- •Угрозы информационной безопасности Российской Федерации. Внутренние и внешние источники угроз.
- •Информационное оружие. Информационная война.
- •Понятие угрозы. Факторы, воздействующие на информацию. Виды и классификация угроз информационной безопасности .
- •Охарактеризовать угрозы нарушения конфиденциальности, целостности, доступности и раскрытия параметров автоматизированной системы.
- •Классификация угроз
- •5. Нарушитель информационной безопасности автоматизированной системы. Модель нарушителя иб ас.
- •7. Угрозы сетевой безопасности. Основные виды сетевых атак.
- •8. Атака на ас. Уязвимость. Модель атаки. Результаты реализации компьютерных атак.
- •9. Типовые признаки компьютерных атак. Основные варианты реализации.
- •10. Этапы реализации компьютерных атак. Основное содержание этапов.
- •11. Классификация угроз безопасности распределенных вычислительных систем
- •По характеру воздействия:
- •2) По цели воздействия:
- •3) По условию начала осуществления воздействия.
- •4) По наличию обратной связи с атакуемым объектом:
- •5) По расположению субъекта атаки относительно атакуемого объекта:
- •6) По уровню эталонной модели iso/osi, на котором осуществляется воздействие:
- •12. Анализ причин успешного проведения атак на ресурсы компьютерных сетей.
- •13. Дать определение вредоносной программы. Основные виды разрушающих программных воздействий.
- •14. Определение вируса. Стадии жизненный цикла вирусных программ. Виды вирусов.
- •15. Сетевые черви. Стадии жизненного цикла. Типы червей.
- •16. Трояны. Стадии жизненного цикла троянов. Типы троянского программного обеспечения
- •17. Виды вредоносных программ, не относящихся к вирусам, червям и троянам. Прочие угрозы
- •Вредоносное по
- •Дополнительные возможности
- •18. Угрозы безопасности парольных систем. Основные способы получения пароля злоумышленником.
- •19. Рекомендации по практической реализации парольных систем.
- •20. Подробно разобран в следующих вопросах.
- •21. Дать определение программам Кейлоггерам. Назначение. Возможности.
- •22. Уровни модели osi.
- •23. Уровни стека протоколов тср/iр.
- •24. Наиболее распространенные виды сетевых атак.
- •25. Сниффинг, перехват пароля.
- •26. Анализ сетевого трафика, «посредничество».
- •27. Атаки типа «человек в середине». Перехват сеанса.
- •28. Атаки типа «отказ в обслуживании», DoS.
- •29. Атаки на уровне приложений. Злоупотребление доверием.
- •Злоупотребление доверием
- •30. Сетевая разведка.
- •Основные уязвимости и угрозы беспроводных сетей.
- •33. Методы обнаружения и удаления компьютерных вирусов
- •35. Основные понятия и определения модели угроз безопасности персональных данных в испДн.
- •Термины и определения
- •36. Классификация угроз безопасности персональных данных.
- •37. Угрозы утечки информации по техническим каналам.
- •38. Общая характеристика источников угроз несанкционированного доступа в информационной системе персональных данных.
- •39. Общая характеристика уязвимостей системного и прикладного программного обеспечения. Общая характеристика уязвимостей системного программного обеспечения
- •Общая характеристика уязвимостей прикладного программного обеспечения
- •40. Характеристика основных видов угроз испДн (непосредственного доступа в операционную среду, угроз, реализуемых с использованием протоколов межсетевого взаимодействия).
- •41. Общая характеристика угроз программно-математических воздействий.
- •42. Общая характеристика нетрадиционных информационных каналов
- •43. Общая характеристика результатов несанкционированного или случайного доступа
- •44. Основные виды и характеристики типовых моделей угроз в испДн.
- •45. Порядок определения актуальных угроз безопасности персональных данных в информационных системах персональных данных
- •49. Основные требования к обеспечению безопасности персональных данных в ас. Особенности обеспечения безопасности персональных данных в автоматизированных системах
- •50. Методы и способы защиты информации от несанкционированного доступа
- •51. Методы и способы защиты информации от несанкционированного доступа в зависимости от класса информационной системы.
- •52. Методы и способы защиты информации от утечки по техническим каналам.
