest odrzucane, a jego ikona powinna wskazywać typ pliku. Na co, niestety, rzadko zwracamy uwagę.
Czy pułapka jest dobra?
Dobrze. Ale rozróżnienie jest łatwiejsze niż łatwe: sztuczka z „podwójnym rozszerzeniem” nie działa, jeśli wcześniej aktywujemy tryb wyświetlania typu pliku. Możesz to zrobić za pomocą menu. Właściwości folderów w Panelu sterowania systemu Windows: kliknij tę ikonę, a następnie otwórz zakładkę Widok i odleciećzaznacz z linii Ukryj rozszerzenia dla zarejestrowanych typów plików .
Jednak wcale nie jest konieczne, aby wirusy uznawały za konieczne maskowanie się. Czasami pliki exe są „osadzone” w liście całkowicie otwarcie. I wydaje się, że głupiec już wiedział, że jest to atak wirusa (zwłaszcza jeśli list przyszedł od nieznajomego). Jednak programy te są również łatwo uruchamiane przez użytkowników: jeden z nich, sprytni twórcy wirusów obiecują pokazać niewytłumaczalnie piękne zdjęcia (które, nawiasem mówiąc, robią), inni obiecują program do hakowania Internetu, a trzeci wydaje się być aktualizacją popularnego programu. Istnieje wiele sposobów na sproszkowanie użytkownika mózgiem. Ale zdarza się również, że zainfekowany plik z czystym sumieniem wysyła ci przyjaciela lub znajomego ... Wreszcie możesz zdobyć wirusy razem z samymi programami - szczególnie jeśli pobierzesz je z nieznanych Ci serwerów.
PAMIĘTAJ: tylko kilka rodzajów plików jest dozwolonych jako „załącznik” do litery. Stosunkowo bezpieczne (z wyjątkiem sztuczek z „podwójnym rozszerzeniem”) pliki txt, jpg, gif, bmp, tif, mp3, wma „Warunkowo jadalne” można rozpoznać jako dokumenty Microsoft Office (doc, xls) oraz archiwa zip i rar. Oczywiście mogą zawierać wirusa, ale można go całkowicie zneutralizować za pomocą programu antywirusowego, pod warunkiem regularnej aktualizacji jego baz danych. W każdym razie taki plik można otworzyć do przeglądania.
A oto lista absolutnie niebezpiecznych typów plików: po znalezieniu ich w wysłanym do Ciebie e-mailu możesz wysłać je do kosza ... który następnie warto posprzątać.
Same w sobie te pliki są dość pokojowymi stworzeniami, więc nie rozpaczliwie oszukuj komputera, usuwając je po prawej i lewej stronie. Nie: niebezpieczeństwem jest tylko obecność tych plików w liście, ponieważ każdy z nich prawie na pewno zawiera wirusa.
Lista potencjalnych „nosicieli wirusów” obejmuje kilkanaście rodzajów plików. Ale są one bardziej powszechne niż inne.
Rodzaje wirusów komputerowych
Dziś nie ma takiej osoby, która nie słyszała o wirusach komputerowych. Co to jest, co jest rodzaje wirusów komputerowychi złośliwe oprogramowanie, spróbuj dowiedzieć się tego artykułu. Tak więc wirusy komputerowe można podzielić na następujące typy:
Przez programy reklamowe i informacyjne należy rozumieć takie programy, które oprócz swojej głównej funkcji wyświetlają również banery reklamowe i wszelkiego rodzaju reklamy pop-up. Takie komunikaty reklamowe są czasami dość trudne do ukrycia lub wyłączenia. Takie programy reklamowe są oparte na zachowaniu użytkowników komputerów i są dość problematyczne ze względów bezpieczeństwa.
Backdoors
Ukryte narzędzia administracyjne pozwalają ominąć systemy ochrony, aby przejąć kontrolę nad komputerem zainstalowanego użytkownika. Program działający w trybie niewidocznym daje hakerowi nieograniczone prawa do kontrolowania systemu. Za pomocą takich programów typu backdoor możesz uzyskać dostęp do danych osobowych i osobistych użytkownika. Często takie programy służą do infekowania systemu wirusami komputerowymi i do cichej instalacji złośliwych programów bez wiedzy użytkownika.
Wirusy rozruchowe
Często na główny sektor rozruchowy dysku twardego wpływają specjalne wirusy rozruchowe. Wirusy tego typu zastępują informacje potrzebne do płynnego działania systemu. Jedną z konsekwencji takiego złośliwego programu jest niemożność załadowania systemu operacyjnego ...
Sieć botów
Sieć botów to pełnoprawna sieć internetowa, która jest administrowana przez atakującego i składa się z wielu zainfekowanych komputerów, które wchodzą ze sobą w interakcje. Kontrolę nad taką siecią uzyskuje się za pomocą wirusów lub trojanów przenikających do systemu. Podczas pracy szkodliwe programy nie manifestują się w żaden sposób, czekając na polecenie atakującego. Takie sieci są używane do wysyłania wiadomości SPAM lub do organizowania ataków DDoS na pożądany serwer. Co ciekawe, użytkownicy zainfekowanych komputerów mogą być całkowicie nieświadomi tego, co dzieje się w sieci.
Wykorzystać
Exploit (dosłownie naruszenie bezpieczeństwa) to skrypt lub program wykorzystujący określone luki i luki w systemie operacyjnym lub dowolnym programie. Podobnie programy infiltrują system, wykorzystując prawa dostępu administratora.
Bajer (dosłownie żart, kłamstwo, mistyfikacja, żart, mistyfikacja)
Od kilku lat wielu użytkowników Internetu otrzymuje wiadomości elektroniczne o wirusach, które rzekomo są dystrybuowane za pośrednictwem poczty elektronicznej. Takie ostrzeżenia są wysyłane zbiorczo wraz ze łzami w żądaniu przesłania ich do wszystkich kontaktów z osobistego arkusza.
Majdan
Honeypot (garnek miodu) to usługa sieciowa, której zadaniem jest monitorowanie całej sieci i rejestrowanie ataków, gdy nastąpi fokus. Prosty użytkownik jest całkowicie nieświadomy istnienia takiej usługi. Jeśli haker bada i monitoruje sieć pod kątem luk, może skorzystać z usług oferowanych przez taką pułapkę. W takim przypadku w plikach dziennika zostanie zapisany zapis, a także zadziała automatyczny alarm.
Makrowirusy
Makrowirusy to bardzo małe programy napisane w języku makr aplikacji. Takie programy są rozpowszechniane tylko wśród dokumentów utworzonych specjalnie dla tej aplikacji.
Aby aktywować takie złośliwe oprogramowanie, należy uruchomić aplikację, a także wykonać zainfekowany plik makra. Różnica w stosunku do zwykłych wirusów makr polega na tym, że infekcja występuje w dokumentach aplikacji, a nie w plikach startowych aplikacji.
Rolnictwo
Farming to ukryta manipulacja plikiem hosta przeglądarki w celu przekierowania użytkownika do fałszywej strony. Oszuści zawierają duże serwery, serwery te przechowują dużą bazę fałszywych stron internetowych. Podczas manipulowania plikiem hosta za pomocą trojana lub wirusa całkiem możliwe jest manipulowanie zainfekowanym systemem. W wyniku tego zainfekowany system pobiera tylko fałszywe strony, nawet jeśli poprawnie podasz adres w pasku przeglądarki.
Wyłudzanie informacji
Phishing dosłownie oznacza „wydobywanie” danych osobowych użytkownika podczas korzystania z Internetu. Atakujący w swoich działaniach wysyła wiadomość e-mail do potencjalnej ofiary z informacją, że konieczne jest przesłanie danych osobowych w celu potwierdzenia. Często jest to imię i nazwisko użytkownika, niezbędne hasła, kody PIN umożliwiające dostęp do kont użytkownika online. Korzystając z takich skradzionych danych, haker może podszyć się pod inną osobę i podjąć wszelkie działania w jej imieniu.
Wirusy polimorficzne
Wirusy polimorficzne to wirusy, które wykorzystują przebranie i transformację w pracy. W trakcie tego procesu mogą samodzielnie zmienić kod programu, dlatego są bardzo trudne do wykrycia, ponieważ podpis zmienia się w czasie.
Wirusy oprogramowania
Wirus komputerowy to zwykły program, który ma zdolność samodzielnego przyłączania się do innych działających programów, tym samym uderzając w ich pracę. Wirusy rozprzestrzeniają swoje kopie na własną rękę, co znacznie odróżnia je od trojanów. Różnica między wirusem a robakiem polega na tym, że do działania wirusa potrzebny jest program, do którego może przypisać swój kod.
Rootkit
Rootkit to pewien zestaw narzędzi programowych, które są potajemnie instalowane w systemie użytkownika, zapewniając jednocześnie ukrycie osobistego loginu i różnych procesów cyberprzestępcy, jednocześnie wykonując kopie danych.
Skrypty wirusowe i robaki
Tego rodzaju wirusy komputerowe są wystarczająco proste, aby pisać i rozprzestrzeniać się głównie za pośrednictwem poczty elektronicznej. Wirusy skryptowe używają języków skryptowych do pracy w celu dodania się do nowo utworzonych skryptów lub rozprzestrzeniania się przez funkcje sieci operacyjnej. Często infekcja następuje przez e-mail lub w wyniku udostępniania plików między użytkownikami. Robak to program, który się reprodukuje, ale zaraża inne programy. Podczas rozprzestrzeniania się robaki nie mogą stać się częścią innych programów, co odróżnia je od zwykłych typów wirusów komputerowych.
Programy szpiegujące
Szpiedzy mogą przekazywać dane osobowe użytkownika bez jego wiedzy stronom trzecim. Jednocześnie programy szpiegujące analizują zachowania użytkowników w Internecie i na podstawie zebranych danych wyświetlają reklamę lub wyskakujące okienka (wyskakujące okienka), które z pewnością zainteresują użytkownika.
