3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Что такое компьютерный вирус и компьютерный червь

Что такое компьютерный вирус и компьютерный червь?

Компьютерный вирус и компьютерный червь — это вредоносные программы, которые способны воспроизводить себя на компьютерах или через компьютерные сети. При этом пользователь не подозревает о заражении своего компьютера. Так как каждая последующая копия вируса или компьютерного червя также способна к самовоспроизведению, заражение распространяется очень быстро. Существует очень много различных типов компьютерных вирусов и компьютерных червей, большинство которых обладают высокой способностью к разрушению.

В общем случае вирусы можно разделить

1 «Трояны»
Троянский конь или «троян» — это просто компьютерная программа, по сути не компьютерный вирус. Она нацелена на что-то одно (например, на кражу пароля), но начинает работать только тогда, когда кто-то начинает вводить этот пароль в строго определенном месте.

Троянские программы не могут размножаться автоматически.

2 Черви или репликаторы
Червь — часть программного обеспечения, компьютерный вирус репликатор, который использует компьютерные сети и их уязвимости создавая копии самого себя. Копия червя репликатора будет сканировать сеть на любой другой машине, которая имеет определенный недостаток безопасности. В случае успеха, такой вирус воспроизводит себя на новую машину, используя брешь в безопасности, а затем начинается сканирование и тиражирование заново.

3 E-mail вирусы
Вирус электронной почты будет использовать сообщение электронной почты в качестве транспорта, и, как правило, копирует себя, автоматически рассылая копии сотням людей из адресной книги жертвы.

4 Логические бомбы
Логические бомбы злонамеренно вызывают сбои в других программах. Приложение под влиянием компьютерного вируса, например, может удалить себя вместе со всей информацией и файлами с диска после нескольких проверок на отсутствие резервных копий.

Логические бомбы могут передать себя в другие приложения или места хранения данных — сетевые хранилища, диски DVD, флешки и так далее.

Компьютерный вирус переходит с одного компьютера на другой, как реальной жизни биологический вирус переходит от человека к человеку.

Например, по средним оценкам, червь Mydoom инфицировал 250 000 компьютеров в течение одного дня в январе 2004 г.

В марте 1999 г., Melissa распространялась так быстро, что он заставил Microsoft и ряд других очень крупных компаний полностью отключить свое электронную почту, что бы прервать распространение.

Третьим примером можно назвать вирус ILOVEYOU, который появился в 2000 году и имел столь же катастрофические последствия.

Компьютерный вирус — это небольшая программа, ориентированная на вынуждение компьютера выполнять действия без ведома пользователя.

Наиболее значительные атаки на OT-среды и ICS 1988-2019 годы

Оценивая наиболее значительные кибератаки на системы промышленного управления (ICS) за последнее десятилетие, мы можем увидеть, насколько далеко продвинулись технологические возможности преступников. Однако, возможно, еще более тревожным моментом является их готовность причинять вред не только цифровой инфраструктуре, но и физической, негативно влияя на отдельных сотрудников и целые компании. Stuxnet, пожалуй, один из первых в серии вредоносных атак на ICS, который продемонстрировал организациям по всему миру масштабы влияния кибератак на физическую инфраструктуру.

Появление новых механизмов угроз и атак коренным образом изменило специфику функционирования систем промышленного управления (ICS) и SCADA. Далее мы перечислим некоторые из наиболее заметных кибератак на ICS, которые произошли за последнее десятилетие, а также опишем их влияние на современные стратегии по обеспечению безопасности критически важной инфраструктуры.

