Поиск по сайту
Контакты
Написать нам
Eng
Популярные запросы
Импортозамещение SAP
Недавние запросы
Проекты Вакансии Контакты
Главная / Новости компании /

Классификация вредоносного ПО

# Кибербезопасность
15 января 2025
Источник: Блог IBS

Что такое вредоносное ПО?

Определение и основные характеристики

Вредоносное ПО, или malware (от английского «malicious software» (или же «малварь»), представляет собой программы или скрипты, созданные с целью нарушения нормальной работы компьютеров, сбора конфиденциальной информации, получения несанкционированного доступа и причинения другого вреда устройствам и их пользователям. Основные особенности вредоносного ПО заключаются в следующем: распространение без ведома пользователя, выполнение нежелательных операций и скрытое присутствие в системе.

История возникновения вредоносного ПО

Первые известные случаи вредоносного ПО появились в 1970-х годах с программой Creeper — демонстрационной самоперемещающейся  программой, созданной для показа удаленного исполнения программ в операционной системе Tenex. Программа перемещалась между компьютерами одной сети, после перехода с одного компьютера на другой удаляла предыдущую копию и демонстрировала на терминале забавную надпись. Также достаточно интересным экземпляром для истории1 служит программа под названием Cookie Monster. Технически Cookie Monster не является эталонным вредоносным ПО, так как не самовоспроизводится и не распространяется, а блокирует компьютерные процессы, поэтому считается протовирусом (а кроме этого, данное ПО легло в сюжет одного из фильмов). В 1980-х годах появились первые глобальные компьютерные эпидемии, вызванные вирусами (например, такими как Brain и Jerusalem), которые заражали загрузочные сектора дискет. С тех пор эволюция вредоносного ПО только набирает обороты и приводит все к новым и новым эпидемиям, при этом причиняя серьезный ущерб глобальным сетям, и тем самым стимулирует развитие кибербезопасности.

Зачем создают вредоносное ПО?

Вредоносные программы — это программы, намеренно разработанные и внедряемые для нанесения ущерба компьютерам и компьютерным системам. Цели создания вредоносного ПО варьируются от кражи данных и финансовой выгоды до кибершпионажа и дестабилизации систем.

Основные виды вредоносного ПО

Вирусы

Вирусы — фрагменты кода, главная цель которых — распространение. Прикрепляясь к файлам или программам, они могут самовоспроизводиться, повреждая систему. Однако вирус бездействует до момента активации зараженного файла или программы. Известный пример — вирус Melissa, который распространялся посредством электронной почты и открывал на экране NSFW2-видео, заразил тысячи компьютеров в 1999 году.

Сетевые черви (черви)

Черви (сетевой червь) — представляют собой отдельные программы, распространяющиеся путем самокопирования с целью заражения других компьютеров, при этом никаких действий со стороны пользователей не требуется. В числе самых известных — червь Morris (он же «Червь Морриса»), один из первых сетевых червей, выпущенный в 1988 году, который затронул около 10% интернета того времени.

Троянские программы (трояны)

Троянские программы (они же «трояны» или «троянский конь») маскируются под легитимные приложения, чтобы попасть в систему и обеспечить доступ к данным или контролю. Свое название программы получили за счет сходства механизма внедрения в систему с известным эпизодом Одиссеи. Целей у троянской программы может быть множество: от закачивания других вредоносных программ для дальнейшего заражения до слежки за пользователем. Примером является ZeuS, известный троян, использовавшийся для кражи банковских данных и последующего хищения денежных средств.

Шпионские программы (spyware)

Шпионские программы следят за действиями пользователей и собирают информацию без их ведома. Они часто используются для кражи личных данных, таких как пароли и банковская информация. Один из ярких представителей подобного рода вредоносного ПО — FinFisher, который, помимо вреда, еще и причастен к нескольким политическим скандалам.

Рекламное ПО (adware)

Рекламное ПО отображает рекламные объявления и перенаправляет пользователя на конкретные сайты. В некоторых случаях оно также собирает данные о пользователе для показа таргетированной рекламы. Представитель: Fireball: Adware, обнаруженный в миллионах компьютеров, подменял домашние страницы браузеров и перенаправлял пользователей на коммерческие сайты. Fireball активно собирал данные о действиях пользователей в сети.

Программы-вымогатели (ransomware)

Она же «программа-шантажист», она же «винлокер». Вредоносное ПО, которое шифрует данные пользователя и требует выкуп за их восстановление. Существует 3 подвида программ-вымогателей, отличающихся в подходе к работе:

  • шифровальщики — после установки на компьютер жертвы шифруют рабочие файлы в системе (например, все файлы с распространенными расширениями) и вымогают деньги за ключ;
  • блокировщики — блокируют устройство или экран компьютера жертвы (чаще всего с использованием все того же NSFW-контента) и вымогают деньги за снятие блокировки;
  • запугиватели — поддельные антивирусы, которые выводят предупреждение жертве о том, что их устройство заражено, и просят жертву заплатить за удаление вируса.

Представителем такого типа вредоносного ПО, оставившим свой след в России, является WannaCry, который атаковал множество жертв в 2017 году и парализовал компании и государственные учреждения по всему миру.

Руткиты

Руткиты (rootkit, т.е. «набор root-а») — это сложные программы, которые пытаются скрыть свое присутствие и активность других вредоносных программ в системе, предоставляя злоумышленнику удаленный доступ. Основная цель такого рода вредоносного ПО — позволить атакующему закрепиться во взломанной системе и скрыть следы своей деятельности. Один из примеров: Flame — набор инструментов, нацеленный на страны Ближнего Востока. Более интересный и нетривиальный пример: Sony BMG — руткит был встроен в музыкальные компакт-диски для защиты от копирования, что позволяло скрывать файлы от пользователя и открывало потенциальные уязвимости для вредоносных программ.

Бэкдоры (backdoors)

Технически бэкдоры не относятся к вредоносному ПО. Это скорее метод, позволяющий входить в систему, избегая обычных мер аутентификации. Это может быть намеренно встроенный разработчиком код или же дополнение, внедренное злоумышленником. Пример: Back Orifice — один из первых известных бэкдоров для управления удаленными системами компьютеров на базе Windows. Использовался для получения несанкционированного доступа и выполнения удаленного управления устройствами.

Боты и ботнеты

Боты — это зараженные устройства, которые объединяются в сеть (ботнет) для выполнения атак, таких как DDoS, рассылки спама, кражи данных. Интересный представитель: Mirai — ботнет, образованный взломанными устройствами типа «интернет вещей».

Классификация вредоносного ПО

Как распространяется вредоносное ПО?

Фишинговые атаки и социальная инженерия

Фишинг — это метод, при котором злоумышленники используют фальшивые электронные письма и сайты, имитирующие легитимные, чтобы обманом получить личные данные пользователей.

Фишинг часто осуществляется через:

  • электронную почту: злоумышленники отправляют письмо, которое выглядит как сообщение от известной компании. В письме может быть просьба подтвердить личные данные, обновить аккаунт или совершить действие, которое приведет к переходу на фальшивый сайт. После ввода данных на этом сайте злоумышленники могут получить доступ к аккаунту;
  • фальшивые веб-сайты: мошенники создают поддельные сайты, которые копируют дизайн настоящих сайтов известных компаний. На таких сайтах могут предлагаться фальшивые формы для ввода личных данных или просьбы скачать файл, который на самом деле является вредоносным ПО.

Этот метод использует так называемую социальную инженерию, когда мошенники манипулируют человеческим поведением, заставляя людей совершать действия, от которых они бы воздержались в нормальных условиях. Более подробно ознакомиться с тем, что это и как быть осмотрительнее в борьбе с ним, можно, нажав на слово «фишинг».