30. Сетевая разведка.
Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате он добывает информацию, которую можно использовать для взлома.
Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, то вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования — просто это займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.
Основные уязвимости и угрозы беспроводных сетей.
Шесть основных беспроводных рисков
Риск первый – «чужаки» (Rogues)
«Чужаками» называются устройства, предоставляющие возможность неавторизованного доступа к корпоративной сети, зачастую в обход механизмов защиты, определенных корпоративной политикой безопасности. Чаще всего это те самые самовольно установленные точки доступа. Статистика по всему миру указывает на чужаков как на причину большинства взломов сетей организаций. Даже если организация не использует беспроводную связь и считает себя в результате такого запрета защищенной от беспроводных атак, внедренный (умышленно или нет) чужак с легкостью исправит это положение (рис. 1). Доступность и дешевизна устройств Wi-Fi привели к тому, что в США, например, практически каждая сеть с числом пользователей более 50 успела столкнуться с данным феноменом.
Помимо точек доступа, в роли чужака могут выступить домашний маршрутизатор с поддержкой Wi-Fi, программная точка доступа Soft AP, ноутбук с одновременно включенными проводным и беспроводным интерфейсами, сканер, проектор и т. п.
Риск второй – нефиксированная природа связи
Как уже отмечалось, беспроводные устройства не «привязаны» кабелем к розетке и могут менять точки подключения к сети прямо в процессе работы. К примеру, могут происходить «случайные ассоциации», когда ноутбук с Windows XP (достаточно доверительно относящейся ко всем беспроводным сетям) или просто некорректно сконфигурированный беспроводной клиент автоматически ассоциируется и подключает пользователя к ближайшей беспроводной сети. Такой механизм позволяет злоумышленникам «переключать на себя» ничего не подозревающего пользователя для последующего сканирования уязвимостей, фишинга или атак типа Man-in-The-Middle. Кроме того, если пользователь одновременно подключен и к проводной сети, то он становится удобной точкой входа, т. е. классическим чужаком.
Многие пользователи ноутбуков, оснащенных Wi-Fi и проводными интерфейсами и недовольные качеством работы проводной сети (медленно, администратор поставил фильтрацию URL, не работает ICQ), любят переключаться на ближайшие зоны доступа. Или ОС делает это для них автоматически в случае, например, отказа проводной сети. Излишне говорить, что в такой ситуации все старания ИТ-отдела по обеспечению сетевой безопасности остаются безрезультатными.
Сети ad-hoc – одноранговые соединения между беспроводными устройствами без участия ТД – позволяют быстро перебросить файл коллеге или распечатать нужный документ на принтере с картой Wi-Fi. Однако такой способ организации сети не поддерживает большинство необходимых методов обеспечения безопасности, предоставляя злоумышленникам легкий путь ко взлому компьютеров пользователей.
Риск третий – уязвимости сетей и устройств
Некоторые сетевые устройства могут быть более уязвимы, чем другие: неправильно сконфигурированы, используют слабые ключи шифрования или методы аутентификации с известными уязвимостями. Неудивительно, что в первую очередь злоумышленники атакуют именно их. Отчеты аналитиков утверждают, что более 70% успешных взломов беспроводных сетей произошло именно в результате неправильной конфигурации точек доступа или клиентского ПО.
Некорректно сконфигурированные ТД. Одна-единственная некорректно сконфигурированная ТД (в т. ч. чужак) может послужить причиной взлома корпоративной сети. Настройки по умолчанию большинства ТД не включают аутентификацию или шифрование либо используют статические ключи, записанные в руководстве и потому общеизвестные. В сочетании с невысокой ценой этих устройств данный фактор значительно осложняет задачу слежения за целостностью конфигурации беспроводной инфраструктуры и уровнем ее защиты. Сотрудники организации могут самовольно приносить ТД и подключать их куда заблагорассудится. При этом маловероятно, что они уделят достаточно внимания их грамотной и безопасной конфигурации и согласуют свои действия с ИТ-отделом. Именно такие ТД и создают наибольшую угрозу проводным и беспроводным сетям.
Некорректно сконфигурированные беспроводные клиенты. Данная категория представляет угрозу еще большую, чем некорректно сконфигурированные ТД. Эти устройства буквально «приходят и уходят» с предприятия, часто они не конфигурируются специально с целью минимизации беспроводных рисков или довольствуются установками по умолчанию (которые не могут считаться безопасными). Такие устройства оказывают неоценимую помощь хакерам, обеспечивая удобную точку входа для сканирования сети и распространения в ней вредоносного ПО.
Взлом шифрования. Злоумышленникам давно доступны специальные средства для взлома сетей, основывающихся на стандарте шифрования WEP. Эти инструменты широко представлены в Интернете, и их применение не требует особых навыков. Они используют уязвимости алгоритма WEP, пассивно собирая статистику трафика в беспроводной сети до тех пор, пока полученных данных не окажется достаточно для восстановления ключа шифрования. С использованием последнего поколения средств взлома WEP, применяющих специальные методы инъекции трафика, срок «до тех пор» колеблется от 15 мин до 15 с. Совсем недавно были обнаружены первые, пока еще незначительные, уязвимости в TKIP, позволяющие расшифровывать и отправлять в защищенную сеть небольшие пакеты.
Риск четвертый – новые угрозы и атаки
Беспроводные технологии породили новые способы реализации старых угроз, а также некоторые новые, доселе невозможные в проводных сетях. Во всех случаях бороться с атакующим стало гораздо тяжелее, так как невозможно ни отследить его физическое местоположение, ни изолировать от сети.
Разведка. Большинство традиционных атак начинаются с разведки, в результате которой злоумышленником определяются дальнейшие пути их развития. Для беспроводной разведки используются как средства сканирования беспроводных сетей (NetStumbler, Wellenreiter, встроенный клиент JC), так и средства сбора и анализа пакетов, ведь многие управляющие пакеты WLAN не зашифрованы. При этом очень сложно отличить станцию, собирающую информацию, от обычной, пытающейся получить авторизованный доступ к сети или от попытки случайной ассоциации.
Многие пробуют защитить свои сети путем сокрытия ее названия в маячках (Beacon), рассылаемых точками доступа, и отключения ответа на широковещательный запрос ESSID (Broadcast ESSID). Общепризнанно, что методов, относящихся к классу Security through Obscurity, недостаточно, поскольку атакующий все равно видит беспроводную сеть на определенном радиоканале, и ему остается лишь ждать первого авторизованного подключения, так как в его процессе в эфире передается ESSID в незашифрованном виде. После этого данная мера безопасности просто теряет смысл. Некоторые особенности беспроводного клиента Windows XP SP2 (поправленные в SP3) еще более усугубляли ситуацию, ведь клиент постоянно рассылал имя такой скрытой сети в эфир, пытаясь подключиться к ней. В результате злоумышленник не только получал имя сети, но и мог «подсадить» такого клиента на свою точку доступа.
Имперсонализация (Identity Theft). Имперсонализация авторизованного пользователя – серьезная угроза любой сети, не только беспроводной. Однако в последнем случае определить подлинность пользователя сложнее. Конечно, существуют SSID, и можно пытаться фильтровать по MAC-адресам, но и то и другое передается в эфире в открытом виде, и то и другое несложно подделать. А подделав, как минимум «откусить» часть пропускной способности сети, вставлять неправильные фреймы с целью нарушения авторизованных коммуникаций. Расколов же хоть чуть-чуть алгоритмы шифрования – устраивать атаки на структуру сети (например, ARP Poisoning, как в случае с недавно обнаруженной уязвимостью TKIP). Не говоря уже о взломе WEP, рассмотренном пунктом выше.
Существует ложное убеждение, что имперсонализация пользователя возможна только в случае MAC-аутентификации или применения статических ключей, что схемы на основе 802.1x, такие как LEAP, являются абсолютно безопасными. К сожалению, это не так, и уже сейчас доступен инструментарий для взлома, к примеру LEAP. Другие схемы, скажем EAP-TLS или PEAP, более надежны, но они не гарантируют устойчивости к комплексной атаке, использующей несколько факторов одновременно.
