Глоссарий
А
Анти—антивирусный вирус (Anti-antivirus Virus, Retrovirus) — компьютерная вирусная программа, объектом нападения которой являются антивирусные программы.
Антивирусный вирус (Anti-virus Virus) — компьютерная вирусная программа, объектом нападения которой являются другие компьютерные вирусы.
Антивирусная программа (Anti-virus program) — программа поиска, диагностики, профилактики и лечения файлов, зараженных компьютерным вирусом.
В процессе поиска и диагностики определяются зараженные файлы и тип вируса.
Профилактика позволяет предотвращать заражение.
Лечение подразумевает удаление вируса и восстановление поврежденных файлов.
Антивирусный сканер (Anti-virus scanner) — программа, способная обнаруживать программный код вирусов (сигнатуру) в зараженных ими файлах при помощи базы данных о вирусах, известных такой антивирусной программе или исходя из априорных предпосылок об устройстве такого кода. Сканеры периодически, например, по запросу пользователя, проверяют определенные объекты (диски, каталоги или файлы, а также оперативную память и загрузочные секторы) на наличие программного кода.
Апплет (Applet) — Класс языка Java, встроенный в виде исполняемого модуля в документ, созданный на языке HTML. Апплет загружается с сервера на компьютер пользователя как прикрепленный файл. Апплеты применяют, например, при организации на Web-страницах интерактивного диалога с пользователем.
Архивный файл (Archive file) — файл, являющийся результатом сжатия архиватора.
Атака «человек посередине» — другие названия: атака посредника, атака Man in the middle (MITM), атака Man in the Middle Attack (MIMA) — состоит в подмене, модификации или краже передаваемых данных посредником (хакером или троянцем) в момент, когда данные уже отправлены, но еще не получены. Вариантов атаки «человек посередине» очень много, но в большинстве случаев она выполняется с помощью вредоносного ПО или перехвата трафика, например в доступных беспроводных сетях.
Подключение к Wi-Fi-сети в торговом центре, кофейне или другом общественном месте может быть небезопасно. Более того, злоумышленники могут создать сеть с открытым доступом специально для того, чтобы украсть ваши данные, когда вы к ней подключитесь. Узнайте больше об атаках типа «человек посередине» в выпусках проекта «Антивирусная правДА!».
Кто ты, человек посередине?
Атаки BadUSB - вид атак на компьютеры с использованием специально подготовленных устройств, имитирующих внешний вид иных
устройств. Благодаря универсальности USB-разъема, подсоединив клавиатуру, мышь или иное устройство со специально модифицированными прошивками, злоумышленники получают возможность доступа к данным пользователя или для выполнения иных нужных злоумышленнику действий.
Визуально невозможно определить, что, например, компьютерная мышь или зарядное устройство для смартфона были оснащены вредоносным функционалом, поэтому критически важно знать и о таких возможностях заражения. Об атаках на компьютеры и мобильные устройства посредством BadUSB рассказывает проект «Антивирусная правДА!».
Прикинулся флешкой
Клавиатурная самодеятельность
Через флешки к цели
Б
База данных антивирусной программы, вирусная база (Anti-virus program virus database)— содержит информацию о фрагментах кода (сигнатурах) известных данной антивирусной программе вирусов, а также необходимые сведения для восстановления (излечения) пораженных этими вирусами объектов. Для современных компьютерных вирусов характерна огромная скорость распространения. В течение нескольких дней, а иногда и часов, вновь появившийся вирус может заразить миллионы компьютеров по всему миру. Разработчики антивирусного комплекса непрерывно пополняют вирусные базы новыми вирусными записями (сигнатурами). После установки таких дополнений антивирусный комплекс делается способным обнаруживать новые вирусы, блокировать их распространение, а в ряде случаев - излечивать зараженные файлы.
База данных антивирусной программы Dr.Web
База данных антивирусного комплекса Dr.Web состоит из основной вирусной базы (файл drwebase.vdb) содержащей вирусные записи, известные в момент выпуска данной версии программного комплекса и еженедельных дополнений - файлов с вирусными сигнатурами, выявленными за время, прошедшее с выпуска предыдущего еженедельного обновления. Также, по мере необходимости (обычно несколько раз в сутки) выпускаются горячие дополнения, содержащие сигнатуры всех вирусов, выявленных после выхода последнего еженедельного дополнения.
Записи, предназначенные для обнаружения средствами компонентов комплекса рекламных программ и программ-дозвонщиков, включаются в состав вирусной базы drwnasty.vdb. Записи для обнаружения программ-шуток, потенциально опасных программ и программ несанкционированного доступа включаются в состав вирусной базы drwrisky.vdb. Подобно вышеописанным еженедельным и горячим дополнениям к основной вирусной базе, выпускаются еженедельные и горячие дополнения баз вредоносных программ (dwnXXXYY.vbb и dwntoday.vdb - для drwnasty.vdb, dwrXXXYY и dwrtoday.vdb - для drwrisky.vdb). Горячие дополнения для этих баз могут выпускаться значительно реже, чем для основной вирусной базы.