Зараженные файлы и программы

Один из наиболее часто встречающихся путей распространения вредоносного ПО — это скачивание и установка программного обеспечения из ненадежных и неофициальных источников. Основные способы заражения:

1. Программы, распространяемые без лицензии

Программы, распространяемые без лицензии, часто включают вредоносные элементы, которые могут быть внедрены в установочные пакеты или в сами исполнимые файлы, что позволяет злоумышленникам получить доступ к системе. Вредоносные компоненты могут выполнять различные функции, от кражи личных данных до нанесения ущерба системе — модификации или удаления файлов, создания новых уязвимостей.

2. Маскировка вредоносных файлов

Вредоносные программы часто скрываются под обычными файлами, такими как PDF-документы, изображения, архивы (например, .zip или .rar) и даже видеоролики. При попытке открыть или извлечь такие файлы на устройство может быть установлен вредоносный код. Это особенно опасно, так как пользователи обычно не подозревают о наличии угрозы в файлах, которые выглядят безобидно. Атаки могут быть проведены через электронную почту, мессенджеры или через незащищенные веб-сайты.

Уязвимости в программном обеспечении

Любое программное обеспечение, включая операционные системы и приложения, может иметь уязвимости. Хакеры тщательно анализируют программы на наличие таких слабых мест, которые они затем используют для внедрения вредоносного ПО.

Например, уязвимость EternalBlue использовалась для распространения WannaCry в 2017 году. Эта уязвимость в протоколе SMB (Server Message Block) позволяла хакерам удаленно инфицировать компьютеры, даже если они не были напрямую подключены к интернету.

Сети и подключаемые устройства

Инфицированные устройства и уязвимости в сетевых компонентах — еще один способ распространения вредоносного ПО. Это могут быть как внешние устройства, такие как флешки и жесткие диски, так и уязвимости в сетевых протоколах и маршрутизаторах.

USB-устройства: вредоносные программы могут распространяться через зараженные USB-устройства. Например, когда флешка с вредоносным ПО подключается к компьютеру, вредоносная программа может автоматически запуститься, используя уязвимости операционной системы. Это особенно актуально для операционных систем, где включен автозапуск.

Сетевые атаки: через уязвимости в сетевых устройствах и компонентах (например, роутерах, серверных системах) вредоносное ПО может проникать в компьютеры пользователей. Так, если компьютер или сервер подключены к незащищенной сети, то существует риск атак через сеть.

Атаки через слабые пароли и аутентификацию: одним из распространенных способов использования сетевых уязвимостей является атака на устройства с помощью слабых паролей или отсутствия надлежащей аутентификации. Например, многие маршрутизаторы и другие устройства IoT поставляются с предустановленными или легко угадываемыми паролями, которые злоумышленники могут использовать.

Признаки заражения компьютера вредоносным ПО

Заражение компьютера может проявляться через различные признаки, которые могут варьироваться в зависимости от типа и цели вредоносной программы. Однако есть несколько характерных симптомов, которые могут указывать на присутствие вируса, трояна, рекламного ПО или других видов зловредных программ:

Замедление работы системы и частые сбои

Одним из самых явных признаков заражения является замедление работы компьютера. Это может проявляться в:

  • долгой загрузке операционной системы и приложений;
  • медленной работе программ;
  • частых сбоях системы: компьютер может неожиданно перезагружаться или возникать «синие экраны смерти» (BSOD) в Windows, что свидетельствует о возможных проблемах с драйверами или операционной системой, вызванных вредоносным ПО.

Это поведение часто наблюдается, когда вирусы или другие вредоносные программы используют ресурсы процессора или оперативной памяти, замедляя работу системы.

Неожиданные окна и всплывающая реклама

Эти симптомы обычно связаны с рекламным ПО (adware), которое встраивает рекламу в веб-страницы, запускает окна с предложениями или открывает новые вкладки в браузере.

В некоторых случаях такие программы могут представлять собой угрозу для конфиденциальности пользователя, так как они отслеживают и собирают данные о его действиях в интернете.