  • BlueKeep (2019). В мае 2019 года в операционных системах Windows была обнаружена уязвимость под названием BlueKeep, которая затронула до миллиона устройств. Уязвимость существовала в протоколе удаленного рабочего стола (RDP), а через месяц после того, как она была обнаружен, эксперты по безопасности начали обнаруживать попытки использовать эту уязвимость.
  • EternalBlue (2017). EtenernalBlue — это название уязвимости в протоколе Microsoft Server Message Block (SMB). Эта уязвимость приобрела дурную славу в 2017 году, когда она была использована для проведения глобальных атак шифровальщикаWannaCry. От этих атак пострадали компьютеры более чем в 150 странах мира, и они причинили суммарный ущерб в размере 4 миллиардов долларов США. Данная уязвимость также была использована в атаках шифровальщика NotPetya. Кстати, патч для закрытия этой уязвимости был доступен за месяц до того, как ударил WannaCry.
  • Вредоносная программа TRITON, обнаруженная в 2017 году, была нацелена на системы промышленной безопасности. В частности, оно преследовало систему средств инструментальной безопасности (SIS), модифицируя встроенные в память прошивки для добавляя вредоносный функционал. Это позволило злоумышленникам читать или изменять содержимое памяти и активировать собственный код, наряду с дополнительным программированием безопасного отключения, блокирования или изменения способности промышленного процесса к отказу. TRITON – первое известное вредоносное программное обеспечение, специально разработанное для атаки на системы промышленной безопасности, защищающие человеческие жизни [2] .
  • В 2015 году было обнаружено, что вредоносное ПОBlackEnergy применялось для использования макросов в документах Microsoft Excel. Вредоносная программа проникала в сети через фишинговые электронные письма, отправленные сотрудникам. Хотя тактика, использованная этими злоумышленниками, была относительно простой, событие доказало, что киберпреступники действительно могут манипулировать критически важной инфраструктурой в больших масштабах [3] .
  • Havex (2013) – это достаточно известный троян для удаленного доступа (Remote Access Trojan –RAT), впервые обнаруженный в 2013 году [4] . Havex, относящийся к группе угроз GRIZZLY STEPPE, предназначается для систем ICS и связывается с сервером C2, который может развертывать модульные полезные нагрузки. Его специфическая для ICS целевая нагрузка собирала информацию о сервере для открытой платформы связи (OPC), включая CLSID, имя сервера, идентификатор программы, версию OPC, информацию о поставщике, состояние выполнения, количество групп и пропускную способность сервера, а также была способна подсчитывать теги OPC. Взаимодействуя с инфраструктурой C2, вредоносное ПО Havex представляло значительную угрозу в контексте своей способности отправлять инструкции, которые предоставляют расширенные и неизвестные возможности вредоносному ПО.
  • Венгерские исследователи в области кибербезопасности обнаружили вредоносное ПО, идентифицированное как Duqu (2011), которое по структуре и дизайну очень напоминало Stuxnet. Duqu был разработан для кражи информации путем маскировки передачи данных под обычный HTTP-трафик и передачи поддельных файлов JPG. Ключевым выводом из открытия Duqu стало понимание важности разведывательной работы для преступников – часто вредоносный код для кражи информации является первой киберугрозой из запланированной серии дополнительных атак [5] .
  • Червь Stuxnet (2010). В июне 2010 года кибер-атака Stuxnet сумела уничтожить центрифуги на иранской атомной электростанции. Хотя считается, что Stuxnet попал в системы электростанции через съемное устройство, для распространения он использовал четыре уязвимости нулевого дня, а также те же уязвимости, которые использовал Conficker.
  • Червь Conficker (2008). Conficker — это червь, который был впервые обнаружен в ноябре 2008 года. Он использовал несколько уязвимостей, в том числе одну из них — в сетевой службе, которую можно найти в различных версиях Windows, таких как Windows XP, Windows Vista и Windows 2000. По мере распространения Conficker использовал зараженные компьютеры для создания ботнета. По оценкам, он заразил от 9 до 15 миллионов компьютеров. Несмотря на свое достаточно широкое распространение, Conficker не причинил большого ущерба.
  • Zotob (2005). Этот червь, который заражал системы под управлением различных операционных систем корпорации Microsoft, включая Windows 2000, эксплуатировал различные уязвимости, в том числе уязвимость MS05-039 в службах Plug & Play. В результате этого зараженные машины постоянно перезагружались, а каждый раз при перезагрузке компьютера создавалась новая копия Zotob. Хотя он не затронул большое количество компьютеров, но все же сумел оказать серьезное влияние на своих жертв: по оценкам экспертов, пострадавшие компании потратили в среднем 97 000 долларов США на очистку вредоносных программ из своих систем, на что потребовалось около 80 часов, чтобы вылечить свои системы.
  • SQL Slammer (2003). SQL Slammer — это еще один червь, который в 2003 году заразил около 75 000 машин всего за десять минут. Он привел к отказу в обслуживании у некоторых Интернет-провайдеров, что резко замедлило Интернет-трафик. Чтобы так быстро распространяться, SQL Slammer воспользовался уязвимостью переполнения буфера в Microsoft SQL Server. Кстати, за полгода до этого инцидента корпорация Microsoft выпустила патч для исправления этой ошибки.
  • Червь Morris (1988). Чтобы увидеть один из первых примеров компьютерного вируса, который использовал известные уязвимости, мы должны вернуться в 1988 год, за два года до изобретения Всемирной паутины. Червь Morris был одним из первых компьютерных червей, распространившихся через Интернет. Он использовал известные уязвимости в Unix Sendmail, rsh/rexec, а также слабые пароли. Хотя создатель не собирался причинять никакого ущерба, а скорее подчеркивал слабые места в системе безопасности, тем не менее, его детище привело к ущербу в размере от 100 000 до 10 000 000 долларов США.
Читать еще:  Как установить жёсткий диск самому

