Скрытые объекты и вирусы

В нашу уже почти кибернетическую эпоху, при столь обширном и массовом распространении компьютерной техники, и общей автоматизации, Мы наблюдаем удручающую картину: несмотря на то, что Антивирусные программы, и программы защиты постоянно обновляются, уже даже ежедневно, наши с Вами компьютеры продолжают атаковать и пытаться заразить вредоносные программы из интернета. Особенно учитывая увеличение геометрических степенях скорости доступа в интернет.

Так же руткиты заражают смартфоны и гаджеты на операционной системе Android, к примеру новый, якобы не удаляемый вирус.

Первый признак, на который стоит обращать внимание: компьютер ведет себя как-то не так. В автозагрузке чисто, процессы в порядке, антивирус ничего не находит, однако вас у Вас есть подозрение, что система не в порядке. В лучшем случае, Вы видите присутствие вирусов воочию, в худшем – визуально ничего не заметите, кроме странного поведения либо подтормаживания, при всем этом подозрительном спокойствии, Вы и не заметите, как с вашего ПК рассылается спам, крадутся пароли от сайтов или почты, происходят атаки на сайты или делают другие, не особо приятные другим пользователям сети интернет пакости.

Итак, руткит (rootkit) – это программа (набор программ) для скрытия следов присутствия злоумышленника или вредоносного кода в операционной системе. Установив руткит на ваш компьютер, хакер получает над ним полный контроль, может удаленно управлять компьютером и загружать на него другие вредоносные программы. Естественно, все это он делает не вручную под покровом ночи, а пользуясь различными командами, утилитами и т.п.

Более того, основная задача руткита – не допустить обнаружения действий вирусов хозяином компьютера, скрыть от пользователя присутствие хакера и изменений в системе. Руткит прячет от ваших глаз вредоносные процессы, системные службы, драйвера, сетевые соединения, ключи реестра и записи автозагрузки, модули, папки, файлы и, конечно же, прячет сам себя. В общем, ситуация не из приятных, и ваш компьютер при этом могут использовать в любых не добрых целях…

Сравнительно недавно, в конце прошлого века, появились руткиты и под операционную систему Windows. Поскольку на момент их адаптации к среде WINDOWS ни один антивирус их не опознавал, перед руткитами открывалось много перспектив… Однако в скором времени они были обнаружены и потихонечку крупные антивирусные компании и производители систем защиты начали добавлять функционал по обнаружению кодов руткитов в свои продукты.

На сегодняшний день существует множество антивирусов и специализированных программ, позволяющих обнаружить и нейтрализовать руткиты. Информацию о том, умеет ли ваш антивирус отлавливать и обезвреживать руткиты, вы всегда можете найти на официальном сайте его разработчиков.

В зависимости от того, с какой областью памяти работают руткиты, их можно подразделить на следующие виды:

• системы, работающие на уровне ядра (Kernel Level, или KLT);

• системы, функционирующие на пользовательском уровне (User Level).

Первый известный руткит для системы Windows, NT Rootkit, был написан в 1999 году экспертом в области безопасности Грегом Хоглундом в виде драйвера уровня ядра. Он скрывал все файлы и процессы, в имени которых встречалось сочетание _root, перехватывал информацию, набираемую на клавиатуре, и использовал другие способы маскировки.

Самым известным на сегодня руткитом является Hacker Defender. Эта программа работает в режиме пользователя и маскируется за счет перехвата некоторых API. Hacker Defender может обрабатывать сетевой трафик до того, как он будет передан приложению, то есть любая программа, работающая в сети, может быть использована для взаимодействия со взломщиком. Руткит умеет скрывать файлы и процессы, записи в реестре и открытые порты и может неправильно показывать количество свободного места на диске. Он прописывается в автозагрузку, оставляя для себя черный вход, и прослушивает все открытые и разрешенные брандмауэром порты на предмет 256-битного ключа, который укажет, какой порт использовать для управления. Hacker Defender перехватывает функции запуска новых процессов, что позволяет ему заражать все программы, запускаемые пользователем. Он полиморфен: для шифрования исполняемых файлов руткита обычно используется утилита Morphine.

Все современные версии руткитов могут прятать от пользователя файлы, папки и параметры реестра, скрывать программы, системные службы, драйверы и сетевые соединения. И простым включением «отображение скрытых фалов и папок ndows их не увидеть.

Популярен способ блокировки доступа к файлу: файл открывается в режиме монопольного доступа или блокируется с помощью специальной функции; удалить такой файл стандартными способами невозможно. Если попытаться воспользоваться отложенным удалением (во время следующей загрузки), например с помощью программы типа MoveOnBoot, то, скорее всего, запись об этой операции будет через некоторое время удалена либо файл будет переименован.

К сожалению, существующие на сегодняшний день антивирусные программы, предназначенные для обнаружения всевозможных вирусов и руткитов, не дают стопроцентной гарантии безопасности. Обладая исходным кодом этих программ, можно создать любые модификации руткитов или включить часть кода в любую шпионскую программу. Главное отличие руткитов это способность не прочно закрепиться в системе, а проникнуть в нее, поэтому основным правилом для вас должны стать максимальная защита и осторожность поведения в интернете.

Далее рассмотрим наиболее популярные и эффективные утилиты для поиска и деактивации данного типа вирусов.

Небольшая утилита, умеющая бороться с руткитами, которая работает, в операционных системах Windows XP, м Vista. Sophos Anti-Rootkit сканирует реестр и критические каталоги системы и выявляет скрытые объекты, то есть следы творчества руткитов.

Программа обычным образом устанавливается на компьютер и обладает интуитивно понятным интерфейсом. Прежде всего, вам необходимо задать объекты, которые должна искать и обнаружить утилита..

Кроме того, Sophos Anti-Rootkit в описании каждого объекта покажет полный путь к нему и дополнительную информацию. Но утилита может этого и не сделать. Самое разумное в этом случае – открыть папку с файлом или ветвь реестра и внимательно изучить найденный Sophos Anti-Rootkit объект со всех сторон: посмотреть его свойства, поискать информацию о нем в интернете и т.п.

Следующая программа на рассмотрении это:

Далее:

AVZ

Для того чтобы начать сканирование компьютера на предмет руткитов и другой заразы выберите нужный диск или папку (папки) в Области поиска.

Скрытые файлы и папки в Windows: настройки и полезные фишки

Все файлы и папки на любом носителе, будь то жёсткий диск или флешка, могут иметь целый набор дополнительных атрибутов: скрытый (-ая), системный (-ая), только чтение, архивный (-ая). Увидеть и настроить их можно открыв свойства любой папки или файла, щёлкнув по нему (ней) правой кнопкой мыши и выбрав в меню пункт Свойства.

В открывшемся окне, на вкладке Общие Вы увидите все доступные атрибуты объекта.

В сегодняшней статье, мы рассмотрим атрибут Скрытый, его предназначение и некоторые вопросы, связанные с этой опцией.

Для чего нужны скрытые файлы и папки?

Атрибут Скрытый задаёт особый параметр для операционной системы, при котором Windows не будет отображать файлы и папки с данным атрибутом. Это означает, что файл или папка, помеченные как Скрытый, визуально не будут видны в проводнике, на рабочем столе. Объект становится невидимым для пользователя, но при этом физически присутствует на жёстком диске или на флешке. Обычно, данный атрибут присваивается объекту в следующих случаях:

• операционной системой и программами — автоматически, чтобы избежать случайного удаления важных данных, необходимых для стабильной работы ПК;
• пользователями — в случаях, когда необходимо скрыть какую-либо информацию от посторонних глаз (способ не надёжный, но самый лёгкий и иногда действенный);
• вирусами и вредоносными программами — для создания иллюзии удаления файлов с флешки (конечная цель такого вируса — заставить хозяина флешки потрепать самому себе нервы).

Настройка отображения скрытых файлов и папок в Windows. Как увидеть скрытые объекты на жестком диске?

По умолчанию, операционная сиcтема Windows настроена таким образом, что файлы и папки, имеющие атрибут Скрытый, не отображаются, хотя и присутствуют на компьютере. Однако, чтобы увидеть все скрытые объекты достаточно изменить эту настройку. Сделать это просто, покажу на примере Windows 7. Для этого нужно:

• зайти через меню Пуск в Панель управления
• в панели управления установить параметр Просмотр в положение: Крупные значки или Мелкие значки

• найти и открыть в панели управления элемент Параметры папок

• в открывшемся окне перейти на вкладку Вид
• пролистать список настроек до заголовка Скрытые файлы и папки
• выбрать нужный параметр (отображать или не отображать) и нажать кнопку Применить.

