25. Вредоносное программное обеспечение: классификации, методы обнаружения и удаления.

В настоящее время сектор вредоносного программного обеспечения:

1. криминализировался – вредоносное ПО создаётся с целью последующего получения выгоды (например, похищения номеров банковских счетов)
2. профессионализировался – вредоносное ПО по большей части создаётся на заказ профессиональными высококлассными программистами.
3. информационные угрозы становятся сложнее и «автономнее» от обыкновенного пользователя компьютерной системы – большая часть вредоносного распространяется посредством уязвимостей в программном обеспечении.

Классификация вредоносного программного обеспечения

1. Потенциально опасное программное обеспечение – программы, не являющиеся напрямую вредоносным программным обеспечением, но имеющие (не имеющие) те или иные функции, которые позволяют при определённом условии использовать данную программу без ведома пользователя или во вред пользователю компьютера. Например: утилита удалённого администрирования, не запрашивающая у пользователя подтверждение на удалённое подсоединение.
2. Программы-шутки – программы, не являющиеся напрямую вредоносным программным обеспечением, но способные причинить определённые неприятности (как правило, моральные).
3. «Хакерские» инструменты (часто это инструменты системного администратора) – класс программ, которые не являются напрямую вредоносным программным обеспечением, но их использование в том или ином режиме подразумевает негласное слежение за действиями пользователей, или использование которых способно нарушить работу информационной системы (сканер безопасности для локальной сети, способный вызвать DoS-атаку (атака типа «отказ в обслуживании» –  «зависание» программы или компьютера).
4. Файловые вирусы – вредоносное ПО, модифицирующее («заражающее») исполняемый файл (программу) таким образом, чтобы при его запуске автоматически выполнялся код вируса. В настоящее время распространенные менее, чем черви.
5. Черви, Интернет-черви – вредоносное ПО, отличающееся от «чистого» вируса тем, что при саморазмножении оно не встраивается в заражаемые файлы. Вместо заражения от файла к файлу на одном компьютере, червь использует для распространения своего кода сетевое/интернет-соединение или электронную почту.
6. Эксплойты (эксплоиты) – код, использующий для тех или иных целей уязвимость в программном обеспечении.
7. Дропперы – как правило, это маленькая вредоносная программа, имеющая в своём составе эксплоит и предназначенная для заражения компьютера и скачивания на него другой, более функциональной «полноценной» вредоносной программы.
8. Шпионы – программы, похищающие конфиденциальную информацию пользователя (номера банковских карт, PIN-коды, пароли и т.п.).
9. Зомби/Ботнеты – распределённая вредоносная программа, управляемая владельцем, который (обычно) получает неограниченный доступ к компьютерам, входящим в ботнет. Часто используется для рассылки спама или проведения DDoS-атак.
10. Руткиты – отдельный класс программ, скрывавших как своё присутствие в системе, так и какую-либо другую вредоносную программу.

Внешние проявления вредоносных программ

• вывод на экран непредусмотренных сообщений или изображений;
• подача непредусмотренных звуковых сигналов;
• произвольный, без вашего участия, запуск на компьютере каких-либо программ;
• при наличии на вашем компьютере межсетевого экрана, появление предупреждений о попытке какой-либо из программ вашего компьютера выйти в интернет, хотя вы это никак не инициировали;
• друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли.

При появлении этих признаков следует уделить внимание антивирусной безопасности. Например, обновить базы антивируса и провести полную проверку компьютера.

Антивирусные решения

 «сторожа» - антивирусы, вычислявшие контрольную сумму каждого файла на диске и периодические сравнивавшие её с той информацией, что хранилась в базе. Если находились различия – выводилось сообщение пользователю. 

сигнатурный поиск (поиск по маске) – технология поиска вирусов, основанная на том, что по заранее известному экземпляру вируса создаётся некоторая контрольная сумма («чистый» сигнатурный поиск) или маска, которая ставится в соответствие данному вирусу и позднее, проверяя её наличие в любом файле, можно установить факт его заражения данным вирусом.

эвристические технологии – технологии анализа кода вируса и выявления в нём характеристик, присущих некоторому внутреннему списку признаков вредоносного программного обеспечения.