Бестелесные (бесфайловые) троянцы — это вредоносные программы, не сохраняющие свое «тело» в виде файла на атакуемом компьютере, что позволяет им скрыть от пользователя свое присутствие в системе. Часто бесфайловые троянцы скрываются в реестре. Несмотря на отсутствие файла у вредоносных программ такого типа бесфайловые угрозы успешно детектируются антивирусом Dr.Web, который сканирует все области, в которых может спрятаться вредоносное ПО.
Многие вредоносные программы работают в системе скрытно от пользователя. Читайте в выпусках проекта «Антивирусная правДА!» о том, как бестелесные троянцы скрывают себя от пользователя и антивируса, а также о способах защиты от инфицирования бестелесными троянцами.
«Ба! знакомые всё лица!»
BIOS-кит (BIOS-kit) — вредоносная программа, способная заражать BIOS компьютера.
Бомба с часовым механизмом (Time bomb) — частный случай логических бомб, в которых срабатывание скрытого модуля определяется временем.
Ботнет (Botnet) — сеть компьютеров, зараженных троянцами-ботами. Ботнет используется для рассылки спама или проведения сетевых атак, например подбора паролей или DоS-атак.
Буткиты (Boot viruses) — вредоносные программы, которые заражают загрузочные записи (Boot record) дискет, разделов жестких дисков, а также модифицируют главный загрузочный сектор MBR (Master Boot Record).
Брешь, ошибка в программе (bug) — любая непреднамеренная программная ошибка, как синтаксическая, так и семантическая.
Бэкдоры (Backdoors) — программы, предназначенные для удаленного управления зараженной системой. Часто используются для обхода существующей системы безопасности.
В
Вариант вируса, штамм, модификация (Variant) — модифицированный вариант одного и того же вируса. Изменения в вирусный код могут вноситься как автором вируса, так и третьим лицом.
Вирус (Virus) — программа, инфицирующая файловые объекты и способная к самовоспроизведению.
Вирусная программа-червь (Worm-virus) — паразитическая программа, обладающая механизмом саморазмножения, но не заражающая другие исполняемые файлы. Проникая в систему, распространяет свои копии на другие компьютеры, объединенные в ту же сеть, что и инфицированный ПК.
Вирусный код, сигнатура (Signature) — система символов и однозначных правил их интерпретации, используемая для предоставления информации в виде данных. Представляет собой набор символов или последовательность байтов, которые, как предполагается, могут быть свойственны, а, следовательно, и обнаружены в каком-то определенном вирусе, в каждой его копии, и только в нем. Антивирусные сканеры используют сигнатуру для нахождения вирусов. Пoлиморфные вирусы не имеют сигнатуры.
Вирусный мистификатор (Hoax) — почтовые сообщения, написанные в нейтральном тоне, которые не являются вредоносными. В них указывается, например, о якобы распространяющемся новом вирусе. Большинство вирусных мистификаций обладают одной или несколькими характеристиками:
- Имя вируса, на которое ссылается автор сообщения, составляется не по правилам, используемым большинством антивирусных компаний.
- Акцент делается на том, что «вирус» пока не обнаруживается антивирусными программами. Пользователю предлагается найти некий файл и удалить его с диска.
- В письме содержится призыв, в случае обнаружения указанного файла, сообщить об этом всем своим знакомым и все тем, чьи адреса есть в адресной книге пользователя.
Несмотря на всю безобидность подобного розыгрыша, вред его очевиден — массовая рассылка копий бесполезного сообщения загружает почтовый трафик и отнимает время пользователей.
Вирусы-спутники, вирусы-компаньоны (Virus-companion) — формально являются файловыми вирусами. Не внедряются в исполняемые программы.
Такие вирусы используют особенность системы DOS, позволяющую программному файлу с тем же названием, но другим расширением действовать с разными приоритетами.
Под приоритетом понимают присваиваемый задаче, программе или операции признак, определяющий очередность их выполнения вычислительной системой.
Большинство таких вирусов создают .COM файл, который обладает более высоким приоритетом, нежели .EXE файлы с тем же самым названием. При запуске файла по имени (без указания расширения) будет запущен файл с расширением .СОМ.
Такие вирусы могут быть резидентными и маскировать файлы-двойники.
Вишинг (Vishing) — технология интернет-мошенничества, разновидность фишинга, заключающаяся в использовании в злонамеренных целях «war diallers» (автонабирателей) и возможностей Интернет-телефонии (VoIP) для кражи личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. Потенциальные жертвы получают телефонные звонки, якобы от имени легальных организаций, в которых их просят ввести с клавиатуры телефона, смарт-фона или КПК пароли, PIN-коды и другую личную информацию, используемую в последствии злоумышленниками для кражи денег со счета жертвы и в других преступлениях.