После выполнения этих действий все скрытые файлы и папки на компьютере станут видимы (Вы их сразу же узнаете по полу-прозрачному отображению иконок).

Что делать, если вирус скрыл все файлы и папки?

Не так давно по сети прошла волна возмущения пользователей действиями нового вируса, который присваивал файлам и папкам на флешке атрибуты Скрытый и Системный. И их возмущение оправданно.

Если Вы попали в подобную ситуацию — не пугайтесь, всё поправимо!

Во-первых, установите настройки отображения скрытых файлов и папок как написано выше. Сделайте скрытые вирусом файлы видимыми.

Во-вторых, убедившись что Ваши файлы никуда не пропали, а просто были скрыты вирусом, проверьте флешку свежим антивирусом и попытайтесь снять с них атрибут Скрытый (как это сделать — в самом начале статьи);

Рецепт:

• копируем созданный файл *.bat на флешку (в корневую папку) и запускаем его как обычную программу. Эта небольшая программка снимет все дополнительные атрибуты со всех файлов в той папке, где он находится и во всех вложенных папках.

Обещанная фишка: создаём невидимую папку на рабочем столе Windows

Инструкция:

• щёлкаем правой кнопкой мыши на свободном от ярлыков месте рабочего стола и выбираем пункт Создать/Папку

• на рабочем столе появится новая папка с названием Новая папка 😛 , сразу же её переименовываем следующим образом: стираем старое название, затем, удерживая клавишу Alt, набираем на цифровой клавиатуре число 255. После этого отпускаем клавишу Altи нажимаем Enter. Таким образом, у нас будет папка без названия.

Пользуйтесь на здоровье!

Примечание: чтобы всё сработало как надо, в Windows должна быть активирована одна из тем рабочего стола Aero. Проверить это можно, зайдя в меню Персонализация, щёлкнув правой кнопкой мыши на рабочем столе. Но это уже тема отдельной статьи.

КОМПЬЮТЕРНЫЕ ВИРУСЫ, ИХ КЛАССИФИКАЦИЯ. АНТИВИРУСНЫЕ ПРОГРАММНЫЕ СРЕДСТВА

Компьютерный вирус — это специальная программа, Способная самопроизвольно присоединяться к другим программам и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов; искажение результатов вычислений; засорение или стирание памяти; создание помех в работе компьютера. Наличие вирусов проявляется в разных ситуациях.

1. Некоторые программы перестают работать или начинают работать некорректно.
2. На экран выводятся посторонние сообщения, сигналы и другие эффекты.
3. Работа компьютера существенно замедляется.
4. Структура некоторых файлов оказывается испорченной.

Имеются несколько признаков классификации существующих вирусов:

• по среде обитания;
• по области поражения;
• по особенности алгоритма;
• по способу заражения;
• по деструктивным возможностям.

По среде обитания различают файловые, загрузочные, макро- и сетевые вирусы.

Файловые вирусы — наиболее распространенный тип вирусов. Эти вирусы внедряются в выполняемые файлы, создают файлы-спутники (companion-вирусы) или используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя в загрузочный сектор диска или в сектор системного загрузчика жесткого диска. Начинают работу при загрузке компьютера и обычно становятся резидентными.

Макровирусы заражают файлы широко используемых пакетов обработки данных. Эти вирусы представляют собой программы, написанные на встроенных в эти пакеты языках программирования. Наибольшее распространение получили макровирусы для приложений Microsoft Office.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. Полноценные компьютерные вирусы при этом обладают возможностью запустить на удаленном компьютере свой код на выполнение.

На практике существуют разнообразные сочетания вирусов — например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные секторы дисков, или сетевые макровирусы, которые заражают редактируемые документы и рассылают свои копии по электронной почте.

Как правило, каждый вирус заражает файлы одной или нескольких ОС. Многие загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков. По особенностям алгоритма выделяют резидентные ; вирусы, стелс-вирусы, полиморфные и др. Резидентные вирусы способны оставлять свои копии в ОП, перехватывать обработку событий (например, обращение к файлам или дискам) и вызывать при этом процедуры заражения объектов (файлов или секторов). Эти вирусы активны в памяти не только в момент работы зараженной программы, но и после. Резидентные копии таких вирусов жизнеспособны до перезагрузки ОС, даже если на диске уничтожены все зараженные файлы. Если резидентный вирус является также загрузочным и активизируется при загрузке ОС, то даже форматирование диска при наличии в памяти этого вируса его не удаляет.

К разновидности резидентных вирусов следует отнести также макровирусы, поскольку они постоянно присутствуют в памяти компьютера во время работы зараженного редактора.

Стелс-алгоритмы позволяют вирусам полностью или частично скрыть свое присутствие. Наиболее распространенным стелс-алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат эти объекты, либо подставляют вместо себя незараженные участки информации. Частично к стелс-вирусам относят небольшую группу макровирусов, хранящих свой основной код не в макросах, а в других областях документа — в его переменных или в Auto-text.

Полиморфность (самошифрование) используется для усложнения процедуры обнаружения вируса. Полиморфные вирусы — это трудно выявляемые вирусы, не имеющие постоянного участка кода. В общем случае два образца одного и того же вируса не имеют совпадений. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

При создании вирусов часто используются нестандартные приемы. Их применение должно максимально затруднить обнаружение и удаление вируса.

По способу заражения различают троянские программы, утилиты скрытого администрирования, Intended-вирусы и т. д.

Троянские программы получили свое название по аналогии с троянским конем. Назначение этих программ — имитация каких-либо полезных программ, новых версий популярных утилит или дополнений к ним. При их записи пользователем на свой компьютер троянские программы активизируются и выполняют нежелательные действия.

Разновидностью троянских программ являются утилиты скрытого администрирования. По своей функциональности и интерфейсу они во многом напоминают системы администрирования компьютеров в сети, разрабатываемые и распространяемые различными фирмами — производителями программных продуктов. При инсталляции эти утилиты самостоятельно устанавливают на компьютере систему скрытого удаленного управления. В результате возникает возможность скрытого управления этим компьютером. Реализуя заложенные алгоритмы, утилиты без ведома пользователя принимают, запускают или отсылают файлы, уничтожают информацию, Эрезагружают компьютер и т. д. Возможно использование этих утилит для обнаружения и передачи паролей и ной конфиденциальной информации, запуска вирусов, ничтожения данных.

К Intended-вирусам относятся программы, которые не способны размножаться из-за существующих в них ошибок. К этому классу также можно отнести вирусы, которые размножаются только один раз. Заразив какой-либо файл, они теряют способность к дальнейшему размножению через него.

По деструктивным возможностям вирусы разделяются на:

1. неопасные, влияние которых ограничивается уменьшением свободной памяти на диске, замедлением работы компьютера, графическим и звуковыми эффектами;
2. опасные, которые потенциально могут привести к нарушениям в структуре файлов и сбоям в работе компьютера;
3. очень опасные, в алгоритм которых специально заложены процедуры уничтожения данных и возможность обеспечивать быстрый износ движущихся частей механизмов путем ввода в резонанс и разрушения головок чтения/записи некоторых НЖМД.

Для борьбы с вирусами существуют программы, которые можно разбить на основные группы: мониторы, детекторы, доктора, ревизоры и вакцины.

Программы-мониторы (программы-фильтры) располагаются резидентно в ОП компьютера, перехватывают и сообщают пользователю об обращениях ОС, которые используются вирусами для размножения и нанесения ущерба. Пользователь имеет возможность разрешить или запретить выполнение этих обращений. К преимуществу таких программ относится возможность обнаружения неизвестных вирусов. Использование программ-фильтров позволяет обнаруживать вирусы на ранней стадии заражения компьютера. Недостатками программ являются невозможность отслеживания вирусов, обращающихся непосредственно к BIOS, а также загрузочных вирусов, активизирующихся до запуска антивируса при загрузке DOS, и частая выдача запросов на выполнение операций.

Программы-детекторы проверяют, имеется ли в файлах и на дисках специфическая для данного вируса комбинация байтов. При ее обнаружении выводится соответствующее сообщение. Недостаток — возможность защиты только от известных вирусов.

Программы-доктора восстанавливают зараженные программы путем удаления из них тела вируса. Обычно эти программы рассчитаны на конкретные типы вирусов и основаны на сравнении последовательности кодов, содержащихся в теле вируса, с кодами проверяемых программ. Программы-доктора необходимо периодически обновлять с целью получения новых версий, обнаруживающих новые виды вирусов.