Необычная активность сети и процессора

Один из важнейших признаков наличия вредоносного ПО на компьютере — это аномальная активность процессора или сетевого трафика:

  • высокая загрузка процессора: процессор может работать на полную мощность без запуска ресурсоемких приложений;
  • необычный сетевой трафик: если ваш интернет-трафик резко увеличился, это может свидетельствовать о том, что ваше устройство передает данные на удаленный сервер (например, для кражи информации или для использования в ботнете);
  • неавторизованная передача данных: в случае, если ваш компьютер передает данные, даже когда вы не осуществляете обмен файлами, это может быть признаком наличия вредоносных программ. Для обнаружения таких процессов можно использовать средства мониторинга, такие как диспетчер задач (Task Manager) в Windows или специализированные утилиты вроде Wireshark, которые показывают сетевую активность и могут выявить неизвестные подключения.

Потеря доступа к данным или учетным записям

Вредоносное ПО, особенно вымогатели и шпионские программы, может нарушать доступ к данным и учетным записям следующим образом:

  • шифрование файлов: вымогатели могут зашифровать ваши файлы и потребовать выкуп за ключ дешифрования. В этом случае файлы становятся недоступными, а пользователю предъявляется требование заплатить, чтобы восстановить доступ;
  • изменение паролей: некоторые типы вредоносного ПО могут изменять пароли или настройки учетных записей, что приведет к потере доступа к личным или рабочим данным. Это может касаться как локальных учетных записей, так и удаленных сервисов, например электронной почты или социальных сетей.

Как обнаружить вредоносное ПО на компьютере?

Использование антивирусного ПО

Использование надежного антивирусного программного обеспечения поможет выявлять и устранять угрозы. Однако для максимальной эффективности важно соблюдать несколько рекомендаций:

  • регулярные обновления: антивирусные базы данных должны быть актуальными. Вредоносные программы постоянно эволюционируют, и новые угрозы могут не быть обнаружены без регулярных обновлений;
  • реальное время защиты: многие антивирусы предлагают функции защиты в реальном времени, что позволяет блокировать угрозы в момент их попытки проникнуть в систему;
  • периодическое сканирование: помимо автоматической защиты, полезно регулярно проводить полное сканирование системы на наличие угроз, особенно после установки нового программного обеспечения или скачивания файлов из ненадежных источников;
  • использование многоуровневой защиты: некоторые антивирусы также предлагают дополнительную защиту от фишинга, защиты браузера, а также блокировку подозрительных файлов и ссылок.

Сканирование системы на наличие угроз

Периодическое сканирование системы — это неотъемлемая часть борьбы с вредоносными программами. Даже если антивирусное ПО работает в реальном времени, важно провести тщательное сканирование на наличие скрытых угроз. Для этого можно использовать:

  • полное сканирование системы: полное сканирование позволяет проверить все файлы и папки на вашем компьютере, включая скрытые и системные файлы, которые могут быть использованы вредоносными программами;
  • ручной выбор объектов для сканирования: некоторые антивирусы позволяют выбрать конкретные папки или файлы для сканирования, что полезно, если вы подозреваете, что определенные файлы могут быть заражены;
  • использование специализированных инструментов: для обнаружения сложных угроз, таких как rootkit или вирусы, скрывающиеся в глубинах системы, могут потребоваться специализированные утилиты для более глубокого сканирования.

Мониторинг сетевой активности

Обнаружение нежелательной активности поможет выявить потенциальные угрозы:

  • использование мониторинга трафика: программы для мониторинга сетевого трафика, такие как Wireshark (уже затрагивали его ранее в статье), могут помочь отслеживать необычные соединения, исходящие от вашего компьютера;
  • анализ процессов, использующих сеть: в системных утилитах, таких как Task Manager (Windows) или Activity Monitor (MacOS), можно просматривать процессы, которые используют сетевые ресурсы. Если вы замечаете подозрительные процессы с высокой сетевой активностью, стоит обратить внимание на их происхождение;
  • мониторинг входящих и исходящих соединений: можно использовать брандмауэры или специализированные утилиты для мониторинга входящих и исходящих соединений. Необычные или частые соединения с удаленными серверами могут указывать на попытки передачи данных или связи с командным сервером злоумышленников.

Анализ логов и активности файлов

В операционных системах, таких как Windows и Linux, хранятся логи, которые содержат информацию о событиях и процессах, происходящих в системе. Необычные записи, такие как несанкционированные попытки изменения файлов или подключения к неизвестным серверам, могут быть признаком наличия вредоносного ПО.

В Windows можно использовать «Просмотр событий» (Event Viewer), чтобы проверить системные журналы и обнаружить ошибки или странную активность.

В Linux можно просматривать логи через команду dmesg или анализировать файлы в каталоге /var/log/.

Вредоносные программы часто изменяют файлы, добавляют новые или скрывают свои следы. Использование программ для мониторинга файлов, таких как FileAudit или Sysinternals Suite, поможет отслеживать все изменения в системных папках или критических файлах.

Как удалить вредоносное ПО?

Большинство антивирусных программ предлагают автоматическое удаление обнаруженных угроз после сканирования системы. Регулярные обновления антивирусных баз и полное сканирование помогут выявить и устранить вредоносное ПО.

После удаления вредоносных программ важно проверить систему на возможные изменения в файлах или настройках, возможно, потребуется восстановить поврежденные файлы или вернуть настройки к исходным.

Когда необходима переустановка операционной системы?

Если вредоносное ПО серьезно повредило операционную систему, нарушив ее функциональность или безопасность, переустановка ОС может быть необходима. Это обеспечит полное удаление всех угроз и восстановление работоспособности системы.

Классификация вредоносного ПО

Как защититься от вредоносного ПО?

Рекомендации по безопасности при работе в интернете

Будьте бдительны при открытии подозрительных ссылок и загрузке файлов из сетевых источников, а также всплывающих сообщений.

Обновление программного обеспечения и ОС

Регулярно обновляйте операционную систему и программы, чтобы устранить уязвимости, которые могут быть использованы злоумышленниками для внедрения вредоносного ПО.

Использование современного антивирусного ПО

Обеспечьте защиту данных в реальном времени с помощью надежного антивирусного ПО, которое будет активно отслеживать угрозы и блокировать их.

Обучение и повышение осведомленности пользователей

Обучение сотрудников и пользователей ключевым принципам кибербезопасности снижает риск утечек и атак.

Внимательно относитесь к съемным носителям

Не подключайте неизвестные USB-устройства, внешние жесткие диски или другие съемные носители. Если необходимость в их использовании есть, обязательно просканируйте их на наличие вирусов перед подключением.

Современные тенденции в развитии вредоносного ПО

Современные тенденции в развитии вредоносного ПО отражают динамично изменяющийся ландшафт киберугроз.

APT (Advanced Persistent Threats) — таргетированные (или целевые) атаки

APT заключается в том, что злоумышленников интересует конкретная компания или государственная организация. Такие атаки обычно хорошо спланированы и включают несколько этапов — от разведки и внедрения до уничтожения следов присутствия.

Использование искусственного интеллекта и машинного обучения

Злоумышленники начинают использовать ИИ и машинное обучение для автоматизации атак. Это позволяет более эффективно перехватывать данные, настраивать фишинговые кампании, анализировать огромные массивы информации и разрабатывать уклоняющееся вредоносное ПО, адаптирующее свое поведение для избегания обнаружения.

Полиморфизм и метаморфизм

Полиморфное и метаморфное ПО изменяется при каждом своем распространении, что усложняет его обнаружение традиционными антивирусными программами. Использование кода, который способен изменять свою внешнюю структуру, помогает избегать статических сигнатурных анализов.

Таргетинг IoT (интернет вещей)

С увеличением числа подключенных устройств возрастают атаки на IoT-устройства. Эти устройства часто обладают недостаточной защитой, что делает их привлекательной целью для создания ботнетов и выполнения DDoS-атак.

Мобильное вредоносное ПО

С ростом использования смартфонов и планшетов увеличивается количество вредоносных программ, нацеленных на мобильные платформы. Такое ПО часто распространяется через зараженные приложения и может красть данные, отслеживать действия пользователей или вызвать значительные финансовые потери.

Бесфайловые атаки

Бесфайловое вредоносное ПО работает в оперативной памяти и не оставляет традиционных файловых следов, что затрудняет его обнаружение и удаление. Это стало возможным на базе расширенного использования межплатформенных уязвимостей и эксплоитов3.

Атаки на цепочки поставок

Такого рода атаки становятся особенно опасными, поскольку они затрагивают множество организаций через их зависимости от компрометированных поставщиков или компонентов. Примером является атака на компанию SolarWinds, которая затронула множество высокопрофильных организаций.

Заключение

Регулярное обновление ПО, использование современных антивирусов и обучение сотрудников — залог безопасности данных. В эпоху глобализации и технологических инноваций осмотрительность в отношении киберугроз и внимание к защите систем стали неотъемлемой частью любой организации.

В конечном итоге комплексный подход, включающий надежное антивирусное ПО, регулярное обновление системы, обучение сотрудников и внимание к базовым принципам безопасности, поможет минимизировать риски и защитить данные и инфраструктуру от киберугроз.

1 Исключительно по мнению автора статьи.
2 NSFW (Not Safe For Work) — Небезопасно на работе.
3 Эксплойты — это подвид вредоносных программ. Они содержат данные или исполняемый код, способный воспользоваться одной или несколькими уязвимостями в программном обеспечении на локальном или удаленном компьютере.

Следите за новостями компании IBS в соцсетях и блогах
Решения и услуги
Управление программами Бизнес-консалтинг Аналитические решения Бизнес-решения Разработка Тестирование Аутсорсинг ИТ-процессов Подбор ИТ-персонала Кибербезопасность ESG и устойчивое развитие
Отраслевые решения
Агропромышленность Государственные программы Металлургия Нефть, газ и химия Промышленность Телеком ТНП и ритейл Транспорт Финансовые институты Энергетика и ЖКХ
Создано в IBS
Платформа «Планета.» IBS НСИ Модуль IBS EAM Комплексная система весогабаритного контроля ПО КАМА для разведки и добычи нефти и газа IBS Global Career — Рекрутинговый центр IBS ТехноДром — Технологии создания команд Реестр российского ПО и свидетельства в Роспатент
Карьера
Карьера в IBS Вакансии Бенефиты и корпоративные программы Стажировки IBS Training Center Как стать частью команды IBS Полезные материалы для соискателей
Медиацентр
Проекты Новости компании События Материалы для СМИ
О компании
О компании Менеджмент История IBS Рейтинги Партнеры Раскрытие информации Контакты
Головной офис
ООО «ИБС Экспертиза»
Входит в состав группы компаний IBS

Россия, 127434, город Москва, Дмитровское шоссе,
дом 9-Б, эт. 5 пом. XIII, ком. 6
Телефон: +7 (495) 967-80-80 / Факс: +7 (495) 967-80-81
E-mail: ibs@ibs.ru
Офисы группы компаний IBS
Москва Санкт-Петербург Барнаул Белгород Вологда Нижний Новгород Новочеркасск Омск Пенза Пермь Таганрог Тюмень Ульяновск Уфа Шахты
Персональные данные и правовые аспекты
Антикоррупционная политика
Сведения о cookies-файлах
Этот сайт защищен YandexSmartCaptcha.
Применяются Политика конфиденциальности и Условия обслуживания.
Карта сайта
apptest Created with Sketch. appline Created with Sketch. platforms Created with Sketch.
© ООО «ИБС Экспертиза», 2025. Все права защищены
Сделано в
Сайт IBS использует cookie. Это дает нам возможность следить за корректной работой сайта, а также анализировать данные, чтобы развивать наши продукты и сервисы. Посещая сайт, вы соглашаетесь с обработкой ваших персональных данных.
Развернуть текст
Узнать подробности
Принять условия