Не всё вирус, что вредит. Часть первая
Программы-вымогатели, банковские трояны, стилеры, шпионы, криптомайнеры — из всех этих вредоносных программ с абсолютно различными функциональными возможностями можно собрать завидный бестиарий. Одни созданы для доставки полезной нагрузки (“неполезной” для вашей ИТ-инфраструктуры, но об этом немного дальше), а другие — уже непосредственно выполняют основные деструктивные действия, например, шпионят, шифруют, крадут данные и предоставляют удаленный доступ. Краткий экскурс о том, какие бывают вредоносные программы и почему не все из них можно назвать вирусами, рассказывает руководитель отдела по анализу вредоносного кода компании F.A.C.C.T. Дмитрий Купин.
Полезная нагрузка
Итак, полезная нагрузка в контексте вредоносного программного обеспечения (ВПО) – это вредоносная программа или код, которые непосредственно совершают основные деструктивные действия: нарушение целостности (изменение/уничтожение данных), конфиденциальности (несанкционированный удаленный доступ к системе, кража информации), доступности (шифрование данных).
Полезная нагрузка обычно попадает на устройство или в инфраструктуру жертвы с помощью вредоносных программ, предназначенных для её доставки. Злоумышленники, как правило, стараются защитить полезную нагрузку от обнаружения средствами защиты информации. Для этого они используют различные протекторы, чтобы запаковать и/или зашифровать полезную нагрузку.
Что же такое компьютерный вирус?
Основными признаками программы-вируса является, с одной стороны, способность к самовоспроизведению путем заражения файлов на компьютере пользователя, а с другой – нанесение вреда системе.
В зависимости от заложенной логики в коде программы-вируса, она может выполнять деструктивные действия такие же, как и другие классы вредоносных программ. Главная отличительная особенность компьютерных вирусов — способность к самовоспроизведению через заражение файловых объектов. Компьютерный вирус является всего лишь классом вредоносного программного обеспечения, поэтому называть любую вредоносную программу вирусом некорректно. То есть, к примеру, вредоносный загрузчик или бэкдор вирусами не являются.
Бестиарий: виды вредоносных программ
- Вирус (Virus) — вредоносная программа, способная к самовоспроизведению (самореплецированию) путем заражения файлов на локальном компьютере жертвы.
Червь (Worm) — вредоносная программа, способная распространяться на другие системы и устройства путем создания собственных копий или эксплуатации сетевых уязвимостей в различных сетевых службах или протоколах. Таким образом черви могут быть файловыми или сетевыми.
Эксплойт (Exploit) — вредоносная программа, фрагмент кода или последовательность команд, эксплуатирующие уязвимости в программном обеспечении. Эксплойты делятся на два типа: локальное повышение привилегий (Local Privilege Escalation — LPE) и удаленное выполнение кода (Remote Code Exploitation).
- Шифровальщик (Ransomware) — вредоносная программа, которая шифрует пользовательские данные, после чего операторы шифровальщика требуют у жертвы выкуп за расшифровку. В последние годы шифровальщики являются киберугрозой № 1. Например, средняя сумма первоначального выкупа в России в 2023 году составил 53 млн рублей.
- Майнер, криптомайнер, или майнер-бот (Miner) – вредоносная программа, которая добывает криптовалюту, используя вычислительные мощности устройства без ведома пользователя (криптоджекинг).
Дроппер (Dropper) – вредоносная программа-контейнер, содержащая внутри себя другую вредоносную программу и предназначенная для её извлечения и запуска на компьютере пользователя. Важное отличие дроппера от загрузчика в том, что дроппер не обращается в сеть для загрузки следующей стадии (другой вредоносной программы).
- Загрузчик (Downloader) — вредоносная программа, предназначенная для загрузки с сетевого ресурса другой вредоносной программы и её запуска.
Троян (Trojan) – обобщающее название вредоносных программ от фразеологизма «троянский конь», чаще всего проникающих в систему под видом легитимного приложения или файла и не имеющих механизма самораспространения. Трояны сочетают большое количество функций: могут собирать информацию об устройстве или владельце, похищать учетные данные для входа в онлайн-банкинг, подгружать другие программы, воровать или уничтожать данные, а также функционировать в режиме прокси и перенаправления портов (туннелирование).
- Бэкдор (Backdoor) / Троян удаленного доступа (Remote Access Trojan, RAT) — вредоносная программа, предоставляющая несанкционированный удаленный доступ к системе, а также позволяющая выполнять различные команды, поступающие от управляющего сервера, на компьютере жертвы.
В этой статье мы рассказали не о всех семействах вредоносных программ. Продолжение следует…