Программы-ревизоры анализируют изменения состояния файлов и системных областей диска. Проверяют состояние загрузочного сектора и таблицы FAT; длину, атрибуты и время создания файлов; контрольную сумму кодов. Пользователю сообщается о выявлении несоответствий.

Программы-вакцины модифицируют программы и риски так, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает программы или диски уже зараженными. Существующие антивирусные программы в основном относятся к классу гибридных (детекторы-доктора, доктора-ревизоры и пр.).

В России наибольшее распространение получили антивирусные программы Лаборатории Касперского (Anti-IViral Toolkit Pro) и ДиалогНаука (Adinf,Dr.Web). Антивирусный пакет AntiViral Toolkit Pro (AVP) включает AVP Сканер, резидентный сторож AVP Монитор, программу администрирования установленных компонентов. Центр управления и ряд других. AVP Сканер помимо традиционной проверки выполняемых файлов и файлов документов обрабатывает базы данных электронной почты. Использование сканера позволяет выявить вирусы в упакованных и архивированных файлах (не защищенных паролями). Обнаруживает к удаляет макровирусы, полиморфные, стеле, троянские, а также ранее неизвестные вирусы. Это достигается, например, за счет использования эвристических анализаторов. Такие анализаторы моделируют работу процессора и выполняют анализ действий диагностируемого файла. В зависимости от этих действий и принимается решение о наличии вируса.

Монитор контролирует типовые пути проникновения вируса, например операции обращения к файлам и секторам.

AVP Центр управления — сервисная оболочка, предназначенная для установки времени запуска сканера, автоматического обновления компонент пакета и др.

При заражении или при подозрении на заражение компьютера вирусом необходимо:

Компью?терный ви?рус — разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.

Даже если автор вируса не программировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы обычно занимают некоторое место на накопителях информации и отбирают некоторые другие ресурсы системы. Поэтому вирусы относят к вредоносным программам.

Анти-антивирусный вирус (Anti-antivirus Virus, Retrovirus) - компьютерная вирусная программа, объектом нападения которой являются антивирусные программы.

Антивирусный вирус (Antivirus Virus) - компьютерная вирусная программа, объектом нападения которой являются другие компьютерные вирусы.

Вариант вируса, штамм, модификация (Variant, modification) - модифицированный вариант одного и того же вируса. Изменения в вирусный код могут вноситься как автором вируса, так и третьим лицом.

Вирусная программа-червь (Worm-virus) - паразитическая программа, обладающая механизмом саморазмножения. Программа способна размножать свои копии, но не поражать другие компьютерные программы. Проникает на компьютер из сети (чаще всего как вложение в сообщениях электронной почты или через сеть Интернет) и рассылает свои функциональные копии на другие компьютерные сети.

Вирусный код, сигнатура (Signature) - система символов и однозначных правил их интерпретации, используемая для предоставления информации в виде данных. Представляет собой набор символов или последовательность байтов, которые, как предполагается, могут быть свойственны, а, следовательно, и обнаружены в каком-то определенном вирусе, в каждой его копии, и только в нем. Антивирусные сканеры используют сигнатуру для нахождения вирусов. Пoлиморфные вирусы не имеют сигнатуры.

Вирусный мистификатор (Hoax) - не являющееся вирусом почтовое сообщение. На компьютер пользователя мистификация приходит в виде письма, написанного в подчеркнуто нейтральном тоне, в котором указывается на якобы распространяющийся новый вирус.
Большинство вирусных мистификаций обладают одной или несколькими нижеследуемыми характеристиками.
Имя вируса, на которое ссылается автор сообщения, составляется не по правилам, используемым большинством антивирусных компаний.
Особо отмечается, что "вирус" пока не обнаруживается антивирусными программами.
Пользователю предлагается найти некий файл с помощью поискового средства Windows и удалить его с диска.
В письме содержится призыв в случае обнаружения указанного файла сообщить об этом всем своим знакомым и всем тем, чьи адреса есть в адресной книге пользователя.
Несмотря на всю безобидность подобного розыгрыша, опасность его очевидна - массовая рассылка копий этого бесполезного сообщения загружает почтовый трафик и отнимает время пользователей.

Вирусы-спутники, вирусы-компаньоны (Virus-companion) - формально являются файловыми вирусами. Не внедряются в исполняемые программы.
Такие вирусы используют особенность системы DOS, позволяющую программному файлу с тем же названием, но другим расширением действовать с разными приоритетами.
Под приоритетом понимают присваиваемый задаче, программе или операции признак, определяющий очередность их выполнения вычислительной системой.
Большинство таких вирусов создают .COM файл, который обладает более высоким приоритетом, нежели .EXE файлы с тем же самым названием. При запуске файла по имени (без указания расширения) будет запущен файл с расширением .СОМ.

Такие вирусы могут быть резидентными и маскировать файлы-двойники.

"Дроппер" (Dropper) - файл-носитель, устанавливающий вирус в систему. Техника иногда используемая вирусописателями для "прикрытия" вирусов от антивирусных программ.

Другие названия вируса (Other virus names): антивирусные компании, как правило, дают разные названия одним и тем же вирусам, исходя из собственных правил формирования вирусного имени. В большинстве случаев основное имя вируса (например, Klez, Badtrans, Nimda) одинаково и присутствует в наименовании этого вируса, независимо от антивирусной компании. Различаются в основном префиксы и суффиксы имени вируса, правила использования которых у каждой компании могут быть свои. В частности, если в классификации вирусов, принятой в компании ООО "Доктор Веб", версии одного и того же вируса нумеруются числами, начиная с 1, в компании Symantec для этих же целей используются заглавные буквы английского алфавита.

Зоологический вирус (Zoo virus) - вирус, существующий только в антивирусных лабораториях, в коллекция исследователей вирусов и не встречается в "дикой природе".

Компьютерные вирусы (Computer viruses) - это программы или фрагменты программного кода, которые, попав на компьютер, могут вопреки воле пользователя выполнять различные операции на этом компьютере - создавать или удалять объекты, модифицировать файлы данных или программные файлы, осуществлять действия по собственному распространению по локальным вычислительным сетям или по сети Интернет. Модификация программных файлов, файлов данных или загрузочных секторов дисков таким образом, что последние сами становятся носителями вирусного кода и в свою очередь могут осуществлять вышеперечисленные операции, называется заражением (инфицированием) и является важнейшей функцией компьютерных вирусов. В зависимости от типов заражаемых объектов выделяются различные типы вирусов.

Полиморфные вирусы (Polymorphic viruses) - или вирусы с самомодифицирующимися расшифровщиками (по Н.Н.Безрукову) - вирусы, использующие помимо шифрования кода специальную процедуру расшифровки, изменяющую саму себя в каждом новом экземпляре вируса, что ведет к отсутствию у него байтовых сигнатур. Расшифровщик не является постоянным - он уникален для каждого экземпляра вируса.

MtE вирусы (MtE viruses) - полиморфные вирусы, созданные с помощью генератора полиморфизма MtE (Mutant Engine). Такой генератор представляет собой специальный алгоритм, который отвечает за функции шифровки/расшифровки и генерацию расшифровщиков и присоединяется к любому объектному коду вируса.Такой расшифровщик не имеет ни одного постоянного бита, длина его всегда разная.

Pезидентный (в памяти) вирус (Memory resident virus) - постоянно присутствующий в памяти вирус, написанный, как правило, на языке Ассемблер или Си.

Такие вирусы обладают возможностью более эффективно заражать программы и противодействовать антивирусным средствам. Занимает небольшой объем памяти. Пребывает в состоянии готовности к продолжению выполнения своей задачи до выгрузки, перезагрузки или выключения компьютера. Активизируется и выполняет заданные вирусописателем действия например при достижении компьютером определенного состояния (срабатывания таймера, др.). Все бутовые вирусы резидентны.

Скрипт-вирусы (Script virus) - вирусы, написанные на языках Visual Basic, Basic Script, Java Script, Jscript.

На компьютер пользователя такие вирусы, чаще всего, проникают в виде почтовых сообщений, содержащих во вложениях файлы-сценарии. Программы на языках Visual Basic и Java Script могут располагаться как в отдельных файлах, так и встраиваться в HTML-документ и в таком случае интерпретироваться браузером, причем не только с удаленного сервера, но и с локального диска.

Стелс вирусы (Stealth virus) - вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.

Так называемая Стелс-технология может включать в себя:

• затруднение обнаружения вируса в оперативной памяти
• затруднение трассировки и дезассемблирования вируса
• маскировку процесса заражения
• затруднение обнаружения вируса в зараженной программе и загрузочном секторе.

В зависимости от видов заражаемых объектов, компьютерные вирусы классифицируют по следующим типам:

• Файловые вирусы (File viruses) - вирусы, заражающие двоичные файлы (в основном, исполняемые файлы и динамические библиотеки). Чаще всего, такие файлы имеют расширение .EXE, .COM, .DLL, .SYS. Также могут инфицировать файлы с расширениями .DRV, .BIN, .OVL и .OVY.
  Такие вирусы внедряются в файлы операционной системы, активируются при запуске пораженной программы и затем распространяются.
• Загрузочные (бутовые) вирусы (Boot viruses) - вирусы, которые заражают загрузочные записи (Boot record) дискет, разделов жестких дисков, а также MBR (Master Boot Record) жестких дисков.
• Макрокомандные вирусы (макровирусы) (Macroviruses) - вирусы, заражающие файлы документов, используемыe приложениями Microsoft Office и другими программами, допускающие наличие макрокоманд (чаще всего на языке Visual Basic). Благоприятным фактором распространения вируса служит то, что все основные компоненты Microsoft Office могут содержать встроенные программы (макросы) на полнофункциональном языке программирования, а в Microsoft Word эти макросы автоматически запускаются при открытии любого документа, его закрытии, сохранении и т.д.
  Кроме того, имеется так называемый общий шаблон NORMAL.DOT и макросы, помещенные в общий шаблон автоматически запускаются при открытии любого документа. Учитывая то, что копирование макросов из документа в документ (в частности в общий шаблон) выполняется всего одной командой, среда Microsoft Word идеальна для существования макрокомандных вирусов.
• Шифрованные вирусы (Encrypted viruses) - вирусы, которые сами шифруют свой код для затруднения их дезассемблирования и обнаружения в файле, памяти или секторе. Каждый экземпляр такого вируса будет содержать только короткий общий фрагмент - процедуру расшифровки который можно выбрать в качествесигнатуры. В случае каждого инфицирования он автоматически зашифровывает себя, и каждый раз по-разному. Таким способом вирус пытается избежать обнаружения антивирусными программами.

Атаки методом подбора пароля (Brute force attacks) — так называемые атаки методом "грубой силы". Как правило, пользователи применяют простейшие пароли, например "123", "admin" и т.д. Этим и пользуются компьютерные злоумышленники, которые при помощи специальных троянских программ вычисляют необходимый для проникновения в сеть пароль методом подбора - на основании заложенного в эту программу словаря паролей или генерируя случайные последовательности символов.

Бомбы с часовыми механизмами (Time bombs) — одна из разновидностей логических бомб, в которых срабатывание скрытого модуля определяется временем.

Клавиатурные перехватчики (Keyloggers) — вид троянских программ, чьей основной функцией является перехват данных, вводимых пользователем через клавиатуру. Объектами похищения являются персональные и сетевые пароли доступа, логины, данные кредитных карт и другая персональная информация.

DoS-атаки (DoS-attacks) — популярный среди злоумышленников вид сетевых атак, граничащий с терроризмом. Заключается в отправке запросов с компьютеров на атакуемый сервер с целью выведения его из строя. При достижении определенного количества запросов (ограниченного аппаратными возможностями сервера) сервер перестает справляться с нагрузкой, что приводит к отказу в обслуживании. Данной атаке часто предшествует спуфинг. DoS-атаки стали широко используемым средством запугивания и шантажа конкурентов.

Зомби (Zombies) — маленькие компьютерные программы, разносимые по сети Интернет компьютерными червями. Программы-зомби устанавливают себя в пораженной системе и ждут дальнейших команд к действию.

Логические бомбы (Logic bombs) — скрытые модули, встроенные в ранее разработанную и широко используемую программу. Такой модуль является безвредным до определенного события, при наступлении которого он срабатывает (например, нажатие пользователем определенных кнопок клавиатуры, или наступление определенной даты или времени).

Люки (Backdoors) — программы, обеспечивающие вход в систему или получение привилегированной функции (режима работы) в обход существующей системы полномочий. Часто используются для обхода существующей системы безопасности. Люки не инфицируют файлы, но прописывают себя в реестр, модифицируя таким образом ключи реестра.

Почтовые бомбы (Mail bombs) — один из простейших видов сетевых атак. Злоумышленником посылается на компьютер пользователя или почтовый сервер компании одно огромное сообщение, или множество (десятки тысяч) почтовых сообщений, что приводит к выводу системы из строя. В антивирусных продуктах Dr.Web для почтовых серверов предусмотрен специальный механизм защиты от таких атак.

