Other malware (другие вредоносные программы).

Производители антивирусов обычно оставляют подобный класс для программ, не подходящих под определение трех описанных выше разновидностей, либо для программных продуктов, не наносящих непосредственного вреда, но служащих для разработки вредоносного ПО.

Вне пределов описанных выше классов существует слабоопределепная группа потенциально опасного программного обеспечения, наименование которой широко варьируется от производителя к производителю - нежелательное программное обеспечение, potentially unwanted software, riskware и т.д.

Обычно в подобные группы принято относить:

Adware (рекламные программы) - средства загрузки и демонстрирования информации рекламного характера, а также отправки сведений обратной связи заказчику рекламы;

Spyware (шпионские программы) - средства сбора и отправки конфиденциальной информации;

Riskware (программы группы риска) - легитимные программные продукты, функционал которых позволяет использовать их в злонамеренных целях.

Вредоносными сетевыми технологиями мы будем называть формы злонамеренной деятельности в сети Интернет, а именно следующие.

Спам (spam). Принято определять спам как массовые рассылки сообщений, которые адресаты не изъявляли желания и / или согласия получать; подобные рассылки имеют преимущественно рекламный или вредоносный характер. В настоящее время спам рассылается через многие популярные коммуникационные средства Интернета электронную почту, системы мгновенных сообщений, форумы и т.д. Рассылка спама находится в тесной связи с производством и распространением вредоносного программного обеспечения, а также с некоторыми иными вредоносными сетевыми технологиями.

Интернет-мошенничество. Вредоносная деятельность такого рода может принимать различные формы - конструирование финансовых пирамид, продажа фальшивых антивирусных программных продуктов, фишинг (phishing) и др.

Фишингом принято называть вредоносную деятельность, направленную на получение обманным путем конфиденциальных данных пользователя.

Обычно фишинг реализуется посредством создания веб-странии, в точности имитирующих сайты Интернет-магазинов, банков, социальных сетей, поставщиков услуг хостинга и т.п.

Пользователю поступает спам-письмо, сообщающее ему, что используемый им сервис якобы просит его посетить свою учетную запись и выполнить с ней какие-либо действия; в теле письма приводится ссылка для перехода. Нажав на ссылку, пользователь попадает на ложный сайт, где ему предлагают ввести данные для доступа к учетной записи; если пользователь не распознает, что сайт не является подлинным, он может ввести имя и пароль, которые будут отправлены злоумышленникам и использованы для хищения денежных средств, взлома сайта пользователя и т.д.

Фишипговые сайты обычно располагаются по адресам, схожим с адресами имитируемых сайтов - к примеру, http;//www.webmonev.com может быть имитирован адресом вида http://www.webmonev.domain.com.

 

1. Средства защиты информации вычислительных систем от внешних и внутренних атак

Антивирусы

Методы, которыми антивирусы определяют вредоносное программное обеспечение, разделяются на две основные группы: реактивные и проактивные.

Реактивными (от слова «реакция») называются методы, обеспечивающие детектирование вредоносного ПО после того, как его конкретный образец будет изучен в вирусной лаборатории компании- изготовителя антивируса. В настоящее время в эту группу входит один метод - сигнатурное детектирование.

Для сигнатурного детектирования используется специализированная обновляемая база данных, состоящая из т.н. сигнатур - участков кода вредоносных программ, добавляемых в базу вирусными аналитиками.

При сканировании сигнатуры сравниваются с содержимым проверяемого файла, и, если содержимое совпадает с сигнатурой, файл признается вредоносным. К положительным аспектам сигнатурного детектирования можно отнести высокую точность обнаружения вредоносной программы; к недостаткам - необходимость в поддержке и постоянном обновлении объемной базы записей, а также зависимость определения вредоносного ПО от попадания / непопадания его образца в вирусную лабораторию и от скорости работы последней.

Проективными называют методы, способные обеспечить детектирование вредоносной программы до ее попадания в вирусную лабораторию и выпуска сигнатуры. В эту группу входят:

- метод эвристического анализа - изучение кода программы и поиск в нем операций, характерных для вредоносного ПО, либо поиск общих признаков, характерных для вирусов одного семейства, либо изучение внешних признаков программы (подозрительное имя, многократное шифрование кода и др.);

- метод поведенческого анализа - наблюдение за действиями, выполняемыми программой, и информирование пользователя о подозрительной активности приложения.

Состав антивирусного продукта

Любой антивирус включает в себя несколько основных модулей: файловый и почтовый сканер, проверяющие файлы в момент доступа к ним, сканер по требованию, карантин и сервис обновления. В зависимости от технического совершенства антивируса он может содержать и другие компоненты - к примеру, ряд продуктов этого класса содержит веб-сканер. Такой компонент проверяет страницы Интернета до их отображения в браузере и позволяет таким образом предотвратить заражение через них (в то время как файловый монитор может лишь определить попадание вредоносной страницы или ее части в кэш браузера, когда вредоносный код уже успел запуститься и отработать).

Брандмауэры

Брандмауэр - это продукт, отвечающий за обеспечение контроля и безопасности сетевых соединений, осуществляемых компьютером.

Его основная задача состоит в управлении доступом приложений к ресурсам сети, а также в защите системы от сетевых атак, направленных на эксплуатацию уязвимостей или получение несанкционированного доступа к системе.

Таблица правил описывает действия (разрешить, запретить, спросить), которые брандмауэр применяет к тем или иным приложениям.

Система детектирования вторжений (IDS. intrusion detection system) имеет сигнатурную природу, позволяя выявлять и блокировать определенные сетевые пакеты и соединения.