Вы когда-нибудь чувствовали, что ведете проигранную битву? Это резюмирует отношение многих людей к компьютерам в эпоху Интернета: несмотря на все усилия по обеспечению безопасности поставщиков и разработчиков программного обеспечения, вредоносные программы не только существуют, но и продолжают развиваться и досаждать компьютерам. пользователи.
Почему вредоносное ПО продолжает процветать? Покровительственным ответом было бы то, что пользователи-новички ведут себя как любители и игнорируют базовые правила безопасности. В этом есть доля правды, но не только новичок щелкает ссылки, которые им не следует делать, и только новичок, которого обманули, запустив гнусные исполняемые файлы с помощью технической и социальной инженерии методы.
Суть проблемы заключается в том, что за последние годы угрозы резко изменились, и рост числа вредоносных программ отражает рост популярности широкополосного доступа. По мере того как число онлайн-пользователей растет, а технология, используемая для подключения к сети, становится все более популярной. одновременно проще на переднем конце и сложнее внутри, поэтому возможность сделать деньги расширяются. И вот где ответ на вопрос «почему?» можно найти вопрос: вирусы больше не являются хобби супер-ботаников; вредоносное ПО превратилось в то, что большинство экспертов по ИТ-безопасности совершенно справедливо называют криминальным ПО. Атаки с применением дробовика заканчиваются; целенаправленные и финансово мотивированные забастовки - новый способ действий.
Но хотя все слышали о таких терминах, как червь, троян, фишинг и руткит, многие ли люди на самом деле понимают, как они используют уязвимости безопасности? Поняв, как работает вредоносное ПО, вы на один шаг приблизитесь к его остановке.
Нажмите здесь, чтобы прочитать «Новая мобильная угроза».
Хитрый диагноз
Когда дело доходит до описания атак вредоносных программ, существует много дезинформации. Например, термины «червь», «вирус» и «троян» используются почти как синонимы, но на самом деле эти три угрозы совершенно различны.
Быстрое и грязное определение состоит в том, что вирус распространяется, прикрепляясь к чему-либо, и требует человеческое взаимодействие (запуск программы, пересылка вложения электронной почты) для распространения и реплицировано. Червь может самовоспроизводиться без какого-либо вмешательства человека (рассылая свои копии всем в вашей электронной почте). список контактов, например) и может использовать вашу сеть и Интернет за ее пределами для очень быстрого размножения действительно. Троянец, названный в честь мифического троянского коня, прячется внутри другого контейнера, будь то файл или приложение, но не может самореплицироваться или распространяться, заражая другие файлы.
Ради интереса мы можем добавить к набору вредоносного ПО смешанную угрозу, сочетающую в себе худшие характеристики всех трех: скрытность, репликацию и полезную нагрузку. Используя уязвимости серверов и интернет-приложений, они могут быстро распространяться без вмешательства человека, нанося огромный ущерб. объемы ущерба за счет полезной нагрузки нескольких атак (например, отказ в обслуживании, установка бэкдора и данные кража).
Вирусы
Как и их биологический аналог, вирусы реплицируются и мутируют. Следовательно, они могут избежать ловушки вашего программного обеспечения безопасности для обнаружения подписи байтового шаблона. путем изменения ключевого текста в полезной нагрузке кода или части самого кода каждый раз, когда они скопировано.
Они прошли долгий путь с тех пор, как первый известный «дикий» пример, Elk Cloner, был обнаружен в 1982 году в ОС Apple DOS 3.3, или первый компьютерный вирус, (c) Brain, четыре года спустя. Но сегодняшние вирусы все же можно разделить на два лагеря: резидентные и нерезидентные. Резидентная разновидность загружает себя в память при выполнении и передает управление хост-программе, заражая новые хосты по мере доступа к зараженным файлам. Нерезидентный вирус проверяет исполняемые файлы в системе на предмет заражения и, если они не заражены, реплицируется перед передачей управления основной программе. Вирусы Cavity, такие как CIH, будут заражать без увеличения размера файла хоста, перезаписывая неиспользуемые части исполняемого файла, чтобы затруднить обнаружение антивирусного программного обеспечения.
