Вредоносное ПО ( сумма для вредоносного программного обеспечения ) [1] — это любое программное обеспечение , намеренно созданное для нарушения работы компьютера , сервера , клиента или компьютерной сети , утечки частной информации, получения несанкционированного доступа к информации или системам, лишения доступа к информации или которое неосознанно вмешивается в компьютерную безопасность и конфиденциальность пользователя . [1] [2] [3] [4] [5] Исследователи склонны классифицировать вредоносное ПО на один или несколько подтипов (например, компьютерные вирусы , черви , троянские кони , программы-вымогатели , шпионское ПО , рекламное ПО , мошенническое ПО , программы- вайперы и кейлоггеры ) . . [1]
Вредоносное ПО создает серьезные проблемы для частных лиц и предприятий в Интернете. [6] [7] Согласно отчету Symantec об угрозах интернет-безопасности (ISTR) за 2018 год, количество вариантов вредоносного ПО увеличилось до 669 947 865 в 2017 году, что в два раза больше вариантов вредоносного ПО, чем в 2016 году. [8] Киберпреступность , включающая атаки вредоносного ПО. По прогнозам, а также другие преступления, совершенные с помощью компьютеров, в 2021 году мировая экономика будет стоить 6 триллионов долларов США и будет расти со скоростью 15% в год. [9] С 2021 года вредоносное ПО разрабатывается для атак на компьютерные системы, на которых работает критически важная инфраструктура, например, электрораспределительная сеть . [10]
Стратегии защиты от вредоносного ПО различаются в зависимости от типа вредоносного ПО, но большинству из них можно противостоять путем установки антивирусного программного обеспечения , брандмауэров , применения регулярных исправлений , защиты сетей от вторжений, регулярного резервного копирования и изоляции зараженных систем . Вредоносное ПО может быть разработано таким образом, чтобы обходить алгоритмы обнаружения антивирусного программного обеспечения. [8]
Идея самовоспроизводящейся компьютерной программы восходит к первоначальным теориям работы сложных автоматов. [11] Джон фон Нейман показал, что теоретически программа может воспроизводить сама себя. Это составило результат правдоподобия в теории вычислимости . Фред Коэн экспериментировал с компьютерными вирусами и подтвердил постулат Неймана, а также исследовал другие свойства вредоносных программ, такие как обнаруживаемость и самозапутывание, с использованием элементарного шифрования. Его докторская диссертация 1987 года была посвящена компьютерным вирусам. [12] Сочетание криптографических технологий как части полезной нагрузки вируса, использующее его в целях атаки, было инициализировано и исследовано с середины 1990-х годов и включает в себя первоначальные идеи программ-вымогателей и обхода атак. [13]
До широкого распространения доступа в Интернет вирусы распространялись на персональных компьютерах путем заражения исполняемых программ или загрузочных секторов дискет. Вставляя свою копию в инструкции машинного кода этих программ или загрузочных секторов , вирус вызывает свой запуск при каждом запуске программы или загрузке диска. Ранние компьютерные вирусы были написаны для Apple II и Macintosh , но они получили более широкое распространение с доминированием IBM PC и системы MS-DOS . Первым «диким» вирусом IBM PC был вирус загрузочного сектора , получивший название (c)Brain , [14] созданный в 1986 году братьями Фаруком Алви в Пакистане. [15] Распространители вредоносного ПО обманом заставляют пользователя загрузиться или запуститься с зараженного устройства или носителя. Например, вирус может заставить зараженный компьютер добавить автоматически запускаемый код на любой USB-накопитель, подключенный к нему. Любой, кто затем подключил флешку к другому компьютеру, настроенному на автозапуск с USB, в свою очередь, заразился и таким же образом передал инфекцию. [16]
Старые почтовые программы автоматически открывали электронную почту в формате HTML , содержащую потенциально вредоносный код JavaScript . Пользователи также могут создавать замаскированные вредоносные вложения электронной почты. В отчете Verizon о расследованиях утечек данных за 2018 год , на который ссылается CSO Online , говорится, что электронная почта является основным методом доставки вредоносного ПО, на него приходится 96% доставки вредоносного ПО по всему миру. [17] [18]
Первые черви, сетевые инфекционные программы, возникли не на персональных компьютерах, а в многозадачных системах Unix . Первым известным червем был червь Морриса 1988 года, который заразил системы SunOS и VAX BSD . В отличие от вируса, этот червь не внедрялся в другие программы. Вместо этого он использовал дыры в безопасности ( уязвимости ) в программах сетевого сервера и запускал себя как отдельный процесс . [19] Такое же поведение используют и современные черви. [20]
С появлением платформы Microsoft Windows в 1990-х годах и гибкими макросами ее приложений стало возможным писать заразный код на языке макросов Microsoft Word и подобных программ. Эти макровирусы заражают документы и шаблоны, а не приложения ( исполняемые файлы ), но полагаются на тот факт, что макросы в документе Word представляют собой форму исполняемого кода. [21]
Многие ранние инфекционные программы, в том числе « Червь Морриса» , первый интернет-червь, были написаны как эксперименты или розыгрыши. [22] Сегодня вредоносное ПО используется как хакерами, так и правительствами для кражи личной, финансовой или деловой информации. [23] [24] Сегодня любое устройство, подключаемое к USB-порту – даже лампы, вентиляторы, динамики, игрушки или периферийные устройства, такие как цифровой микроскоп – может быть использовано для распространения вредоносного ПО. Устройства могут быть заражены во время производства или поставки, если контроль качества неадекватен. [16]
С появлением широкополосного доступа в Интернет вредоносное программное обеспечение все чаще создается с целью получения прибыли. С 2003 года большинство распространенных вирусов и червей были созданы для захвата контроля над компьютерами пользователей в незаконных целях. [25] Зараженные « компьютеры-зомби » могут использоваться для рассылки спама по электронной почте , для размещения контрабандных данных, таких как детская порнография , [26] или для участия в распределенных атаках типа «отказ в обслуживании» как форме вымогательства . [27] Вредоносное ПО широко используется против правительственных или корпоративных веб-сайтов для сбора конфиденциальной информации, [28] или для нарушения их работы в целом. Кроме того, вредоносное ПО может использоваться против отдельных лиц для получения такой информации, как личные идентификационные номера или данные, номера банков или кредитных карт, а также пароли. [29] [30]
Помимо криминального заработка, вредоносное ПО может использоваться для диверсий, зачастую по политическим мотивам. Stuxnet , например, был разработан для нарушения работы очень специфического промышленного оборудования. Имели место политически мотивированные атаки, которые распространились на крупные компьютерные сети и отключили их, включая массовое удаление файлов и повреждение основных загрузочных записей , что описывается как «убийство компьютера». Такие атаки были совершены на Sony Pictures Entertainment (25 ноября 2014 г. с использованием вредоносного ПО, известного как Shamoon или W32.Disttrack) и Saudi Aramco (август 2012 г.). [31] [32]
Существует много возможных способов классификации вредоносных программ, и некоторые вредоносные программы могут разделяться на две или более категории. [1] В целом программное обеспечение можно разделить на три типа: [33] (i) хорошее программное обеспечение; (ii) «серое» ПО и (iii) вредоносное ПО.
Компьютерный вирус — это программное обеспечение, обычно спрятанное внутри другой, казалось бы, безобидной программы, которая может создавать свои копии и вставлять их в другие программы или файлы и обычно выполняет вредоносное действие (например, уничтожает данные). [34] Их сравнивают с биологическими вирусами . [3] Примером этого является переносимое заражение выполнением — метод, обычно используемый для распространения вредоносного ПО, который вставляет дополнительные данные или исполняемый код в PE-файлы . [35] Компьютерный вирус — это программное обеспечение, которое внедряется в какое-либо другое исполняемое программное обеспечение (включая саму операционную систему) целевой системы без ведома и согласия пользователя, и при запуске вирус распространяется на другие исполняемые файлы.
Червь — это автономное вредоносное программное обеспечение, которое активно распространяется по сети для заражения других компьютеров и может копировать себя , не заражая файлы. Эти определения приводят к наблюдению, что вирус требует от пользователя запуска зараженного программного обеспечения или операционной системы для распространения вируса, тогда как червь распространяется сам. [36]
После того как вредоносное программное обеспечение установлено в системе, важно, чтобы оно оставалось скрытым, чтобы избежать обнаружения. Пакеты программного обеспечения, известные как руткиты , позволяют это скрыть, изменяя операционную систему хоста так, чтобы вредоносное ПО было скрыто от пользователя. Руткиты могут предотвратить появление вредоносного процесса в списке процессов системы или запретить чтение его файлов. [37]
Некоторые типы вредоносного программного обеспечения содержат процедуры, позволяющие избежать попыток идентификации и/или удаления, а не просто скрыть себя. Ранний пример такого поведения записан в журнале Jargon File о паре программ, заразивших систему разделения времени Xerox CP-V :
Каждое задание-призрак обнаруживало факт уничтожения другого задания и запускало новую копию недавно остановленной программы в течение нескольких миллисекунд. Единственный способ убить обоих призраков — убить их одновременно (очень сложно) или намеренно вывести из строя систему. [38]
Бэкдор — это широкий термин для компьютерной программы, которая позволяет злоумышленнику постоянный несанкционированный удаленный доступ к компьютеру жертвы, часто без его ведома . [39] Злоумышленник обычно использует другую атаку (например, троян , червь или вирус ) для обхода механизмов аутентификации, обычно в незащищенной сети, такой как Интернет, и установки бэкдорного приложения. Бэкдор также может быть побочным эффектом ошибки в легальном программном обеспечении, которую злоумышленник использует для получения доступа к компьютеру или сети жертвы.
Часто высказывалась идея, что производители компьютеров предварительно устанавливают бэкдоры в свои системы для оказания технической поддержки клиентам, но это никогда не было надежно проверено. В 2014 году сообщалось, что правительственные агентства США перенаправляли компьютеры, купленные теми, кого считали «целями», в секретные мастерские, где было установлено программное или аппаратное обеспечение, обеспечивающее удаленный доступ агентства, что считается одной из наиболее продуктивных операций по получению доступа к сетям вокруг. мир. [40] Бэкдоры могут быть установлены с помощью троянских коней, червей , имплантатов или других методов. [41] [42]
Троянский конь выдает себя за обычную безвредную программу или утилиту, чтобы убедить жертву установить его. Троянский конь обычно несет в себе скрытую деструктивную функцию, которая активируется при запуске приложения. Этот термин происходит от древнегреческой истории о троянском коне, который тайно вторгся в город Трою . [43] [44]
Троянские кони обычно распространяются с помощью той или иной формы социальной инженерии , например, когда пользователя обманом заставляют выполнить вложение электронного письма, замаскированное под ничего подозрительного (например, заполнение стандартной формы), или путем загрузки с диска . Хотя их полезная нагрузка может быть любой, многие современные формы действуют как бэкдор, связываясь с контроллером (звоня домой), который затем может иметь несанкционированный доступ к зараженному компьютеру, потенциально устанавливая дополнительное программное обеспечение, такое как кейлоггер, для кражи конфиденциальной информации, программное обеспечение для криптомайнинга или рекламное ПО. для получения дохода оператору трояна. [45] Хотя троянские кони и бэкдоры сами по себе нелегко обнаружить, компьютеры могут работать медленнее, выделять больше тепла или шуметь от вентиляторов из-за интенсивной загрузки процессора или сети, что может произойти, когда установлено программное обеспечение для майнинга криптовалют. Криптомайнеры могут ограничивать использование ресурсов и/или работать только во время простоя, пытаясь избежать обнаружения.
В отличие от компьютерных вирусов и червей, троянские кони обычно не пытаются внедряться в другие файлы или иным образом распространяться. [46]
Весной 2017 года пользователи Mac пострадали от новой версии трояна Proton Remote Access (RAT) [47] , обученного извлекать данные паролей из различных источников, таких как данные автозаполнения браузера, связка ключей Mac-OS и хранилища паролей. [48]
Дропперы — это подтип троянов, единственная цель которых — доставить вредоносное ПО в заражаемую ими систему, стремясь помешать обнаружению посредством скрытности и небольшой полезной нагрузки. [49] Важно не путать дроппер с лоадером или стейджером. Загрузчик или промежуточный модуль просто загружает расширение вредоносного ПО (например, набор вредоносных функций посредством рефлексивного внедрения библиотеки динамической компоновки) в память. Цель состоит в том, чтобы сделать начальную стадию легкой и незаметной. Дроппер просто загружает в систему дополнительные вредоносные программы.
Программа-вымогатель не позволяет пользователю получить доступ к своим файлам до тех пор, пока не будет выплачен выкуп. Существует две разновидности программ-вымогателей: программы-вымогатели для шифрования и программы-вымогатели для шкафчиков. [50] Программа-вымогатель Locker просто блокирует компьютерную систему, не шифруя ее содержимое, тогда как программа-шифровальщик блокирует систему и шифрует ее содержимое. Например, такие программы, как CryptoLocker , надежно шифруют файлы и расшифровывают их только после уплаты значительной суммы денег. [51]
Некоторые вредоносные программы используются для получения денег путем мошенничества с кликами , создавая впечатление, что пользователь компьютера нажал на рекламную ссылку на сайте, получая платеж от рекламодателя. По оценкам, в 2012 году от 60 до 70% всех активных вредоносных программ использовали тот или иной вид мошенничества с кликами, а 22% всех кликов по рекламе были мошенническими. [52]
Экраны блокировки или шкафчики экрана — это разновидность программы-вымогателя «киберполиции», которая блокирует экраны на устройствах Windows или Android по ложному обвинению в сборе незаконного контента, пытаясь напугать жертв и заставить их заплатить комиссию. [53] Jisut и SLocker влияют на устройства Android больше, чем другие экраны блокировки: на долю Jisut приходится почти 60 процентов всех обнаружений программ-вымогателей для Android. [54]
Программы-вымогатели, основанные на шифровании, как следует из названия, представляют собой тип программ-вымогателей, которые шифруют все файлы на зараженном компьютере. Эти типы вредоносных программ затем отображают всплывающее окно, информирующее пользователя о том, что его файлы зашифрованы и что он должен заплатить (обычно в биткойнах) за их восстановление. Некоторыми примерами программ-вымогателей на основе шифрования являются CryptoLocker и WannaCry . [55]
Нежелательное ПО — это любое нежелательное приложение или файл, которые могут ухудшить производительность компьютеров и создать угрозу безопасности, но по которым недостаточно консенсуса или данных, чтобы классифицировать их как вредоносные программы. [33] Типы «серого» ПО обычно включают в себя шпионское ПО , рекламное ПО , мошеннические программы дозвона , программы-шутки («шуточные программы») и инструменты удаленного доступа . [39] Например, в какой-то момент компакт-диски Sony BMG незаметно установили руткит на компьютеры покупателей с целью предотвращения незаконного копирования. [56]
Потенциально нежелательные программы (ПНП) — это приложения, которые считаются нежелательными, несмотря на то, что они часто намеренно загружаются пользователем. [57] К ПНП относятся шпионское ПО, рекламное ПО и мошеннические программы дозвона.
Многие продукты безопасности классифицируют неавторизованные генераторы ключей как ПНП, хотя они часто несут в себе настоящие вредоносные программы помимо своей мнимой цели. [58] Фактически, Kammerstetter et al. (2012) [58] подсчитали, что до 55% генераторов ключей могут содержать вредоносное ПО и что около 36% генераторов вредоносных ключей не обнаруживаются антивирусным программным обеспечением.
Некоторые типы рекламного ПО (использующие украденные сертификаты) отключают защиту от вредоносных программ и вирусов; есть технические средства защиты. [59]
Программы, предназначенные для мониторинга просмотра веб-страниц пользователями, отображения нежелательной рекламы или перенаправления доходов от партнерского маркетинга, называются шпионскими программами . Шпионские программы не распространяются подобно вирусам; вместо этого они обычно устанавливаются с использованием дыр в безопасности. Их также можно скрыть и упаковать вместе с несвязанным программным обеспечением, установленным пользователем. [60] Руткит Sony BMG был предназначен для предотвращения незаконного копирования; но также сообщал о привычках пользователей прослушивать и непреднамеренно создавал дополнительные уязвимости безопасности. [56]
Антивирусное программное обеспечение обычно использует два метода обнаружения вредоносного ПО: (i) статический анализ и (ii) динамический/эвристический анализ. [61] Статический анализ предполагает изучение программного кода потенциально вредоносной программы и создание подписи этой программы. Эта информация затем используется для сравнения файлов, отсканированных антивирусной программой. Поскольку этот подход бесполезен для еще не изученных вредоносных программ, антивирусное программное обеспечение может использовать динамический анализ, чтобы отслеживать, как программа работает на компьютере, и блокировать ее, если она выполняет непредвиденную активность.
Целью любого вредоносного ПО является сокрытие от обнаружения пользователями или антивирусным программным обеспечением. [1] Обнаружение потенциального вредоносного ПО затруднено по двум причинам. Во-первых, сложно определить, является ли программное обеспечение вредоносным. [33] Во-вторых, вредоносное ПО использует технические меры, чтобы затруднить его обнаружение. [61] По оценкам, 33% вредоносных программ не обнаруживаются антивирусным программным обеспечением. [58]
Наиболее часто используемый метод защиты от обнаружения включает шифрование полезной нагрузки вредоносного ПО, чтобы антивирусное программное обеспечение не могло распознать подпись. [33] Такие инструменты, как шифровальщики, поставляются с зашифрованным фрагментом вредоносного кода и заглушкой для расшифровки. Заглушка расшифровывает большой двоичный объект и загружает его в память. Поскольку антивирус обычно не сканирует память, а сканирует только файлы на диске, это позволяет вредоносному ПО избежать обнаружения. Усовершенствованное вредоносное ПО обладает способностью трансформироваться в различные варианты, что снижает вероятность его обнаружения из-за различий в его сигнатурах. Это известно как полиморфное вредоносное ПО. Другие распространенные методы, используемые для уклонения от обнаружения, включают, от обычных до редких: [62] (1) уклонение от анализа и обнаружения путем снятия отпечатков пальцев окружающей среды при выполнении; [63] (2) запутанность методов обнаружения автоматизированных инструментов. Это позволяет вредоносному ПО избежать обнаружения такими технологиями, как антивирусное программное обеспечение на основе сигнатур, путем изменения сервера, используемого вредоносным ПО; [62] (3) уклонение на основе времени. Это когда вредоносное ПО запускается в определенное время или после определенных действий, предпринятых пользователем, поэтому оно выполняется в определенные уязвимые периоды, например, во время процесса загрузки, оставаясь при этом бездействующим в остальное время; (4) запутывание внутренних данных, чтобы автоматизированные инструменты не могли обнаружить вредоносное ПО; [64] (v) методы сокрытия информации, а именно стего-вредоносное ПО ; [65] и (5) бесфайловое вредоносное ПО, которое работает в памяти вместо использования файлов и использует существующие системные инструменты для выполнения вредоносных действий. Использование существующих двоичных файлов для осуществления вредоносных действий — это метод, известный как LotL, или «Жизнь за счет земли». [66] Это уменьшает количество криминалистических артефактов, доступных для анализа. В последнее время эти типы атак участились: в 2017 году их рост составил 432%, а в 2018 году они составили 35% атак. Такие атаки нелегко осуществить, но они становятся все более распространенными с помощью наборов эксплойтов. [67] [68]
Уязвимость — это слабость , недостаток или программная ошибка в приложении , компьютере в целом, операционной системе или компьютерной сети , которая используется вредоносным ПО для обхода защиты или получения привилегий , необходимых для запуска. Например, TestDisk 6.4 или более ранней версии содержал уязвимость, позволяющую злоумышленникам внедрить код в Windows. [69] Вредоносное ПО может использовать дефекты безопасности ( ошибки безопасности или уязвимости ) в операционной системе, приложениях (таких как браузеры, например, старые версии Microsoft Internet Explorer, поддерживаемые Windows XP [70] ) или в уязвимых версиях плагинов браузера, таких как Adobe Flash Player , Adobe Acrobat или Reader или Java SE . [71] [72] Например, распространенным методом является использование уязвимости переполнения буфера , когда программное обеспечение, предназначенное для хранения данных в указанной области памяти, не предотвращает подачу большего количества данных, чем может вместить буфер. Вредоносное ПО может предоставлять данные, которые переполняют буфер, с вредоносным исполняемым кодом или данными после окончания; когда к этой полезной нагрузке осуществляется доступ, она делает то, что определяет злоумышленник, а не законное программное обеспечение.
Вредоносное ПО может использовать недавно обнаруженные уязвимости до того, как разработчики успеют выпустить подходящий патч . [6] Даже если были выпущены новые исправления, устраняющие уязвимость, они не обязательно будут установлены немедленно, что позволяет вредоносным программам воспользоваться системами, в которых отсутствуют исправления. Иногда даже применение исправлений или установка новых версий не приводит к автоматическому удалению старых версий. Рекомендации по безопасности от поставщиков подключаемых модулей сообщают об обновлениях, связанных с безопасностью. [73] Распространенным уязвимостям присваиваются идентификаторы CVE и они вносятся в Национальную базу данных уязвимостей США . Secunia PSI [74] является примером программного обеспечения, бесплатного для личного использования, которое проверяет компьютер на наличие уязвимого устаревшего программного обеспечения и пытается его обновить. Другие подходы включают использование брандмауэров и систем предотвращения вторжений для отслеживания необычных моделей трафика в локальной компьютерной сети. [75]
Пользователям и программам может быть назначено больше привилегий , чем им требуется, и этим могут воспользоваться вредоносные программы. Например, из 940 выбранных Android-приложений треть из них запрашивала больше привилегий, чем требовалось. [76] Приложения, предназначенные для платформы Android , могут быть основным источником заражения вредоносным ПО, но одним из решений является использование стороннего программного обеспечения для обнаружения приложений, которым были назначены чрезмерные привилегии. [77]
Некоторые системы позволяют всем пользователям изменять свою внутреннюю структуру, и сегодня такие пользователи будут считаться пользователями с повышенными привилегиями . Это была стандартная рабочая процедура для ранних микрокомпьютерных и домашних компьютерных систем, где не было различия между администратором или пользователем root и обычным пользователем системы. В некоторых системах пользователи, не являющиеся администраторами, задуманы с повышенными привилегиями в том смысле, что им разрешено изменять внутренние структуры системы. В некоторых средах пользователи имеют избыточные привилегии, поскольку им ненадлежащим образом предоставлен статус администратора или эквивалентный статус. [78] Это может быть связано с тем, что пользователи склонны требовать больше привилегий, чем им нужно, поэтому часто в конечном итоге им назначают ненужные привилегии. [79]
Некоторые системы позволяют коду, выполняемому пользователем, получить доступ ко всем правам этого пользователя, что известно как код с повышенными привилегиями. Это также была стандартная рабочая процедура для первых микрокомпьютеров и домашних компьютерных систем. Вредоносное ПО, работающее как код с повышенными привилегиями, может использовать эту привилегию для подрыва системы. Почти все популярные в настоящее время операционные системы, а также многие скриптовые приложения предоставляют коду слишком много привилегий, обычно в том смысле, что когда пользователь выполняет код, система предоставляет этому коду все права этого пользователя.
Атака на учетные данные происходит, когда учетная запись пользователя с административными привилегиями взломана и эта учетная запись используется для предоставления вредоносному ПО соответствующих привилегий. [80] Как правило, атака успешна, поскольку используется самая слабая форма защиты учетной записи, которая обычно представляет собой короткий пароль, который можно взломать с помощью атаки по словарю или методом перебора . Использование надежных паролей и включение двухфакторной аутентификации может снизить этот риск. Если последний включен, даже если злоумышленник сможет взломать пароль, он не сможет использовать учетную запись, не имея токена, которым владеет законный пользователь этой учетной записи.
Однородность может быть уязвимостью. Например, когда все компьютеры в сети работают под управлением одной и той же операционной системы, при использовании одной из них один червь может использовать их все: [81] В частности, Microsoft Windows или Mac OS X занимают настолько большую долю рынка, что эксплуатируемая уязвимость концентрация на любой из операционных систем может подорвать работу большого количества систем. По оценкам, примерно 83% заражений вредоносным ПО в период с января по март 2020 года были распространены через системы под управлением Windows 10 . [82] Этот риск снижается за счет разделения сетей на разные подсети и установки межсетевых экранов для блокировки трафика между ними. [83] [84]
Программы защиты от вредоносных программ (иногда их также называют антивирусами ) блокируют и удаляют некоторые или все типы вредоносных программ. Например, Microsoft Security Essentials (для Windows XP, Vista и Windows 7) и Защитник Windows (для Windows 8 , 10 и 11 ) обеспечивают защиту в режиме реального времени. Средство удаления вредоносных программ Windows удаляет вредоносное программное обеспечение из системы. [85] Кроме того, несколько эффективных антивирусных программ доступны для бесплатной загрузки из Интернета (обычно они предназначены только для некоммерческого использования). [86] Тесты показали, что некоторые бесплатные программы могут конкурировать с коммерческими. [86] [87] [88]
Обычно антивирусное программное обеспечение может бороться с вредоносным ПО следующими способами:
Конкретный компонент антивирусного программного обеспечения, обычно называемый сканером при доступе или сканером в реальном времени, глубоко подключается к ядру или ядру операционной системы и функционирует аналогично тому, как некоторые вредоносные программы пытаются работать сами, хотя и с информированное разрешение пользователя на защиту системы. Каждый раз, когда операционная система обращается к файлу, сканер при доступе проверяет, заражен ли файл или нет. Обычно при обнаружении зараженного файла выполнение останавливается и файл помещается в карантин , чтобы предотвратить дальнейшее повреждение с целью предотвратить необратимое повреждение системы. Большинство антивирусов позволяют пользователям обойти это поведение. Это может оказать значительное влияние на производительность операционной системы, хотя степень влияния зависит от того, сколько страниц создается в виртуальной памяти . [91]
Поскольку многие компоненты вредоносного ПО устанавливаются в результате эксплойтов браузера или ошибок пользователя, использование защитного программного обеспечения (некоторые из которых являются антивредоносными, хотя многие и не являются таковыми) для «песочницы» браузеров (по существу изолируют браузер от компьютера и, следовательно, любого вредоносного ПО). вызванные изменения) также может быть эффективным средством ограничения любого причиненного ущерба. [90]
Сканирование уязвимостей веб-сайта проверяет веб-сайт, обнаруживает вредоносное ПО, может выявить устаревшее программное обеспечение и может сообщить об известных проблемах безопасности, чтобы снизить риск взлома сайта.
Структурирование сети как набора более мелких сетей и ограничение потока трафика между ними только заведомо легитимным может препятствовать способности инфекционного вредоносного ПО реплицироваться в более широкой сети. Программно-определяемые сети предоставляют методы реализации такого контроля.
В крайнем случае, компьютеры можно защитить от вредоносных программ, а риск распространения зараженными компьютерами достоверной информации можно значительно снизить, установив «воздушный зазор» (т.е. полностью отключив их от всех других сетей) и применив усиленный контроль над входом и выход программного обеспечения и данных из внешнего мира. Однако в некоторых ситуациях вредоносное ПО все же может преодолеть «воздушный разрыв», не в последнюю очередь из-за необходимости внедрения программного обеспечения в изолированную сеть, и может нанести ущерб доступности или целостности находящихся в ней активов. Stuxnet — это пример вредоносного ПО, которое попадает в целевую среду через USB-накопитель и наносит ущерб процессам, поддерживаемым в среде, без необходимости кражи данных.
AirHopper, [92] BitWhisper, [93] GSMem [94] и Fansmitter [95] — это четыре метода, предложенные исследователями, которые могут обеспечить утечку данных из компьютеров, изолированных от воздуха, с использованием электромагнитных, тепловых и акустических излучений.
Используя библиометрический анализ, изучение тенденций исследования вредоносного ПО с 2005 по 2015 год с учетом таких критериев, как влиятельные журналы, высокоцитируемые статьи, области исследований, производительность, частота ключевых слов, учреждения и авторы, выявило ежегодный темп роста 34,1%. Северная Америка лидирует по результатам исследований, за ней следуют Азия и Европа . Китай и Индия были определены как новые страны, вносящие вклад. [96]
Авторство первого компьютерного вируса принадлежит двум братьям Баситу Фаруку Алви и Амджаду Фаруку Алви из Пакистана.
Те, кто внедрил Raccoon, использовали фишинговые сообщения и другие уловки, чтобы заразить вредоносное ПО потенциально миллионы компьютеров жертв по всему миру.
После установки код предоставил доступ к учетным данным для входа и другим данным, хранящимся в скомпрометированной системе.
{{cite journal}}
: Требуется цитировать журнал |journal=
( помощь ){{cite journal}}
: Требуется цитировать журнал |journal=
( помощь )