Руткит (Rootkit) — вредоносная программа, предназначенная для перехвата системных функций операционной системы (API) с целью сокрытия своего присутствия в системе.

Кроме того, Rootkit может маскировать процессы других программ, различные ключи реестра, папки, файлы. Rootkit распространяются как самостоятельные программы, так и как дополнительные компоненты в составе иных вредоносных программ - программ-люков (backdoor), почтовых червей и проч.

По принципу своей работы Rootkit условно разделяют на две группы: User Mode Rootkits (UMR) - т.н. Rootkit, работающие в режиме пользователя, и Kernel Mode Rootkit (KMR) - т.н. Rootkit, работающие в режиме ядра.

Работа UMR базируется на перехвате функций библиотек пользовательского режима, а работа KMR базируется на установке в систему драйвера, который осуществляет перехват функций на уровне системного ядра, что значительно усложняет его обнаружение и обезвреживание.

Скамминг (Scamming) — от английского "scamming", что означает "жульничество", вид интернет-мошенничества. Заключается в привлечении клиентов, якобы брачными агентствами (на самом деле скам-агентствами), с целью выуживания у них денег брачными аферами.

Сниффинг (Sniffing) — вид сетевой атаки, также называется "пассивное прослушивание сети". Несанкционированное прослушивание сети и наблюдение за данными производятся при помощи специальной невредоносной программы - пакетным сниффером, который осуществляет перехват всех сетевых пакетов домена, за которым идет наблюдение. Перехваченные таким сниффером данные могут быть использованы злоумышленниками для легального проникновения в сеть на правах фальшивого пользователя.

Спуфинг (Spoofing) — сетевая атака, заключающаяся в получении доступа в сеть обманным путем посредством имитации соединения. Используется для обхода систем управления доступом на основе IP-адресов, а также для маскировки ложных сайтов под их легальных двойников или просто под законные бизнес-проекты. Блокируется брандмауэром.

Троянские кони (Троянцы) (Trojan Horses) — вредоносные программы, содержащие скрытый модуль, осуществляющий несанкционированные пользователем действия в компьютере. Эти действия не обязательно будут разрушительными, но они всегда направлены во вред пользователю. Название этого типа атак происходит от известной легенды о деревянной статуе коня, использованной греками для проникновения в Трою.

Троянские программы-вандалы подменяют какую-либо из часто запускаемых программ, выполняют ее функции или имитируют такое исполнение, одновременно производя какие-либо вредоносные действия (стирают файлы, разрушают каталоги, форматируют диски, отсылают пароли или другую конфиденциальную информацию, хранящуюся на ПК пользователя). Некоторые Троянские программы содержат механизм обновления своих компонент из сети Интернет.

Фишинг (Phishing) — технология интернет-мошенничества, заключающаяся в краже личных конфиденциальных данных (паролей доступа, данных банковских и идентификационных карт и т. д.). Пользователей просят зайти на подделанный преступниками сайт такого учреждения и подтвердить пароли, PIN-коды и другую личную информацию, используемую впоследствии злоумышленниками для кражи денег со счета жертвы. Разновидность социальной инженерии.

Фарминг — фарминг-технологии применяются для изменения DNS (Domain Name System) записи или записи в файле HOSTS. При посещении пользователем легитимной, с его точки зрения, страницы производится перенаправление на поддельную страницу, созданную для сбора конфиденциальной информации.

Бэкдоры (Backdoors) — программы, предназначенные для удаленного управления зараженной системой. Часто используются для обхода существующей системы безопасности.

Буткиты (Boot viruses) — вредоносные программы, которые заражают загрузочные записи (Boot record) дискет, разделов жестких дисков, а также модифицируют главный загрузочный сектор MBR (Master Boot Record).

BIOS-кит (BIOS-kit) — вредоносная программа, способная заражать BIOS компьютера.

DNS-заражение (DNS poisoning) — атака на кеш DNS-сервера. В результате в кеше появляется ложная запись о соответствии DNS-имени хоста, которому жертва доверяет, и IP-адреса, указанного атакующим. Является подвидом спуфинга. Атака может поражать как клиентский хост, так и хост сервера, что может привести к массовому перенаправлению пользователей на ложный адрес.