А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Троянский конь — это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются под какие-нибудь полезные утилиты. Вирусы могут нести в себе троянских коней или «троянизировать» другие программы — вносить в них разрушающие функции.

«Троянские кони» представляют собой программы, реализующие помимо функций, описанных в документации, и некоторые другие функции, связанные с нарушением безопасности и деструктивными действиями. Отмечены случаи создания таких программ с целью облегчения распространения вирусов. Списки таких программ широко публикуются в зарубежной печати.

В более 80 % компьютерных преступлений, расследуемых ФБР, «взломщики» проникают в атакуемую систему через глобальную сеть Internet. Когда такая попытка удается, будущее компании, на создание которой ушли годы, может быть поставлено под угрозу за какие-то секунды.

Этот процесс может быть автоматизирован с помощью вируса, называемого сетевой червь.

Руткиты фактически представляют собой более развитые направления вышеупомянутого варианта троянских коней. Как известно специалистам по безопасности, некоторые антивирусные компании не разделяют понятия руткитов и троянцов, относя их к одной большой категории «зловредных программ». Однако если троян прячется на компьютере, обычно маскируясь под какую-нибудь известную программу (например, Spymaster выдавает себя за приложение MSN Messenger), а руткиты вообще используют для маскировки свои более продвинутые методы, только внедряясь глубоко в систему.

Надо сказать, что изначально словом «руткит» на сленге аналитиков обозначался набор инструментов, позволяющий злоумышленнику возвращаться во взломанную систему таким образом, чтобы системный администратор вообще не мог его видеть, а система — регистрировать. Долгое время такие руткиты были особой привилегией Unix-систем, но, как известно, хорошие идеи просто так не пропадают, и в конце XX века стали массово появляться руткиты, предназначенные также и для Microsoft Windows.

Ботнет (обозначение термина botnet произошло в результате комбинаций слов robot и network) — это название компьютерной сети, состоящей из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением.

Если переходить на профессиональный язык специалистов по информационной безопасности, надо отметить такой не очень приятный для большинства пользователей ПК момент, а и менно чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера.

Эти некие действия обычно известные СМИ рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании и многие другие.

Бэкдор (back door — чёрный ход) — это комплекс специальных программ, которые устанавливает взломщик на взломанном им компьютере после получения первоначального доступа обычно с целью повторного получения доступа к системе.

Рис. 8.1. Схема создания ботнета и использования его спамером

Основное назначение этого вируса Backdoor — создание скрытного управления компьютером. Как правило, Backdoor позволяет копировать отдельные файлы с пораженного компьютера и наоборот, передавать на пораженный компьютер файлы и программы. Кроме того, обычно Backdoor позволяет получить удаленный доступ к реестру, производить системные операции (перезагрузку ПК, создание новых сетевых ресурсов, модификацию паролей и т. п.).

Методы защиты от компьютерных вирусов

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

• общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

• профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

• специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

• копирование информации — создание копий файлов и системных областей дисков;

• разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Антивирусные программы

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение.

Многие детекторы имеют режимы лечения или уничтожения зараженных файлов.

Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей «известны». Программа Scan фирмы McAfee Associates и Aidstest Д. Н. Лозинского позволяют обнаруживать около 1000 вирусов, но всего их более пяти тысяч! Некоторые программы-детекторы, например, Norton AntiVirus или AVSP фирмы «Диалог-МГУ», могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не менее невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

• Aidstest;

• Doctor web;

• Microsoft Antivirus;

• Adinf;

• (Advanced Diskinfoscope).

Действия пользователя компьютера при заражении вирусом

При заражении компьютера вирусом (или при подозрении на это) важно соблюдать четыре простейших правила:

1. Прежде всего не надо торопиться и принимать опрометчивых решений.

Непродуманные действия могут привести не только к потери части файлов, но к повторному заражению компьютера.

2. Надо немедленно выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.

3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять при загрузке компьютера с защищенной от записи дискеты с ОС (обязательное правило).