Основные виды вирусных программ

Discussion in 'Статьи' started by yourcoder, 14 Jul 2019.

  1. yourcoder

    yourcoder New Member

    Joined:
    8 Jul 2019
    Messages:
    31
    Likes Received:
    1
    Reputations:
    0
    а на них пацанов с нашим 16 летним языком работают структуры а не мы на них в этом и разница тех красных пацанов и наших чёрных и всё.


    может вы говорите грамотней и красиво но по сути зловреда не чего не было сказано.
    а тока комментирование чужих слов.


    не чего личного друг.
     
  2. slesh

    slesh Elder - Старейшина

    Joined:
    5 Mar 2007
    Messages:
    2,704
    Likes Received:
    1,224
    Reputations:
    455
    Не читал комменты, так что могу повторить, но блин куда качится ачат? Статья - полнейшая перепечатка тупых книг по основам ИБ. Может быть в терминологии всё и правильно, но на практике всё по другому:

    С практической точки зрения (если рассматривать только Windows и только во вредоносном контекста, всякие слежки со стороны спецслужб и работодателей тут не рассматриваются):
    1) Буткиты - это всё те же руткиты, но стартуют намного раньше чем сама винда. По факту из BOOT сектора или MBR. В настоящий момент это уже исторический рудимент, потому что функционировать адекватно они уже не могут.
    После появления UEFI, а с ним и GPT разделов тупо нет возможностей запускаться адекватно. А всё из-за того что загрузчики из GPT должны иметь цифровую подпись которую проверяет UEFI.
    Так что они будут работать только на старых компах или же где комп принудительно переведен на совместимость с BIOS и загрузочные винты размечены под MBR

    2) Руткиты - по факту это никакие не маскировщики. Это только показатель того что они работают в "root режиме" по факту на уровне ядра ОС. И то что они там работают может давать им дополнительную возможность по маскировке, но другое дело - используется она или нет. Вообще на уровне ядра возможностей очень много, но ограничений еще больше (Native API only и огромные танцы с бубном для работы с сетью). А еще низкоуровневая работа ведет к тому, что требуется поддержка каждой версии ОС. Были очень актуальный на Win XP. Далее на Win7 актуальность резко начала падать (когда MS начали закручивать гайки) и в итоге под Win10 вообще толку от них стало мало, а всё потому что:
    - все старые дыры залатали и попасть нелегально в режим ядра из usermode стало почти не реально. Возможно есть эксплоиты, но довольно быстро всё патчат + антивири быстро сигнатуры их замечают
    - использования драйверов - требует цифровую подпись для них, либо перевода винды в тестовый режим. Это конечно не проблема, но нужный полный права админа (привет UAC)
    - на последних версиях винды все важные структуры ядра защищены и изменить их просто так не получится, а следовательно скрыть свою работу намного сложнее. Максимум что можно - скрыть себя через стандартные функции (фильтрации) который сделаны больше для поддержки работы антивирей. Но использование этих функций уже выдает руткит.
    - для любого руткита самая важная задача - закрепление в системе, а не скрытая работа. Именно по этому они когда-то эволюционировали в буткиты. И вот с точки зрения закрепления - это печаль-беда. Любой антивирь может проверить места автозагрузки через низкоуровневый доступ к реестру или винту. И как ты не прикрывай свои файлы - всё можно прибить (не забывайте что у антивирей есть свои драйвера).
    - еще есть она очень интересная аномалия - чем лучше ты себя скрываешь - тем больше шанса что тебя найдут. Долго расписывать это момент. Но аналогия с тем что - легче затеряться в крупном городе, чем спрятаться в далеком селе.
    Насчет функциональности руткитов - да она может быть абсолютно любой (лоадеры, ддос, спам бота). Ну и конечно может быть и чисто сокрытие работы другова нелегального софта.

    3) Черви - может во времена offline так и было как указано, на деле ничего они не захламляют. Их главная задача попасть на другой компьютер. Как самостоятельная программа в дикой природе не встречается (ну разве что в академических целях или баловства). На деле же черви это "руки" троянов и лоадеров которые тянутся к другим компам. И чаще всего этот часть функционала (т.н. модуль) более крупных вредоносных систем.

    4) Spyware - в настоящий момент под троянами подразумевают именно их. И в отличии от троянов (как тут описано было) - они самые опасные. И в настоящий момент среди всей малвари они на первом месте по использованию. Более того они могут быть активными и пассивным. Активный постоянно мониторят действия пользователя к прим относятся
    - кейлогеры - запоминают что что человек в водит. Как самостоятельная единица - бесполезная вещь.
    - формграберы - перехватывают сетевой трафик, получая данные об авторизации пользователей. При добавлении к ним системы инжектов (возможности на лету править трафик) автоматически переходят в класс банковских троянов - самый вредоносных из малвари.

    Пассивные - один раз (или по расписанию) выполняют получение нужной информации. В частности это:
    - стиллеры паролей - старый добрый пинч и пони и их современные последователи - тупо дергают пароли из хранилишь и файлов браузера. Отличительная черта - они не работают постоянно.
    - файл граберы - ищут на компах нужные файлы и отсылают их (это могут быть файлы куков, файлы кошельков итд)
    Обычно оба функционала объединяются в единую систему.
    Важно отметить то что в чистом виде и самостоятельно пассивные (как это было раньше) в настоящее время практически не используются, т.к. с развитием VPN, сертификатов и различных систем опознавания подозрительной активности - просто уже не заюзать эту информацию. По крайней мере в коммерческих целях. (угнать было и контактик не считается)

    5) Блокировщики - несмотря на то что явление опасное, но оно носит стихийный характер. Вся сложность данных систем не в программной реализации, а в организации работы:
    - прием платежей
    - обналичивание
    - распространение в огромном количестве в платежеспособных странах.

    Данный класс можно делить на
    - блокировщики доступа - давно изжили себя. Они добавлялись в автозагрузку и не давали себя закрыть. Попутно могли устрашать пользователя всякими страшилками (типа смотрели ДП, скачали нелегальное, спамили)
    - шифровальщики - пожалуй самое опасное - всё банально - зашифровать файлы и требовать выкуп.

    С развитием криптовалют как раз и началась вторая волна блокировщиков т.к. можно было легко и безопасно организовать прием выкупа и вывод в нал. Но в это время трафик платежеспособных страны подорожал на столько, что для организации полноценной компании требовались солидные деньги так что это уберегло мир от всяких школьников.

    6) Зомби - самый спорный момент потому что функциональность данного класса настолько разнообразна что может включать в себя почти все другие виды малвари, к тому же может быть всего лишь промежуточным звеном или посредником для другой малвари
    Ну если рассматривать их то это:
    - спам боты - с распространением антиспам системы становятся всё менее актуальны
    - ддос боты
    - прокси боты - довольно востребованная вещь, но самостоятельно уже нее используется давно
    - резидентные лоадеры - по факту главная задача - загружать на комп другую малварь

    7) Фейки - не многочисленный но всё же класс малвари. Началось всё с фейковых антивирей, которые "внезапно" появлялись на компе и даже "находили" вири, но требовали купить лицензию чтобы можно было удалить вири.
    С огромным распространением соцсетей стали появляться узконаправленный фейки. К примеру прога Для доступа к закрытым фоткам контактика. Чаще всего специализировались для получения паролей от этих соц сете, чтобы потом рассылать спам или занимать деньги.

    8) RAT - системы удаленного доступа. самая востребованная часть это так называемые Hidden VNC - доступ к компьютеру параллельно с пользователем. А это это для того чтобы можно было использовать его браузер, тем самым обходят многие системы безопасности.

    Остальное как-то лень расписывать.

    Вообще в настоящее время четкого разделения уже почти не осталось. И каждый класс малвари стал отдельным инструментом для крупной "мастерской" по добыванию денег. Если раньше многих двигал энтузиазм, то сейчас только нажива. К тому же раньше дыр было много, трафик дешевый - это был простор для экспериментов. Сейчас же всего этого нет и именно по этому начали строиться целые системы которые должны делать всё и
    "отбивать" каждую вложенную копейку. А так как мир не стоит на месте, то системы должны быть очень гибкие, чтобы в короткий срок в нужное русло.

    По этому сейчас всё строится на основе лоадера который сидит в системе и ждет пока ему дадут модуль. А вот модули (используются все разом) обычно это:
    - формграбер + инжектор
    - грабер паролей
    - прокси
    - RAT
    - червь
    итд

    Данная тема настолько объемная что можно писать целую книгу.
     
    #42 slesh, 3 Oct 2019
    Last edited: 3 Oct 2019
  3. DM_i

    DM_i New Member

    Joined:
    17 Jan 2020
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Количество вирусов увеличивается с каждым днем. Бесплатные антивирусы с ними не справляются
     
  4. Robert Goldenowl

    Robert Goldenowl New Member

    Joined:
    19 Sep 2017
    Messages:
    10
    Likes Received:
    2
    Reputations:
    0
    Помню, гуляла зараза "penetrator". Все медиафайлы хавала. Вот это жестяковая была вещь. *это во время того как интернет был еще не в каждом чайнике
     
  5. omne999666

    omne999666 Banned

    Joined:
    12 Jul 2019
    Messages:
    14
    Likes Received:
    6
    Reputations:
    0
    Не устанавливал антивирусную программу не одного раза.
    А вот пароли уже по сложнее делаю.
     
  6. b0t0v0d

    b0t0v0d New Member

    Joined:
    22 Apr 2020
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Loader - самый распространненный тип малвари. После заражения через него загружаются любые дополнительные функции.
     
Loading...
Similar Threads - Основные виды вирусных
  1. taha
    Replies:
    4
    Views:
    4,092
  2. DIAgen
    Replies:
    8
    Views:
    16,971
  3. dinar_007
    Replies:
    12
    Views:
    31,621