Видове зловредни програми
Преди да се научим как да се защитаваме е редно да се запознаем от какво всъщност трябва да се пазим. Както вече би трябвало да ви е станало ясно, вирусите далеч не са единственият вид зловреден код. Дори може да се каже, че са почти измрели. Разнообразието от зловреден код е доста голямо. Аз ще представя тук основните и най-често срещаните видове зловреден софтуер, но имайте предвид, че една солидна част от гадинките са кръстоски между 2 или дори повече вида. Няма да навлизам в големи подробности, а ще се опитам да засегна по-важните аспекти.
Вирус (virus)
Най-старият тип злонамерен код. Компютърният вирус е компютърен код, който не може да съществува самостоятелно. Той се прикрепя към други файлове, като това са най-често изпълними такива – .exe, .com, .scr и др.
При стартиране на въпросния файл се изпълнява и самият вирусен код. Вирусите се делят на два типа в зависимост от метода на заразяване: резидентни и не резидентни. Резидентните вируси остават активни в оперативната памет и заразяват файловете, които са програмирани да заразяват, при тяхното отваряне от потребителя, друга програма или самата операционна система. Не резидентните вируси процедират по-различно. При стартирането си те веднага претърсват системата за файлове, отговарящи на изискванията им, и ги заразяват.
Вирусите могат да използват различни методи, за да не бъдат засичани. Най-базовите тактики за това са запазване на датата кога последно е променен файла (last modified) и използване на празните дупки в даден изпълним файл за складиране на зловредния код, което води до запазване на размера на файла. Други тактика е т.нар. stealth метод. Този тип вируси прихващат заявките, които антивирусните програми правят към операционната система, и ги пренасочват към самия вирусен код, който предоставя на антивирусната не заразено копие на файла и така я залъгва, че файлът е чист. Друг метод е промяната на кода. Някои вируси сами променят своя код, когато заразяват даден файл. Т.е. всеки следващ заразен файл е заразен с леко променен вариант на вируса. Друг начин за вгорчаване живота на антивирусните е методът за криптиране. Този тип вируси криптират основния вирусен код и включват и декриптиращ модул. Допълнително усъвършенстван е полиморфният код, който използва метода с криптиране, но с разликата, че декриптиращият им модул е също криптиран. Полиморфните вируси са най-сериозният противник на антивирусните програми. Има и още по-усъвършенствани вируси – метаморфните вируси. Те стигат до крайността да се пренаписват изцяло при заразяване на файл. На теория това са най-опасните вируси, но на практика няма много такива, защото са доста големи и сложни за създаване.
Вирусите могат да имат най-различни цели, които да се мъчат да постигнат, след като са задействани. Простичките и безобидни просто се размножават. Най-унищожителните се опитват да превърнат компютъра ви в по-модерно изглеждащо нощно шкафче, като съсипят master boot записите и/или заличат информацията на твърдия диск.
Поради самата им натура, разпространението на вирусите се извършва по най-различни начини. В ранните години на ИТ индустрията това се извършваше основно чрез пренасяне на заразени файлове с помощта на дискети и по-късно оптични дискове. В днешно време обаче интернет предлага почти неограничени начини някой да се сдобие със заразен файл.
Червей (worm)
Компютърният червей използва локалната мрежа или Интернет и някоя уязвимост в операционната система или даден софтуер, за да се разпространява от компютър на компютър. Повечето червеи не правят нищо повече от това само да се размножават, но това не значи, че не могат да извършват и някои доста големи пакости. Най-често срещаната допълнителня беля, която навличат, е да отворят задна врата в системата (backdoor) и да "зомбират" компютъра. Това е разбира се в допълнение към излишния мрежов трафик, който се създава.
Интересен факт е, че е имало и опити за добронамерени червеи, които всъщност са се опитвали да запълват уязвимости в системата. Такива обаче няма от много време.
Троянски кон (trojan horse)
Името на този тип гадинки произлиза от троянската война и по-скоро края й. Онези от вас, които са спали в часовете по литература и/или не са се вълнували особено от гръцка митология, могат да намерят кратко описание в Уикипедия: Троянската война – Троянският кон.
Троянските коне често се наричат "троянци" за по-кратко. Този тип зловреден код е с най-универсално приложение. Първоначално представящ се за легитимно и полезно приложение, което всъщност извършва подмолни действия, постепенно се появяват и троянци, които не изискват потребителят да ги стартира изрично, а се възползват от уязвимости в операционната система и дадени програми, за да се наместят на системата потайно.
Троянчетата са като Джеймс Бонд – разбират от всичко и могат да им се предоставят какви ли не задачи: отваряне на задна врата, следене на натиснати клавиши и/или запис на екрана (ако разполага с вграден метод за това), сваляне или качване на файлове на/от компютъра, кражба на ценни данни, изтриване на файлове, забавяне и/или забиване на системата и други. Именно затова са и много често срещани във виртуалното пространство.
Задна врата (backdoor)
Задната врата е софтуер, който се инсталира и предлага възможност за контрол над дадената програма или целия компютър на трето лице. Задните врати не са винаги зловредни и има случаи, в които се използват за легитимни цели от оторизирани системни администратори. В повечето случаи, особено когато става въпрос за домашен компютър, задните врати са си злонамерени. Обикновено се инсталират от червеи или троянски коне. Една задна врата се състои от два компонента: сървър и клиент. Сървърът е компонентът, който се инсталира на компютъра, който ще трябва да бъде контролиран, а клиентът е компонентът, който се използва от недоброжелателната личност. Възможно е някои от вас да направят асоциация с програмите за отдалечен достъп като TeamViewer, RealVNC, UltraVNC, TightVNC, Remote Administrator и други. Асоциациите са доста точни, защото задната врата може да е малко или много сходна с този тип програми. Основната разлика е, че програмите се инсталират със знанието на потребителя, докато задните врати са потайни.
Шпионски софтуер (spyware)
Това е софтуер, който след инсталацията си започва да събира информация за системата и я изпраща, където е програмиран да я изпраща. Това може да е най-различна такава: навици за сърфиране из Интернет, лична информация за потребителя и т.н. Понякога шпионският софтуер може да има в себе си и програма за запис на клавиши. Възможни са и пренасочвания на страници в браузъра. Шпионският софтуер не се разпространява на други компютри както вирусите и червеите. Той може да бъде не особено опасен, ако записва да речем само посетените страници, но може и да е с много висок риск, ако записва натисканите клавиши, защото така може да се откраднат пароли на различни акаунти.
Рекламен софтуер (adware)
Това е софтуер, който се разпространява основно с легитимни програми и предназначението му е да показва рекламни съобщения и/или банери (изображения), като по този начин да генерира печалба както за автора на рекламния софтуер, така и за автора на програмата, с която се е инсталирал той. В повечето случаи рекламният софтуер е безвреден. Досаден, но безвреден. Има и изключения обаче. Някои рекламни приложения съдържат програми за запис на клавиши, събират някаква информация и други. Макар като цяло заплахата от рекламния софтуер да е сравнително малка, той си остава малко или много нежелан софтуер.
Програми за запис на клавиши/работен плот (keystroke logging/screen logging)
Това са програми, които… записват. Какво записват вече зависи от самите програми. По-разпространените програми за запис са програмите за запис на натиснати клавиши на клавиатурата, което действие се нарича keystroke logging, а програмите се наричат за кратко keylogger-и. Въпросните записани натиснати клавиши в повечето случаи се изпращат на лошковеца, който е написал програмата. Това е най-често срещаният начин за кражба на акаунти и/или пароли, номера на кредитни карти и други лични за даден потребител данни. Подобни програми са тези за запис на екрана – това са най-често снимки (screenshot) на даден район около курсора. Този тип програми се срещат по-рядко като цяло, но популярността им нараства постепенно, защото са нужни на лошите чичковци, за да крадат лични данни по-лесно и успешно.
Програми за запис на дейности (най-често натиснати клавиши) често се инсталират от шпионския софтуер.
Фалшив софтуер (rogue)
Това е сравнително нов тип зловреден код. Поне спрямо повечето по-горни видове. Това е софтуер, който се представя за легитимен/истински такъв, но всъщност не е. В повечето случаи това са фалшиви програми за премахване на зловреден код. Появяват се, изглеждат като истински такива, симулират дейност, извеждат измислени открити гадинки и искат пари, за да ги премахнат. Има обаче и фалшива дефрагментиращи програми. Кой знае какви други фалшиви програми ще се появят в бъдеще. Доста потребители биват залъгвани и закупуват въпросните фалшиви програми. Това при нас, в България, няма голям успех. Не защото българинът е по-умен и не се хваща на такива шашми, а защото почти никой в България не би дал пари за софтуер. На запад обаче положението е по-различно.
Независимо от местоположението обаче този тип софтуер е най-малкото досаден и в повечето случаи спъва работата и на други програми.
Рууткит (rootkit)
Друг сравнително нов вид зловреден софтуер. Всъщност рууткитите не са злонамерени по природа. Задачите им могат да са доста разнообразни: скриване и/или защита на дадени обекти (процеси, файлове, редове в регистратурата) от системата, отваряне на задна врата, превръщане на дадена система в "зомби" и т.н. Т.е. това са най-честите им приложения. Споменах, че не са зловредни по природа, защото този тип технология се използва от някои напълно легитимни програми. Един такъв пример е Kaspersky Lab, чиято софтуер използва подобна технология, за да се защитава от злонамерени програми, които се опитат (да речем) да прекратят процесите й. Друг пример е SPTD драйверът на Duplex Secure, който се използва в DAEMON Tools и Alocohol програмите и използва подобни техники, за да остане защитен и/или невидим и да преодолява различни видове защити на игри.
Рууткитите обаче са си спечелили слава като зловреден софтуер, защото се използват най-често именно с лоши намерения. Обикновено рууткитите имат за задача да скрият както своите обекти (файлове, ключове/стойности в регистратурата и процеси), така и обектите на други злонамерени програми, което да направи откриването и премахването им колкото се може по-трудно.
Най-често срещаните рууткити са т.нар. kernel-mode рууткити. Те се настаняват в Ring 0, което е място, където кодът се изпълнява с максимален приоритет и има достъп до цялата система. В Ring 0 се намират и всички драйвери (на програми или хардуерни компоненти) и ядрото на операционната система, което е напълно разбираемо. Този тип рууткити могат да са много трудни за засичане и премахване точно поради това, че имат пълен достъп над всичко и могат да впият пипалцата си навсякъде.
Това са основните и/или по-разпространените видове злонамерен софтуер. Разбира се тук са описани с типичните им характерни черти. На практика обаче много от реалния зловреден код е комбинация от повече от един тип. Има вируси с характерни черти на троянски коне; има шпионски софтуер, който съдържа и програма за запис на клавиши; и т.н.
Благодарим ви за прочитането на статията! Ако намерихте информацията за полезна, можете да дарите посредством бутоните по-долу:
Donate ☕️ Дарете с PayPalDonate 💳 Дарете с Revolut