Источник угрозы

Источником распространения сетевых червей являются злоумышленники. Они создают вредоносные программы для разных целей — например, для нанесения вреда компьютерам конкретных людей или организаций, для получения возможности рассылать спам с зараженной техники или захватить управление удаленным устройством. Впрочем, червей создают также и ради шутки либо для демонстрации возможностей их существования: в конце концов, их определяющей функциональностью является размножение и самораспространение, а не причинение ущерба.

Что нужно знать о компьютерных вирусах и червях

Вредоносное программное обеспечение из подкласса вирусов и червей включает:

  • Email-Worm
  • IM-Worm
  • IRC-Worm
  • Net-Worm
  • P2P-Worm
  • Virus
  • Компьютерные черви

    Большинство известных компьютерных червей распространяется следующими способами:

    • в виде файла, отправленного во вложении в электронном письме;
    • в виде ссылки на интернет — или FTP-ресурс
    • в виде ссылки, переданной через сообщение ICQ или IR
    • через пиринговые сети обмена данными P2P (peer-to-peer)
    • некоторые черви распространяются как сетевые пакеты. Они проникают прямо в компьютерную память, затем активируется код червя.

    Компьютерные черви могут использовать ошибки конфигурации сети (например, чтобы скопировать себя на полностью доступный диск) или бреши в защите операционной системы и приложений. Многие черви распространяют свои копии через сеть несколькими способами.

    Вирусы

    Вирусы можно классифицировать в соответствии с тем, каким способом они заражают компьютер:

    • Файловые вирусы
    • вирусы загрузочного сектора
    • Макровирусы
    • Вирусные скрипты

    Любая программа данного подкласса вредоносного ПО в качестве дополнительных может иметь и функции троянской программы.

    Решение проблем безопасности ICS / SCADA

    ICS включает в себя большой сегмент многоуровневой архитектуры OT, охватывающей множество различных типов устройств, систем, элементов управления и сетей, которые управляют производственными процессами. Наиболее распространенными из них являются системы SCADA и распределенные системы управления (DCS) [1] .

    Уже много лет большинство организаций внедряют меры для обеспечения информационной безопасности, а вот безопасность OT является несколько новой территорией. С ростом степени проникновения технологий промышленного Интернета вещей (IIoT) и последующей конвергенции IT/OT производства утратили «воздушный зазор», который защищал их системы OT от хакеров и вредоносных программ. В результате злоумышленники все чаще начинают нацеливаться на системы OT для кражи конфиденциальной информации, прерывания операции или совершения актов кибертерроризма в отношении критической инфраструктуры. Отчасти это происходит потому, что существующие вредоносные программы эффективно работают против устаревших систем, развернутых в сетях OT, которые, вероятно, не были исправлены или обновлены, учитывая отсутствие дополнительных ресурсов на доработку.

    Ряд вызовов сыграли свою роль в эволюции кибератак, которые влияли на системы ОТ на протяжении многих лет. Среди них:

    • Недостаточность инвентаризации устройств OT. Организации не могут защитить активы – будь то путем применения патчей или проведения проверок безопасности если они не имеют полного контроля над средой.
    • Недостаточность удаленного доступа к сети. Большинство технологий, лежащих в основе ICS, основаны на ограниченном физическом доступе и скрытых компонентах и ​​протоколах связи.
    • Устаревшее аппаратное и программное обеспечение. Многие системы ICS и SCADA используют устаревшее аппаратное обеспечение или устаревшие операционные системы, которые несовместимы или слишком деликатны для поддержки современных технологий защиты. Часто такое оборудование развернуто в средах, где системы не могут быть отключены для исправления или обновления.
    • Плохая сегментация сети. Среды OT, как правило, функционируют используя установки полного доверия, такая модель плохо переносится в новые конвергентные среды IT/OT. Стандартная практика безопасности разделения сетей на функциональные сегменты, ограничивающие данные и приложения, которые могут мигрировать из одного сегмента в другой, в ICS в целом используется не очень часто.
    • Ограниченный контроль доступа и управление разрешениями. Поскольку ранее изолированные или закрытые системы становятся взаимосвязанными, элементы управления и процессы, которые предписывали доступ, часто становятся запутанными.

    К счастью, риски, которые приводят к угрозам безопасности для ICS / SCADA, становятся все более широко признанными и, как следствие, более приоритетными для многих крупных организаций. Правительственные органы, включая Группу реагирования на компьютерные чрезвычайные ситуации (Control Systems Cyber Emergency Response Team – ICS-CERT) в США и Центр защиты национальной инфраструктуры (Centre for Protection of National Infrastructure – CPNI) в Великобритании, в настоящее время публикуют рекомендации и советы относительно использования передовых методов обеспечения безопасности ICS.

    Вирус должен отвечать двум критериям

    1 Он должен отработать сам. Например — встроить свой код в цепочку кода другой программы.

    2 Он должен воспроизводить себя. К примеру, он может заменить другие программные файлы копией файла, инфицированных вирусом. Вирусы могут заразить несколько компьютеров и серверов сети.

    Некоторые вирусы запрограммированы на то, чтобы нанести вред повреждая ПО, удаляя файлы или форматируя жесткий диск. Другие не предназначены для какого-либо ущерба, а просто копируют себя и сообщают о своем присутствии, отображая текст, видео или аудио-сообщения.

    Единственная функция некоторых вирусов — распространение самого себя

    Даже эти доброкачественные вирусы могут стать причиной проблем у пользователя компьютера. Они, как правило, занимают память компьютера используемую обычными программами. В результате они часто вызывают перегрузки и могут привести к сбоям системы.

    Троянские кони самозванцы — файлы, которые маскируются под полезное ПО, но, по сути, являются вредоносными.

    Очень важное различие между «троянами» и обычными вирусами состоит в том, что они не копируют сами себя.

    Троян содержит вредоносный код, который при срабатывании может стать причиной потери или даже кражи данных. Для того, что бы троян заразил ваш компьютер вы должны произвести какие-то действия. Например, открыть вложение электронной почты или загрузить и запустить файл из Интернета.

    Черви репликаторы — это программы, которые копируют себя из системы в систему не заражая файл-носитель. Это отличие от вирусов, которые для распространения заражают систему. Хотя черви репликаторы, как правило, существуют внутри других файлов (часто это документы Word или Excel) есть разница между тем, как черви и вирусы используют файл-носитель. Червь репликатор просто выпустит документ, который уже имеет «червя» — макрос внутри документа. Этот документ будет путешествовать от компьютера к компьютеру, продолжая размножение. Так что весь документ следует рассматривать червь.

    Как защитить себя

    1 Используйте антивирусное ПО
    Установите антивирусное программное обеспечение на компьютере и убедитесь, что оно обновляется оперативно. Поскольку новые вирусы могут распространяться очень быстро. Важно чтобы обновления БД сигнатур были постоянными.

    2 Используйте фильтрацию электронной почты
    Так как большинство вирусов распространяются через электронную почту, важно использовать систему электронной почты, которая сканирует входящие и исходящие письма электронной почты и блокирует вирусы. Самые популярные антивирусные комплексы обеспечивают эту функцию.

    3 Используйте брандмауэр
    Используйте брандмауэр для защиты вашего компьютера или компьютерной сети от атак из Интернета. Компьютеры, подключенные к Интернет непосредственно через DSL модем или кабельный модем должны быть надлежащим образом защищены от интернет-угроз с помощью брандмауэра. Брандмауэр может быть либо аппаратным, отделяющим ваш компьютер или сеть от внешнего мира, либо программным, как, например, встроенный брандмауэр ОС Windows. Оба вида брандмауэров дадут защиту от заражения компьютерным вирусом.

    Будьте в курсе обновлений программного обеспечения

    Многие производители программного обеспечения выпускают обновления своего ПО именно из соображений безопасности и защиты от компьютерных вирусов. Включите функцию автоматического обновления в Windows, и установить обновления.

    1″ :pagination=pagination :callback=loadData :options=paginationOptions >

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector