Открыть сервис

Вредоносное ПО

Вредоносное программное обеспечение (вредоносное ПО, вредоносный код, malware) — это любое программное обеспечение, созданное с целью нанесения ущерба владельцу компьютерной системы, либо предназначенное для получения несанкционированного доступа к данным, их уничтожения, модификации или блокирования. Вредоносное ПО является разновидностью компьютерного мошенничества и нарушает тайну переписки, неприкосновенность частной жизни и авторские права. В отличие от легитимных программ, вредоносное ПО устанавливается, активируется и функционирует без ведома пользователя или при его введении в заблуждение.

Классификация и виды

Специалисты в области информационной безопасности и криминалистики классифицируют вредоносное ПО по способу распространения, методу заражения, цели воздействия и типу наносимого ущерба.

По способу распространения и внедрения

По цели воздействия

История и эволюция

Первые известные случаи вредоносного ПО относятся к началу 1970-х годов. Программа «Creeper», созданная Бобом Томасом в 1971 году, была самореплицирующимся кодом, который перемещался по сети ARPANET, выводя сообщение: «I’m the creeper, catch me if you can!». Однако её нельзя считать злонамеренной — она была экспериментальной. Первым настоящим вирусом, вызывавшим разрушения, считается «Elk Cloner» (1982), распространявшийся на дискетах для Apple II.

Развитие интернета в 1990-х годах привело к взрывному росту вредоносного ПО. Вирус «Melissa» (1999) продемонстрировал эффективность электронной почты как вектора заражения. В середине 2000-х годов широкое распространение получили черви («Mydoom», «Sasser», «Conficker»), поражавшие миллионы компьютеров по всему миру. Следующий этап — появление целенаправленных атак на корпоративные системы и государственные структуры (например, «Stuxnet» — компьютерный червь, обнаруженный в 2010 году, который успешно поразил иранские центрифуги обогащения урана, продемонстрировав способность кибероружия влиять на физические объекты). В 2010-х годах доминирующей угрозой стали программы-вымогатели.

Принципы работы и методы заражения

Векторы заражения

Методы противодействия обнаружению

Для затруднения обнаружения антивирусами и системами анализа, разработчики вредоносного ПО применяют:

Системы обнаружения и защиты

Антивирусные программы

Основой защиты долгое время оставались сигнатурные методы — анализ исполняемого файла на совпадение с известными образцами (сигнатурами) вредоносного кода. Современные решения дополняются эвристическим анализом (динамический анализ поведения в изолированной среде) и эмуляцией кода. Например, Windows Defender (встроенное защитное решение в ОС Windows), Kaspersky Internet Security, ESET NOD32, Dr.Web.

Несигнатурные методы

Для обнаружения неизвестных угроз и сложных атак (например, программ-вымогателей до момента публикации сигнатуры) используются: машинное обучение (нейронные сети анализируют поведение сотен тысяч образцов), поведенческий анализ (мониторинг действий программы в реальном времени: последовательность API-вызовов, создание процессов, запись в автозагрузку), облачные технологи (G DATA, F-Secure).

Профилактические меры

Помимо использования антивирусов, к основным способам защиты относятся:

Правовой статус и борьба с вредоносным ПО в России

В Российской Федерации ответственность за создание, использование и распространение вредоносного ПО предусмотрена Уголовным кодексом РФ, прежде всего статьёй 273 «Создание, использование и распространение вредоносных компьютерных программ» (максимальное наказание — лишение свободы на срок до семи лет). Под понятие вредоносного ПО подпадают программы, заведомо предназначенные для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты.

Также в России существует «Единый реестр вредоносных информационных ресурсов» (поддерживаемый Роскомнадзором), куда вносятся сайты и файлы, содержащие вредоносное ПО, для их блокировки на территории страны. Исключение составляет деятельность антивирусных лабораторий и исследователей информационной безопасности, действующих в рамках закона и с согласия сторон.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →