-
Еще раз классификация угроз для вашего компьютера
Каждому из нас не раз приходилось сталкиваться с различными угрозами для безопасности личной информации. Попробуем классифицировать вредоносное программное обеспечение.
Количество всевозможных угроз для пользователя, работающего за компьютером, впечатляет. Существует множество вирусов, шпионского программного обеспечения, "троянского" софта, сетевых и почтовых "червей" и т.д. Рассмотрим подробнее каждый из этих видов.
Вирусы
Программы, заражающие другие программы путем добавления в них своего кода, чтобы получить управление при запуске зараженных файлов. Скорость распространения вирусов немного ниже, чем у червей.
"Троянские" программы
Строго говоря, данная категория программ может быть отнесена к вирусам. В нее входят программы, осуществляющие различные действия, не санкционированные пользователем: сбор информации и ее передачу злоумышленнику, разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера, использование ресурсов компьютера в своих целях.
Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособности зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети).
Черви
Данная категория вредоносного ПО не дописывается к исполнимому коду, а рассылает себя на сетевые ресурсы. К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:
проникновения на удаленные компьютеры;
запуска своей копии на удаленном компьютере;
дальнейшего распространения на другие компьютеры сети.
Для своего распространения сетевые черви используют всевозможные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.
Большинство известных сетевых червей распространяется в виде файлов: вложений в электронные письма, ссылок на зараженный файл на каком-либо веб- или FTP-ресурсе, в ICQ- и IRC-сообщениях, в виде файла в каталоге обмена P2P и т.п.
Некоторые сетевые черви (так называемые "бесфайловые" или "пакетные") распространяются в виде сетевых пакетов, проникая непосредственно в память компьютера и активизируя свой код.
Для проникновения на удаленные компьютеры и запуска своей копии сетевые черви используют различные методы: приемы социального инжиниринга (например, сопровождение электронным письмом, призывающим открыть вложенный файл), недочеты в конфигурации сети (к примеру, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и их приложений.
Некоторые сетевые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, содержат троянские функции или способны заражать выполняемые файлы на локальном диске, то есть имеют свойства троянской программы и/или компьютерного вируса.
Хакерские утилиты
Программы, предназначенные для нанесения какого-либо вреда программному обеспечению (подбор паролей, удаленное управление и т.д.). Программы данного класса не являются ни вирусами, ни "троянскими конями" и не наносят вреда компьютерам, на которых они установлены, но при этом могут использоваться для проведения атаки на другие компьютеры и на чужую информацию.
К данной категории программ относятся:
утилиты автоматизации создания сетевых червей, компьютерных вирусов и троянских программ (так называемые "конструкторы");
программные библиотеки, разработанные для создания вредоносного ПО;
хакерские утилиты сокрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов).
Программы-шпионы (spyware)
Программное обеспечение, использование которого может нанести вред информации пользователя. Под термином "spyware" в подавляющем большинстве случаев подразумевается целое семейство программ, в которое входят программы дозвона, утилиты для закачивания файлов из интернета, различные серверы (FTP, Proxy, Web, Telnet), IRC-клиенты, средства мониторинга, PSW-утилиты, средства удаленного администрирования, программы-шутки. Иногда в семейство spyware включают еще и рекламные коды (adware), которые могут демонстрировать рекламные сообщения, подставлять, изменять результаты поиска и любыми доступными способами продвигать рекламируемый сайт.
Если подходить к терминологической проблеме академически, то все перечисленные выше типы программ следует называть "riskware". На русском языке это слово означает "условно опасные программы" — то есть такие, которые могут причинить вред информации пользователя.
Реактивная защита
В настоящее время большинство программного обеспечения, применяющегося в секторе защиты информации, можно отнести к так называемому уровню реактивной защиты — то есть необходимо хотя бы одно заражение, чтобы добавить описание (сигнатуру) угрозы к существующим базам угроз. Это в полной мере относится и к антивирусной защите, и к персональным межсетевым экранам.
Работа антивирусов и персональных межсетевых экранов основывается на использовании известных сигнатур вирусов (атак). При этом периодически базы обновляются.
Превентивная защита
Превентивная защита заключается в том, что проводится не анализ кода объекта, а анализ его поведения. Причем не важно, какая это угроза — вирус, "троянская" программа, хакерская атака или другое.
Данный тип защиты является незаменимым при новых угрозах, сигнатур которых еще нет в базах.
Источник: http://cpp.com.ua
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 68
Сообщение от
SDA
Работа антивирусов и персональных межсетевых экранов основывается на использовании известных сигнатур вирусов (атак). При этом периодически базы обновляются.
Превентивная защита
Превентивная защита заключается в том, что проводится не анализ кода объекта, а анализ его поведения. Причем не важно, какая это угроза — вирус, "троянская" программа, хакерская атака или другое.
Источник:
http://cpp.com.ua
Ага-ага...
А не замучился я б настраивать файрволлы, прописывая в них только denied порты?
Или drop-пакеты на порты...
-
Для превентивной защиты фаервола не нужно прописывать порты или пакеты, есть так называемый фаервол ОС, кстати реализован в частности в 6 версии ZoneAlarm, называется Технология OSFirewall добавленная в дополнение к своим межсетевым экранам сетевого и программного уровня:
предназначенна для защиты от угроз на уровне ядра, таких как шпионское ПО, троянцы, регистраторы нажатий клавиш и руткиты (rootkits), тщательно проверяет внутренние вычислительные ресурсы: жизненно важные файлы, ключи системного реестра и процессы запуска в ядре ПК. Она уходит ниже уровня пользователя, исследуя взаимодействие между компьютерными приложениями, предотвращая чтение данных из памяти и загрузку вредоносных драйверов и сервисов злоумышленников.
Технология OSFirewall защищает легитимные программы и предотвращает программный саботаж или хакерство. Она не только блокирует традиционные атаки, но и не позволяет удаленным программам, которые могут прятаться в легитимно загружаемом ПО, выполнять враждебные действия с целью кражи персональной информации или ресурсов компьютера.
-
Ответить с цитированием
