Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Статьи » Вредоносная программа
Статьи

Вредоносная программа

автор: Zorro | 21 июня 2010, 16:15 | Просмотров: 13632
теги:



Вредоносная программа Вредоносная программа (буквальный перевод англоязычного термина Malware, malicious — злонамеренный и software — программное обеспечение, жаргонное название — «малварь») — злонамеренная программа, то есть программа, созданная со злым умыслом и/или злыми намерениями.

Синонимы

# badware (bad — плохое и (soft)ware — программное обеспечение) — плохое программное обеспечение.
# computer contaminant (computer — компьютер и contaminant — загрязнитель) — это термин для обозначения вредоносного программного обеспечения, который используется в законодательстве некоторых штатов США, например Калифорнии и Западной Виргинии.
# crimeware (crime — преступность и (soft)ware — программное обеспечение) — класс вредоносных программ, специально созданный для автоматизации финансовых преступлений). Это не синоним термина malware (значение термина malware шире), но все программы, относящиеся к crimeware, являются вредоносными.


Терминология

Вред — в гражданском праве умаление, уничтожение субъективного гражданского права или блага. В юридической литературе, судебной и арбитражной практике используются понятия «ВРЕД», «ущерб», «убытки». ВРЕД и ущерб чаще всего рассматриваются в качестве синонимов. Понятия «ВРЕД» и «убытки» не совпадают. Первое более широкое понятие, подразделяющееся на имущественный и неимущественный ВРЕД. Под имущественным ВРЕДом понимаются материальные (экономические) последствия правонарушения, имеющие стоимостную форму. Денежную оценку имущественного ВРЕДа называют убытками. (Большой юридический словарь).

Вредоносный — вредоносная, вредоносное; вредоносен, вредоносна, вредоносно Несущий в себе, приносящий вред.

ЭВМ (компьютер) — устройство или система (несколько объединенных устройств), предназначенное для ввода, обработки и вывода информации.

Сеть ЭВМ - совокупность компьютеров, средств и каналов связи, позволяющая использовать информационные и вычислительные ресурсы каждого компьютера, включенного в сеть независимо от его места нахождения.

Санкционированный доступ к информации[/size][/b] (англ. authorized access to information) — доступ к информации, не нарушающий правила разграничения доступа.

Несанкционированный доступ к информации (англ. unauthorized access to information) — доступ к информации, осуществляемый с нарушением правил разграничения доступа.

Правила разграничения доступа (англ. access mediation rules) — часть политики безопасности, регламентирующая правила доступа пользователей и процессов к пассивным объектам.

Политика безопасности информации (англ. information security policy) — совокупность законов, правил, ограничений, рекомендаций, инструкций и т. д., регламентирующих порядок обработки информации.

Корпорация Microsoft трактует термин Malware следующим образом: «Malware — это сокращение от „malicious software“, обычно используемое как общепринятый термин для обозначения любого программного обеспечения, специально созданного для того, чтобы причинять ущерб отдельному компьютеру, серверу, или компьютерной сети, независимо от того, является ли оно вирусом, шпионской программой и т. д.»

Статья 273 УК РФ трактует термин «Вредоносные программы для ЭВМ» следующим образом: «… программы для ЭВМ или внесение изменений в существующие программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети…»

Программные продукты (модули), которые могут быть отнесены к разряду «вредоносных программ» могут быть основаны на различных технологиях и обладать совершенно разным набором функций и, соответственно, различным набором функциональных возможностей. Единственное, что объединяет все типы вредоносных программ — это цели, с которыми они создаются. Соответственно.

Вредоносная программа — это любое программное обеспечение, предназначенное для обеспечения получения несанкционированного доступа к информации, хранимой на ЭВМ с целью причинения вреда (ущерба) владельцу информации и/или владельцу ЭВМ (сети ЭВМ).


Классификация

По наличию материальной выгоды

# Не приносящие прямую материальную выгоду тому, кто разработал (установил) вредоносную программу.
# Хулиганство.
# Шутка.
# Вандализм, в том числе на религиозной, националистической, политической почве.
# Самоутверждение, стремление доказать свою квалификацию.
# Приносящие прямую материальную выгоду злоумышленнику.
# Хищение конфиденциальной информации, включая получение доступа к системам банк-клиент, получение PIN кодов кредитных карточек и т. д.
# Получение контроля над удаленными компьютерными системами с целью распространения спама с многочисленных компьютеров-зомби.
# Получение контроля над удаленными компьютерными системами с целью организации распределенных атак на отказ в обслуживании(DDoS).
# Предлагающие оплатить несуществующие услуги, например, по якобы удалению вирусов с ПК (ложные антивирусы, rogueware).
# Напрямую вымогающие деньги пользователя, например, требующие отправить платное СМС для того, чтобы разблокировать зараженный ПК.


По цели разработки

# Программное обеспечение, которое изначально разрабатывалось специально для обеспечения получения несанкционированного доступа к информации, хранимой на ЭВМ с целью причинения вреда (ущерба) владельцу информации и/или владельцу ЭВМ (сети ЭВМ).
# Программное обеспечение, которое изначально не разрабатывалось специально для обеспечения получения несанкционированного доступа к информации, хранимой на ЭВМ и изначально не предназначалась для причинения вреда (ущерба) владельцу информации и/или владельцу ЭВМ (сети ЭВМ).


По методам распространения

# Троянская программа - не имеет собственных механизмов распространения.
# Компьютерный вирус - распространяется в пределах одного компьютера. На другой компьютер вирус может «перепрыгнуть» только при непреднамеренном распространении заражённых файлов — например, через внешние носители.
# Сетевой червь - распространяется по сети.
# Руткит - загружается трояном или злоумышленником собственноручно, после получения им доступа к системе.


Наносимый вред

Вредоносной нагрузкой может быть:

# Создание помех работе пользователя (по ошибке, в шутку или для достижения других целей).
# # Вандализм: уничтожение данных (стирание или переписывание данных на диске, труднозамечаемые повреждения файлов) и оборудования.
# Шпионаж за пользователем.
# Постановка ложных ссылок, ведущих на поддельные вебсайты с регистрацией. «Зарегистрировавшись» на таком сайте, пользователь отдаёт злоумышленникам свой пароль.
# Похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации, для несанкционированного доступа к ресурсам (в том числе третьих систем), выуживание деталей касательно банковских счетов, которые могут быть использованы в преступных целях, криптографической информации (для шифрования и цифровой подписи).
# Регистрация нажатий клавиш (Keylogger) с целю кражи информации такого рода, как пароли и номера кредитных карточек.
# Использование ресурсов заражённого компьютера в преступных целях.
# Получения несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него, в том числе прямое управление компьютером.
# Выведения из строя или отказа обслуживания компьютерных систем, сетей и т. п., в том числе в составе ботнета.
# Сбор адресов электронной почты и распространение спама, в том числе в составе ботнета.
# Использование телефонного модема для совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах.
# Распространение других вредоносных программ (например, «троянский конь», распространяющий вирус). Троян такого типа называется Dropper.
# Дезактивация антивирусов и брандмауэров.
# Прочие виды незаконной деятельности.


Удалённое управление

Вредоносное ПО может получать команды от атакующей стороны. В таком случае программа устанавливает на компьютере жертвы сервер. Для того, чтобы атакующая сторона подсоединилась к серверу, она должна знать IP-адрес машины, на которой запущен сервер. Некоторые программы отправляют IP-адрес машины-жертвы атакующей стороне по электронной почте или иным способом. Как только с сервером произошло соединение, клиент может отправлять на него команды, которые сервер будет исполнять на машине-жертве.

В настоящее время, благодаря NAT-технологии, получить доступ к большинству компьютеров через их внешний IP-адрес невозможно, поэтому многие трояны соединяются с компьютером атакующей стороны, который установлен на приём соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой. Многие Вредоносные программы также могут беспрепятственно обходить файрволы на компьютере жертвы.