Вредоносные действия вирусов (Damage). На компьютере пользователя вирусы могут производить следующие вредоносные действия.
- Вызывать отказ в выполнении той или иной функции в работе системы, инициировать ошибки и сбои, вызывать зависание системы сразу после ее загрузки.
- Выполнять действия, не предусмотренные программой.
- Разрушать файлы, диски (форматировать диски, удалять файлы).
- Выдавать на экран дисплея раздражающие пользователя ложные сообщения.
- Создавать звуковые или визуальные эффекты (падающие буквы, проигрывание мелодии и т.д.).
- Блокировать доступ к системным ресурсам (разрастание зараженных файлов за счет их многократного повторного заражения, замедление работы компьютера и т.д.).
- Имитировать сбои аппаратуры (перевод части кластеров в "псевдосбойные").
Следует отметить, что наиболее опасны не катастрофические повреждения винчестера или дискет, а мелкие, незаметные изменения файлов данных.
Вредоносное программное обеспечение, ВПО (англ. malicious software) — любое программное обеспечение, устанавливаемое на компьютеры и устройства без разрешения пользователя, либо выполняющее заведомо вредоносные действия, а также действия, отличные от описанных в документации.
Д
Дата и время добавления в вирусную базу — дата и время выпуска дополнения к текущей вирусной базе Dr.Web®, в котором дано определение соответствующего вируса и способы борьбы с ним (удаление, лечение и т.д.). С момента включения определения вируса в вирусную базу антивирусная программа в состоянии правильно обнаруживать вирус и, соответственно, обезвреживать его.
Это, однако, не означает, что вирус, не включенный в дополнение к вирусной базе, не может быть обнаружен антивирусом. Очень часто вирус, появившийся недавно и еще не обработанный в Антивирусной Лаборатории ООО "Доктор Веб", определяется эвристическим анализатором Dr.Web®.
Демон (Daemon) — программа, используемая для выполнения служебной функции без запроса со стороны пользователя и даже без его ведома.
Деструктивное действие вируса (Destructiveness) — стратегия его функционирования, предпринимаемые им, подчас незаметные для пользователя, вредоносные действия направленные на нарушение нормального функционирования операционной системы, а иногда ее полного краха, а также условия, при которых вирус вступает в фазу своего проявления и его алгоритм работы в ней.
"Дикая природа" ("Wild") — компьютерная среда. Выражение "вирус "в дикой природе" означает, что такой вирус вызвал инфицирование компьютеров или сайтов вне стен антивирусной лаборатории. Список "диких вирусов" составленный специалистом по вирусам Joe Wells содержит перечень наиболее часто встречающихся вирусов в компьютерах во всем мире.
Длина файлового вируса (File virus size) — длина в байтах кода вируса, имеющегося в каждом зараженном файле.
Длина головы и хвоста бутового вируса (Boot virus size) — длиной головы бутового вируса называют длину тела вируса, помещаемого в загрузочный сектор дискеты или MBR. Длиной хвоста называют длину тела вируса, размещаемого на свободном пространстве дискеты или винчестера (такие сектора помечаются как сбойные).
DNS-заражение (DNS poisoning) — атака на кеш DNS-сервера. В результате в кеше появляется ложная запись о соответствии DNS-имени хоста, которому жертва доверяет, и IP-адреса, указанного атакующим. Является подвидом спуфинга. Атака может поражать как клиентский хост, так и хост сервера, что может привести к массовому перенаправлению пользователей на ложный адрес.
Дозвонщики (Dialers) — программы, используемые злоумышленниками для накручивания оплаты за телефон жертве или для незаметного подключения пользователя через модем к дорогостоящим платным телефонным службам.
DoS-атаки (DoS-attacks) — популярный среди злоумышленников вид сетевых атак, граничащий с терроризмом. Заключается в отправке запросов с компьютеров на атакуемый сервер с целью выведения его из строя. При достижении определенного количества запросов (ограниченного аппаратными возможностями сервера) сервер перестает справляться с нагрузкой, что приводит к отказу в обслуживании. Данной атаке часто предшествует спуфинг. DoS-атаки стали широко используемым средством запугивания и шантажа конкурентов.
"Дроппер" (Dropper) — файл-носитель, устанавливающий вирус в систему. Техника иногда используемая вирусописателями для "прикрытия" вирусов от антивирусных программ.
Другие названия вируса (Other virus names)— антивирусные компании, как правило, дают разные названия одним и тем же вирусам, исходя из собственных правил формирования вирусного имени. В большинстве случаев основное имя вируса (например, Klez, Badtrans, Nimda) одинаково и присутствует в наименовании этого вируса, независимо от антивирусной компании. Различаются в основном префиксы и суффиксы имени вируса, правила использования которых у каждой компании могут быть свои. В частности, если в классификации вирусов, принятой в компании ООО "Доктор Веб", версии одного и того же вируса нумеруются числами, начиная с 1, в компании Symantec для этих же целей используются заглавные буквы английского алфавита.
З
Заплатка (Patch)— последовательность команд, добавленных к коду готовой программы ее производителем для исправления имеющихся недостатков. Такая последовательность команд вносится в виде отдельного блока или файла, в нужном месте команды помещается строка перехода. Иногда заплата является средством добавления новой функции к существующей версии программы до выхода ее новой версии, где эта функция будет вставлена обычным путем.
Зоологический вирус (Zoo virus) — вирус, существующий только в антивирусных лабораториях, в коллекциях исследователей вирусов и не встречается в "дикой природе".
И
Исполняемый файл (Executable file) — файл, готовый к выполнению операционной системой. Например, в операционной системе MS-DOS исполняемые файлы имеют расширения .exe, .com и .bat.
Файлы с расширением .exe, .com — это программы.
Файлы с расширением .bat — это пакетные файлы.
К
Kлюч реестра (Registry key) — запись в реестре, уникальный идентификатор, присваиваемый определенной части информации, хранящейся в реестре.
Компьютерные вирусы (Computer viruses) — это программы или фрагменты программного кода, которые, попав на компьютер, могут вопреки воле пользователя выполнять различные операции на этом компьютере — создавать или удалять объекты, модифицировать файлы данных или программные файлы, осуществлять действия по собственному распространению по локальным вычислительным сетям или по сети Интернет. Модификация программных файлов, файлов данных или загрузочных секторов дисков таким образом, что последние сами становятся носителями вирусного кода и в свою очередь могут осуществлять вышеперечисленные операции, называется заражением (инфицированием) и является важнейшей функцией компьютерных вирусов. В зависимости от типов заражаемых объектов выделяются различные типы вирусов.
Л
Логические бомбы (Logic bomb) — скрытые модули, встроенные в ранее разработанную и широко используемую программу. Такой модуль является безвредным до определенного события, при наступлении которого он срабатывает (например, нажатие пользователем определенных кнопок клавиатуры, или наступление определенной даты или времени).
Люки (Back-door) — программы, обеспечивающие вход в систему или получение привилегированной функции (режима работы) в обход существующей системы полномочий. Часто используются для обхода существующей системы безопасности. Люки не инфицируют файлы, но прописывают себя в реестр, модифицируя таким образом ключи реестра.
М
Макрокомандные вирусы (Macroviruses) — вредоносные программы, которые заражают файлы, созданные приложениями Microsoft Office и другими программами, допускающими наличие макрокоманд.
MtE вирусы (MtE viruses) — полиморфные вирусы, созданные с помощью генератора полиморфизма MtE (Mutant Engine). Такой генератор представляет собой специальный алгоритм, который отвечает за функции шифровки/расшифровки и генерацию расшифровщиков и присоединяется к любому объектному коду вируса. Такой расшифровщик не имеет ни одного постоянного бита, длина его всегда разная.
O
Операционная система, ОС (Operating System, OS) — комплекс программ, организующих вычислительный процесс в вычислительной системе.
Основными функциями ОС являются распределение ресурсов вычислительной системы между задачами с целью их наиболее эффективного использования. Пользователь управляет ОС с помощью команд операционной системы.
Для управления работой персональных компьютеров применяются MS-DOS, Windows, OS/2 или Unix различных версий и конфигураций.
Комьютерные вирусы являются высокоспециализированными программами и сильно зависят от среды своего функционирования. Используемая операционная система является наиболее важной характеристикой среды распространения вируса.
П
Пакетный файл (то же, что командный файл) (Batch file) — исполняемый файл, содержащий команды операционной системы. Обычно имеет расширение .bat и представляет собой текстовый файл, каждая строка которого — команда операционной системы. Выполняется командным процессором.
Подключаемый модуль (Plug—in) — вспомогательная программа, выполняющая дополнительные функции в главной прикладной программе.
Полиформизм (Polymorphism) — технология, посредством которой вирус изменяет свой код таким образом, чтобы разные экземпляры одного и того же вируса различались, а в идеале — не совпадали ни в одном байте.
Полиморфные вирусы (Polymorphic viruses) — или вирусы с самомодифицирующимися расшифровщиками (по Н.Н.Безрукову) — вирусы, использующие помимо шифрования кода специальную процедуру расшифровки, изменяющую саму себя в каждом новом экземпляре вируса, что ведет к отсутствию у него байтовых сигнатур. Расшифровщик не является постоянным — он уникален для каждого экземпляра вируса.
Порт (Port) — устройство сопряжения центрального процессора или оперативной памяти ЭВМ с другими устройствами с целью передачи данных.
Почтовая бомба (Mail bomb) — посланное на компьютер пользователя либо одно огромное сообщение, либо множество (несколько тысяч) почтовых сообщений, что может привести к полному краху системы.
Протокол (Protocol) — совокупность правил, определяющих алгоритм взаимодействия устройств, программ, систем обработки данных и процессов.
Протокол РОР (Post Office Protocol) — протокол почтового офиса, почтовый протокол — протокол сети Интернет, позволяющий осуществлять динамический доступ в почтовый ящик сервера с рабочей станции.
Протокол SMTP (Simple Mail Transfer Protocol) — протокол сети Интернет, позволяющий осуществлять отправку почты с рабочей станции на сервер.
Р
Ревизор (Revisor) — программа, периодически проверяющая изменения в потенциально заражаемых файлах, сверяя части системы с эталонными. Ревизор сначала сохраняет контрольные суммы контролируемых файлов и секторов, а в последствии проверяет соответствие эталонных и текущих значений контрольных сумм. Срабатывает в момент несовпадения (в следствие проникновения вируса).
Позволяет выявить вирусную активность после заражения и в ряде случаев восстановить состояние файлов до заражения.
Ревизор не в состоянии определить, в результате чего изменилась программа — ее поразил вирус или просто перетранслировали.
Рекламное ПО или Adware (сокращение от англ. advertisement — «реклама» и software — «программное обеспечение») — разновидность вредоносного программного обеспечения, предназначенного для несанкционированного показа рекламы и сбора информации о пользователях. Типичными действиями рекламного ПО являются подмена стартовой страницы в браузере, подмена настроек доступа в сеть Интернет, изменение вида страниц сайтов, просматриваемых пользователем, перенаправление пользователя на рекламные сайты, сбор с компьютера и отправка на сервер злоумышленника истории посещений пользователем интернет-страниц.
Пользователь может даже не подозревать, что на его компьютере работает рекламная программа, продвигающая определенные товары и услуги. Но подобное ПО зачастую собирает для рекламодателей сведения о системе и пользователе без его ведома, и к тому же в результате деятельности рекламной программы вы можете оказаться на фишинговой странице или на сайте, инфицированном троянцем. Ознакомьтесь с выпусками проекта «Антивирусна правДА!» о рекламном ПО, чтобы контролировать, чем занимаются приложения в вашей системе, и знать, как избавиться от adware, если они проникли на компьютер или мобильное устройство.
Как утопить всплывающую рекламу
О вреде обновлений
Маленький брат тоже следит за тобой
Не халявщики, а партнёры?
С миру по нитке – наглому рубашка
Рекламного волка ноги кормят
Реестр (Registry) — иерархическая база данных, в которой операционная система централизованным образом хранит всю системную информацию, в частности, конфигурацию вычислительной системы, значения различных параметров, сведения об установленных программах и т.д. Изменения в реестре производятся пользователем в окне редактирования реестра.
ООО "Доктор Веб" настоятельно рекомендует перед внесением каких-либо изменений в реестр сделать его резервную копию. Некорректные изменения в реестре могут привести к полной потере данных или повреждению файлов!
Резервная копия (Backup copy) — запасная копия содержимого диска, программы, файла, документа, создаваемая для использования в случае повреждения оригинала.
Pезидентный (в памяти) вирус (Memory resident virus) — постоянно присутствующий в памяти вирус, написанный, как правило, на языке Ассемблер или Си.
Такие вирусы обладают возможностью более эффективно заражать программы и противодействовать антивирусным средствам. Занимает небольшой объем памяти. Пребывает в состоянии готовности к продолжению выполнения своей задачи до выгрузки, перезагрузки или выключения компьютера. Активизируется и выполняет заданные вирусописателем действия, например, при достижении компьютером определенного состояния (срабатывания таймера, др.). Все бутовые вирусы резидентны.
Руткит (Rootkit) — вредоносная программа, предназначенная для перехвата системных функций операционной системы (API) с целью сокрытия своего присутствия в системе.
Руткит также может маскировать процессы других программ, различные ключи реестра, папки и файлы. Руткиты распространяются либо как самостоятельные программы, либо как дополнение к другим вредоносным программам.
C
Системный файл (System file) — файл, содержащий один из модулей операционной системы или набор данных, которые она использует.
Скрипт, сценарий (Script) — программа, особый вид программного кода, как правило, написанная на интерпретируемом (не компилируемом) языке и содержащая команды-инструкции.
Скрипт—вирусы (Script virus) — вирусы, написанные на языках Visual Basic, Java Script, Jscript и других. Программы на языках Visual Basic и Java Script могут располагаться как в отдельных файлах, так и встраиваться в HTML-документ и в таком виде интерпретироваться браузером с удаленного сервера или локального диска.
Скрытый файл (Hidden file) — файл, имя которого согласно политике безопасности не отражается в списке файлов каталога. Для этого он снабжается специальным знаком.
Спуфинг (Spoofing) — сетевая атака, заключающаяся в получении доступа в сеть обманным путем посредством имитации соединения. Используется для обхода систем управления доступом на основе IP-адресов, а также для маскировки ложных сайтов под их легальных двойников или просто под законные бизнес-проекты. Блокируется брандмауэром.
Стелс вирусы (Stealth virus) — вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.
Так называемая стелс-технология может включать в себя:
- затруднение обнаружения вируса в оперативной памяти
- затруднение трассировки и дизассемблирования вируса
- маскировку процесса заражения
- затруднение обнаружения вируса в зараженной программе и загрузочном секторе.
Сторож (Guard) — резидентная программа, контролирующая части операционной системы, потенциально открытые для проникновения вирусов и срабатывающая в момент такого проникновения. Сторож обнаруживает и блокирует попытки заражения файлов. При этом также обнаруживаются программы, пытавшиеся совершить подозрительное действие, вероятно, зараженные каким-либо вирусом.
Антивирусный резидентный сторож (монитор) SpIDer Guard® компании ООО "Доктор Веб" контролирует в режиме реального времени все обращения к файлам, выявляет и блокирует подозрительные действия программ. Подозрительные программы могут быть на "лету" проверены с использованием общей для всего пакета вирусной базы и общего алгоритма сканирования. Заведомо зараженные файлы могут быть немедленно излечены.
Т
Таблица FAT (File Allocation Table) — таблица размещения файлов, таблица для размещения динамического пространства жесткого диска, единицей распределяемой памяти которой является кластер.
Технологии социальной инженерии (Social engineering techniques) — получение конфиденциальной информации у пользователей путем введения их в заблуждение. Нередко приводит к добровольной выдаче информации самим пользователем. Социальная инженерия не использует специальные компьютерные программы — мошенничество построено на тривиальном обмане, злоупотреблении доверием и наивностью людей.
Типы вирусов
В зависимости от видов заражаемых объектов, компьютерные вирусы классифицируют по следующим типам:
- Файловые вирусы (File viruses) — вирусы, заражающие двоичные файлы (в основном, исполняемые файлы и динамические библиотеки). Чаще всего, такие файлы имеют расширение .EXE, .COM, .DLL, .SYS. Также могут инфицировать файлы с расширениями .DRV, .BIN, .OVL и .OVY.
Такие вирусы внедряются в файлы операционной системы, активируются при запуске пораженной программы и затем распространяются.
- Загрузочные (бутовые) вирусы (Boot viruses) — вирусы, которые заражают загрузочные записи (Boot record) дискет, разделов жестких дисков, а также MBR (Master Boot Record) жестких дисков.
- Макрокомандные вирусы (макровирусы) (Macroviruses) — вирусы, заражающие файлы документов, используемыe приложениями Microsoft Office и другими программами, допускающие наличие макрокоманд (чаще всего на языке Visual Basic). Благоприятным фактором распространения вируса служит то, что все основные компоненты Microsoft Office могут содержать встроенные программы (макросы) на полнофункциональном языке программирования, а в Microsoft Word эти макросы автоматически запускаются при открытии любого документа, его закрытии, сохранении и т.д.
Кроме того, имеется так называемый общий шаблон NORMAL.DOT и макросы, помещенные в общий шаблон, автоматически запускаются при открытии любого документа. Учитывая то, что копирование макросов из документа в документ (в частности, в общий шаблон) выполняется всего одной командой, среда Microsoft Word идеальна для существования макрокомандных вирусов.
Троянцы (Trojans) — вредоносные программы, осуществляющие несанкционированные пользователем действия на его компьютере. Эти действия необязательно будут разрушительными, но они всегда направлены во вред пользователю.
Название этого типа атак происходит от известной легенды о деревянной статуе коня, использованной греками для проникновения в Трою.
Примеры: Trojan.Botnetlog, Trojan.DownLoad, Trojan.Stuxnet.
У
Утилиты удаленного администрирования (RAT, remote administration tool) — обеспечивают удаленный доступ к компьютеру.
Угроза нулевого дня (уязвимость нулевого дня, 0-day уязвимость) — уязвимость программного или аппаратного обеспечения, для которой еще не разработаны «заплатки», установка которых делает невозможной использование угрозы. Защитой от угроз нулевого дня служит, в частности, использование антивирусной защиты, которая может перехватывать вредоносный код, который злоумышленники пытаются внедрить, используя уязвимости.
Пользователь не может знать заранее об угрозах нулевого дня — как не может он знать обо всех уязвимостях всего установленного в системе программного обеспечения. Но к отражению угроз нулевого дня готов антивирус Dr.Web — благодаря несигнатурным технологиям, технологиям превентивной защиты и технологиям, основанным на алгоритмах машинного обучения. Узнайте больше о защите от угроз нулевого дня в выпусках проекта «Антивирусная правДА!».
День №0
Уязвимость — ошибка в программе или аппаратном обеспечении, которая делает возможными внедрение злоумышленником в уязвимую программу или систему некого вредоносного кода, перехват обрабатываемых данных или выполнение вредоносных действий. Уязвимость может возникать в результате неверной настройки программного обеспечения (например, использование слабых паролей) или вследствие ошибок разработчиков программы, не предусмотревших возможность той или иной атаки на нее.
Ф
Файловые вирусы (File viruses) — вирусы, заражающие двоичные файлы (в основном исполняемые файлы и динамические библиотеки). Такие вирусы внедряются в файлы операционной системы, активируются при запуске пораженной программы и затем распространяются.
Фарминг (Farming) — фарминг-технологии применяются для изменения DNS (Domain Name System) записи или записи в файле HOSTS. При посещении пользователем легитимной, с его точки зрения, страницы производится перенаправление на поддельную страницу, созданную для сбора конфиденциальной информации.
Фишинг (Phishing) — технология интернет-мошенничества, заключающаяся в краже личных конфиденциальных данных (паролей доступа, данных банковских и идентификационных карт и т. д.). Пользователей просят зайти на подделанный преступниками сайт такого учреждения и подтвердить пароли, PIN-коды и другую личную информацию, используемую впоследствии злоумышленниками для кражи денег со счета жертвы. Разновидность социальной инженерии.
Фоновый режим (Background) — задача, выполняемая системой незаметно для пользователя. Таким задачам обычно присваивается более низкий приоритет. Некоторые вредоносные программы действуют в фоновом режиме, совершая действия, невидимые пользователю.
Форматы файлов, чаще всего поражаемые вирусами (Target file formats)
- .bat — пакетный файл
- .com — командный файл, вид исполняемого файла, размер которого не может превышать 64 Кб.
- .dll — файл библиотеки динамической компоновки
- .elf — исполняемый файл в операционных системах Linux/UNIX
- .exe — исполняемый файл
- .ini — конфигурационный файл
- .sys — системный файл
Х
Ханипот (Honey pots) — специальные системы, служащие для привлечения злоумышленников с целью определить их методы, используемые инструменты, материалы и другое.
Ч
Чистая дискета (Clean diskette) — загрузочная дискета с защитой от записи, на которой, и это пользователь точно знает, нет вирусов.
Ш
"Шароварный софт" (Shareware soft) — бесплатно распространяемое программное обеспечение, но предполагающее оплату его автору. Если после пробного просмотра пользователь не желает пользоваться данным программным обеспечением, он обязан его удалить. Использование "шароварного софта" без оплаты автору считается пиратством.
Шифрованные вирусы (Encrypted viruses) — вирусы, которые сами шифруют свой код для затруднения их дизассемблирования и обнаружения в файле, памяти или секторе. Каждый экземпляр такого вируса будет содержать только короткий общий фрагмент — процедуру расшифровки — который можно выбрать в качестве сигнатуры. В случае каждого инфицирования он автоматически зашифровывает себя, и каждый раз по разному. Таким способом вирус пытается избежать обнаружения антивирусными программами.
Шифровальщик — вид вредоносного программного обеспечения, используемого злоумышленниками для блокировки доступа пользователя к его данным путем их шифрования, после чего следует этап вымогательства денег за расшифровку. Как правило, шифровальщики относятся к троянским программам.
Для заражения системы троянцем-вымогателем достаточно перехода по фишинговой ссылке, запуска вредоносного файла, замаскированного под безобидный, или даже просто посещения инфицированной веб-страницы. А вот шанс на то, что зашифрованные файлы будут восстановлены, очень невелик. И ущерб, особенно в случае заражения сети компании, может быть огромным. Главное оружие в борьбе с шифровальщиками — правильная настройка антивирусной системы защиты и, конечно, полная информированность о путях и способах заражения. Ознакомьтесь с выпусками проекта «Антивирусна правДА!» о троянцах семейства Trojan.Encoder, чтобы знать больше об этой угрозе и не допустить повреждения ваших файлов на компьютерах и мобильных устройствах.
Без моральных «берегов»
Антивирус как часть системы
Как (не) потерять и данные, и деньги
Под видом «апдейта»
Без кофейной гущи
Охота на копии
Вредоносные «оборотни»
Свобода – это ответственность
Совесть, которая не проснется
Страшен ли кролик, как его малюют?
Преступная «забота» о жертвах
Фотошантажисты
Кто будет жертвой?
Закрыть для чтения
Протертые до дыр
Уязвимости и антивирус
Иногда лучше промолчать
«Приговор» шифровальщика подлежит обжалованию
В жизни не как в кино
Троянцы слетаются на сладкое
WannaCry: кто услышит Кассандру?
Антивирус должен быть включенным всегда
Думают глобально, но действуют локально
Уроки шифровальщика. Выдергивайте правильный шнур
Спешка здесь ни к чему
Верить нельзя никому?
Старые оси начинают ржаветь
Wanna Cry. Закрыть порты
WannaCry: так рушатся мифы
WannaCry: таланты и их поклонники
WannaCry. Кто автор?
WannaCry глазами СМИ
WannaCrypt: шеф, все пропало?
За ваши зашифрованные файлы вирусописатель ответственности не несет
С миру по нитке – наглому рубашка
Хищник или жертва? Паразит на теле паразита!
Борьба преступников за жертв
Жадность XXXL
Шоковая терапия для ленивых и нерадивых
Хватит наступать на грабли!
Выньте штепсель из розетки
Антивирус + Windows: крепкий тандем против шифровальщиков
Азбучные истины
Политика страуса не действует на вымогателей
Чего нет, того не видим
Достать на расстоянии
Все пропало! Как быть?
Возможна ли защита от троянцев-шифровальщиков?
Платить ли выкуп вымогателям? Вот в чем вопрос!
Э
Эвристический анализатор (эвристик) (Heuristic) — компонент антивирусной программы, который позволяет обнаруживать новые и неизвестные ранее вирусы. Эвристик анализирует как файлы, так и загрузочные сектора дисков. При эвристическом анализе осуществляется проверка исполняемого кода в исследуемом объекте и делается попытка выявить присутствие характерных для вирусов функций.
Если эвристик находит подозрительный код, пользователю выдается сообщение о возможном инфицировании объекта неизвестным вирусом с указанием категории, к которой этот код относится. В программе Dr.Web® выделяются следующие категории подозрительных объектов, определяемых эвристиком: COM, EXE, WIN.EXE, TSR, MACRO, BOOT, CRYPT, SCRIPT, BATCH, IRC, WORM. В случае, если в процессе работы сканера Dr.Web или резидентного монитора SpIDer Guard Вам выдано сообщение о возможном инфицировании того или иного объекта одной из вышеуказанных категорий вирусов, мы рекомендуем Вам отправить подозрительный файл для изучения в Службу поддержки пользователей ООО "Доктор Веб" с помощью специальной формы.
Эксплойт (от англ. exploit – использовать, эксплуатировать) – вредоносная программа, последовательность команд или специально написанный вредоносный код, использующие уязвимости в том числе для доставки троянцев в систему или для взлома определенного ПО. Существуют также наборы эксплойтов – «эксплойт-паки», предназначенные для использования целого ряда уязвимостей.
Я
Язык HTML (Hyper Text Markup Languages) — стандартный язык разметки гипертекста, используемый во Всемирной паутине WWW для создания и публикации документов Web. Поддерживает основные функции, необходимые для создания гипермедиа-документов: возможности включения графики, форматирования текста, подключения видео и звука, создания гиперссылок, поиска информации в WWW.
Язык JavaScript — язык программирования сценариев, созданный компанией Netscape. Совместим с языком программирования Java. Применяется для написания встроенных в тело Web—страниц сценариев.
Язык Visual Basic — язык программирования высокого уровня, разработанный корпорацией Microsoft.
VBScript — язык программирования сценариев, созданный компанией Microsoft. Представляет собой подмножество языка Visual Basic, предназначенное для написания встроенных в тело Web-страниц сценариев. Поддерживается браузером MS Internet Explorer.
L
LOLBINs/LOLScripts/LOLLibs (Living Off The Land Binaries/Scripts/Libraries) — списки легитимных исполняемых файлов, скриптов и библиотек, не имеющих вредоносных функций. Они стандартно присутствуют в атакуемых системах и могут быть использованы злоумышленниками для выполнения вредоносных действий.
B
BEC (Business E-mail Compromises, другие названия CEO fraud, Whaling) — один из вариантов мошенничества, при котором преступники вступают в переписку с руководителями компаний якобы от имени их реальных контрагентов. Их цели — убедить сотрудников компаний перевести деньги по поддельным реквизитам на счет мошенников или выманить конфиденциальные данные о сделках или персонале.
R
Program.RemoteBot – детектирование приложений, предназначенных для дистанционного управления Android-устройствами. Программы этого семейства являются потенциально опасными, поскольку могут использоваться для кибершпионажа и слежки за пользователями, если устанавливаются без разрешения владельцев устройств.
Эти приложения способны выполнять следующие действия:
- перехватывать и отправлять СМС-сообщения;
- отслеживать и выполнять телефонные вызовы;
- получать содержимое уведомлений операционной системы и других программ;
- снимать видео;
- делать фотографии;
- выполнять прослушку окружения с использованием микрофона устройства;
- отслеживать местоположение устройства;
- выполнять различные команды.