Читаем Защити свой компьютер на 100% от вирусов и хакеров полностью

В контексте других операционных систем, и прежде всего Windows, rootkit следует рассматривать как программный код или технику, позволяющую скрыть самые разнообразные объекты (процессы, файлы и т. д.). В простейшем случае под rootkit можно понимать любое вредоносное ПО, использующее продвинутые техники для своего сокрытия в системе (более подробную информацию о руткитах вы можете получить в подразд. "Руткит-технологии" разд. 5.3 следующей главы).

Если средой распространения вирусов можно считать файловую систему операционной системы, то средой распространения червей является сеть. Сетевые черви для своего распространения могут использовать самые разнообразные из сетей/ сетевых технологий:

Интернет и электронная почта;

системы обмена мгновенными сообщениями;

файлообменные сети типа P2P;

IRC-сети;

LAN-сети;

сети мобильных устройств (телефоны, карманные компьютеры) и т. д.

Черви, так же как и вирусы, распространяются в виде исполняемых файлов, но некоторые из них ("пакетные" черви) существуют как набор пакетов.

Чтобы инфицировать удаленную систему, черви могут использовать самые разнообразные технологии, но самым популярным и по сей день остается проникновение посредством брешей в системе безопасности операционной системы и сетевых приложений.

Ярким примером червя является MS Blast, наделавший в свое время много шума.

Кратко рассмотрим некоторые из разновидностей червей.

E-mail-Worm – почтовые черви. Как оно и следует из названия, черви данного типа распространяются, используя возможности электронной почты. Запустившись на локальном компьютере (такое часто происходит, если пользователь безответственно относится к прикрепленным файлам, пришедшим невесть от кого и откуда), такие черви автоматически сканируют содержимое жесткого диска в поиске новых адресов электронных почтовых ящиков, чтобы отправить свои копии.

IM-Worm – черви, использующие интернет-пейджеры. Данная категория червей для своего распространения активно использует список контактов интернет-пейджера.

IRC-Worm – черви в IRC-каналах. Для своего распространения используют IRC-каналы.

P2P-Worm – черви для файлообменных сетей. Черви данной категории распространяются по Р2Р-сети банальным копированием своих копий в общедоступные каталоги.

Эксплоит (Exploit), HackTool. К данной категории относят утилиты, предназначенные (особенно касается эксплоитов) для выполнения произвольного кода либо DoS (Denial of Service – отказ в обслуживании) на удаленной системе. Эксплоит, как правило, – программа на C++, PHP либо Perl-сценарий, использующий уязвимость операционной системы либо приложения, установленного на атакуемом компьютере. HackTool – более широкое понятие, подразумевающее какой-либо инструмент, используемый хакером для взлома (см. рис. 4.3).

Constructor – конструкторы вирусов и троянских коней. Программы подобного типа способны генерировать как исходные тексты вирусов, так и непосредственно сами исполняемые файлы. Как правило, инструменты подобного рода включают в себя модули самошифровки, противодействия отладчику и другие инструменты против обнаружения антивирусной программой.

FileCryptor, PolyCryptor – сокрытие от антивирусных программ. К данной категории относят утилиты, способные шифровать вирусный код, делая его неузнаваемым со стороны антивирусных программ (более подробно о сокрытии вирусного кода читайте в разд. 5.3).

Nuker – фатальные сетевые атаки. Утилиты данного типа способны организовать удаленный отказ в обслуживании системы (DoS) путем отправки на удаленный хост специальным образом сформированного запроса (серии запросов). Как пример – SmbDie, реализующий уязвимость службы NetBios.

Bad-Joke, Hoax – злые шутки, введение пользователя в заблуждение. К данной категории относят, по сути, безвредные программы, способные выводить различного рода неординарные сообщения (например, о форматировании диска, хотя никакого форматирования на самом деле не происходит).

Совершенный антивирус – утопия или продукт ближайшего будущего?