Симптомы заражения

# Прекращение или сильное замедление работы интернета.
# Усиление шума, исходящего от компьютера (создаётся усиленной работой жёстких дисков).
# Изменение домашней страницы в браузере, автоматическое открытие окон с незнакомыми вам страницами.
# Изменение обоев на рабочем столе.
# Появление новых неизвестных процессов в окне «Процессы» диспетчера задач.
# Появление звука от работы флоппи-дисковода при отсутствии в нём дискеты.
# Появление в реестре автозапуска новых приложений.
# Запрет на изменение настроек компьютера в учётной записи администратора.
# Невозможность запустить исполняемый файл (выдаётся сообщение об ошибке).
# Всплывание окон системных сообщений с непривычным текстом, в том числе содержащих неизвестные веб-адреса и названия.
# Мониторы интернета показывают фальшивую закачку видеопрограмм, игр, порнороликов и порносайтов, которые вы не закачивали и не посещали.
# Открывание и закрывание консоли CD-ROM.
# Проигрывание звуков и/или изображений, демонстрация фотоснимков.
# Перезапуск компьютера во время старта какой-либо программы.
# Случайное и/или беспорядочное отключение компьютера.


Методы защиты от вредоносных программ

Стопроцентной защиты от всех вредоносных программ не существует: от эксплойтов наподобие Sasser или Conficker не застрахован никто. Чтобы снизить риск потерь от воздействия вредоносных программ, рекомендуется.

# Использовать современные операционные системы, имеющие серьёзный уровень защиты от вредоносных программ.
# Своевременно устанавливать патчи; если существует режим автоматического обновления, включить его.
# Постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере.
# Использовать специализированные программные продукты, которые для противодействия вредоносным программам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
# Использовать антивирусные программные продукты известных производителей, с автоматическим обновлением сигнатурных баз.
# Использовать персональный Firewall (аппаратный или программный), контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь.
# Ограничить физический доступ к компьютеру посторонних лиц.
# Использовать внешние носители информации только от проверенных источников.
# Не открывать компьютерные файлы, полученные от ненадёжных источников.
# Отключить автозапуск со сменных носителей, что не позволит запускаться кодам, которые находятся на нем без ведома пользователя (для Windows необходимо gpedit.msc->Административные шаблоны(Конфигурация пользователя)->Система->Отключить автозапуск->Включен «на всех дисководах»).


Юридические аспекты

За создание, использование и распространение вредоносных программ предусмотрена различная ответственность, в том числе и уголовная, в законодательстве многих стран мира. В частности, уголовная ответственность за создание, использование и распространение вредоносных программ для ЭВМ предусмотрена в Статье 273 УК РФ.

Для того, чтобы программа считалась вредоносной, нужны три критерия:

# Уничтожение информации или нарушение работы. Таким образом, взломщик защиты от копирования — не вредоносная программа.
# Несанкционированная работа. Программа форматирования диска, входящая в комплект любой ОС, не является вредоносной, так как её запуск санкционируется пользователем.
# Заведомость - явная цель несанкционированно уничтожить информацию. Программы с ошибкой могут пройти как нарушение прав потребителей или как преступная халатность - но не как вредоносные.

Более чёткие критерии, по которым программные продукты (модули) могут быть отнесены к категории вредоносных программ, до настоящего времени нигде четко не оговорены. Соответственно, для того, чтобы утверждение о вредоносности программы имело юридическую силу, необходимо проведение программно-технической экспертизы с соблюдением всех установленных действующим законодательством формальностей.

Стоит признать, что в РФ нарушение авторских прав часто квалифицируют как «создание и распространение вредоносных программ» - из-за более жёсткого наказания за последнее. Впрочем, создание вредоносных программ — преступление против оператора ЭВМ (владельца аппаратного обеспечения либо уполномоченного им человека), нарушение авторского права — против правообладателя.
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.