Отказы в обслуживании (Denial of Service, DoS). Задачей атаки «Отказ в обслуживании» является либо нарушение показателей качества функционирования сетевых услуг, либо полная ликвидация возможности доступа к ним для авторизованных пользователей. Для этого, к примеру, сеть может быть завалена «мусорными» пакетами (с неправильной контрольной суммой и т. д.), отправленными с легитимного адреса. В случае беспроводной сети отследить источник такой атаки без специального инструментария просто нельзя. Кроме того, есть возможность организовать DoS на физическом уровне, запустив достаточно мощный генератор помех в нужном частотном диапазоне.
Специализированные инструменты атакующего. Инструментарий атак на беспроводные сети широко доступен в Интернете и постоянно пополняется новыми средствами. Основными типами инструментов атакующего являются:
средства разведки – сканирования сетей и определения их параметров, сбора и анализа трафика (Kismet, NetStumbler, AirMagnet, Ethereal, Wireshark со специальным модулем, THC-RUT);
инструменты взлома шифрования (AirCrack, WEPWedgie, WEPCrack, WepAttack, AirSnort);
инструменты взлома механизмов аутентификации для их обхода или получения параметров учетной записи доступа пользователя (ASLEAP, THC-LEAPCracker);
инструменты организации отказов в обслуживании (WLANjack, hunter_killer);
сканеры уязвимостей (Nessus, xSpider);
инструменты манипулирования беспроводными соединениями (HotSpotter, SoftAP, AirSnarf);
традиционный инструментарий (SMAC, IRPAS, Ettercap, Cain & Abel, DSNIFF, IKEcrack).
Это список может быть расширен.
Риск пятый – утечки информации из проводной сети
Практически все беспроводные сети в какой-то момент соединяются с проводными. Соответственно, любая беспроводная ТД может быть использована как плацдарм для атаки. Но это еще не все: некоторые ошибки в их конфигурации в сочетании с ошибками конфигурации проводной сети могут открывать пути для утечек информации. Наиболее распространенный пример – ТД, работающие в режиме моста (Layer 2 Bridge), подключенные в плоскую сеть (или сеть с нарушениями сегментации VLAN) и передающие в эфир широковещательные пакеты из проводного сегмента, запросы ARP, DHCP, фреймы STP и т. п. Некоторые из этих данных могут быть полезными для организаций атак Man-in-The-Middle, различных Poisoning и DoS, да и просто разведки.
Другой распространенный сценарий основывается на особенностях реализации протоколов 802.11. В случае, когда на одной ТД настроены сразу несколько ESSID, широковещательный трафик будет распространяться сразу во все ESSID. В результате, если на одной точке настроены защищенная сеть и публичная зона доступа, злоумышленник, подключенный к последней, может, например, нарушить работу протоколов DHCP или ARP в защищенной сети. Это можно исправить, включив режим Multi-BSSID, он же Virtual AP, который поддерживается практически всеми производителями оборудования класса Enterprise (и мало кем из класса Consumer), но об этом нужно знать.
Риск шестой – особенности функционирования беспроводных сетей
Некоторые особенности функционирования беспроводных сетей порождают дополнительные проблемы, способные влиять в целом на их доступность, производительность, безопасность и стоимость эксплуатации. Для грамотного решения этих проблем требуются специальный инструментарий поддержки и эксплуатации, специальные механизмы администрирования и мониторинга, не реализованные в традиционном инструментарии управления беспроводными сетями.
Активность в нерабочее время. К беспроводным сетям можно подключиться в любом месте в зоне их покрытия и в любое время. Из-за этого многие организации ограничивают доступность беспроводных сетей в своих офисах исключительно рабочими часами (вплоть до физического отключения ТД). В свете сказанного естественно предположить, что всякая беспроводная активность в сети в нерабочее время должна считаться подозрительной и подлежать расследованию.
Скорости. ТД, разрешающие подключения на низких скоростях, имеют бoльшую зону покрытия. Таким образом, они предоставляют дополнительную возможность удаленного взлома. Если в офисной сети, где все работают на скоростях 24/36/54 Мб/с, вдруг появляется соединение на 1 или 2 Мб/с, это может быть сигналом, что кто-то пытается пробиться в сеть с улицы.
Помехи. Качество работы беспроводной сети зависит от многих факторов. Наиболее ярким примером являются помехи, значительно снижающие пропускную способность и количество поддерживаемых клиентов, вплоть до полной невозможности использования сети. Источником помех может быть любое устройство, излучающее сигнал достаточной мощности в том же частотном диапазоне, что и ТД. С другой стороны, злоумышленники могут использовать помехи для организации DoS-атаки на сеть.
Помимо помех, существуют другие аспекты, влияющие на качество связи в беспроводных сетях – неверно сконфигурированный клиент или сбоящая антенна ТД могут создавать проблемы как на физическом, так и на канальном уровне, приводя к ухудшению качества обслуживания остальных клиентов сети.
Классификация компьютерных вирусов.
устаревший вариант
Макросы
Паразиты
Спутники
Овер... забыл)
Трояны
Черви
более глубокая
- Win32/W32/PE - вредоносное ПО, действующее в среде Windows 95/98/ME/NT/XP/2000/2003 и/или поражающее 32-битные исполняемые файлы (PE и LE (VxD)) операционной системы Windows. - Win2K/W2K - вредоносное ПО, предназначенное для среды Windows 2000. - Win9x/Win95/W95/Win98/W98 - вредоносное ПО действующее в среде Windows 95/98. - WinNT/WNT/NT - вредоносное ПО действующее в среде Windows NT. - Win/Win16/W16/NE - вредоносное ПО, поражающее 16-битные исполняемые программы (NE) в операционной системе Windows (New Executable - формат исполняемых файлов Windows 3.x). Некоторые из этих вирусов могут работать не только в среде Windows 3.x, но также и в Windows 95/98/NT. - DOS - вредоносные программы, предназначенные для работы в среде MS-DOS (Microsoft Disk Operating System). - OS2 - вредоносные программы, действующие в среде OS/2 и/или поражающие исполняемые файлы (LX) операционной системы OS/2. - UNIX/ELF - вредоносные программы, действующие в среде UNIX-подобных систем. - Linux - вредоносные программы, действующие в среде Linux. - FreeBSD/BSD - вредоносные программы, действующие в среде FreeBSD. - SunOS/Solaris - вредоносные программы, действующие в среде Solaris. - Java - вредоносные программы, написанные на языке программирования Java. - SymbOS - вредоносные программы, поражающие мобильные устройства, работающие под управлением операционной системы Symbian. - J2ME - вредоносные программы, поражающие мобильные устройства, использующие Java ME (ранее: Java 2 Micro Edition). - WinCE - вредоносные программы, предназначенные для работы в среде Windows CE. - MSIL - вредоносные программы, предназначенные для работы в среде Windows Mobile, либо заражающие файлы .NET-приложений (Microsoft Intermediate Language). Вирусы Virus (классический вирус) - может заражать другие файлы в системе путем дописывания в них своего кода. Для зараженных файлов требуется лечение. - HLL (High Level Language) - вирусы, написанные на языках программирования высокого уровня (таких как: C, C++, Pascal, Delphi, Basic и пр.). - LLC (High Level Language Companion) - вирус-компаньон, написанный на языке программирования высокого уровня. - Companion (вирусы-компаньоны) - вирусы, не изменяющие содержимое файлов, но создающие на месте заражаемой программы свою копию (оригинальный файл программы при этом просто переименовывается или перемещается). При запуске сначала выполняется код вируса, который затем передаёт управление оригинальной программе. - HLLO (High Level Language Overwriting) - перезаписывающий вирус, написанный на языке программирования высокого уровня. Overwriting (перезаписывающие вирусы) - вирусы, перезаписывающие содержимое файлов, не изменяя при этом их названия. Вследствие чего исходная программа уничтожается. - HLLP (High Level Language Parasitic) - паразитический вирус, написанный на языке программирования высокого уровня. Parasitic (паразитические вирусы) - файловые вирусы, изменяющие содержимое файлов, оставляя при этом сами файлы работоспособными (или частично работоспособными). - HLLW (High Level Language Worm) - червь, написанный на языке программирования высокого уровня. - HLLM (High Level Language MassMailing Worm) - черви массовой рассылки, написанные на языке программирования высокого уровня. Скрипт-вирусы Script (скрипт-вирус) - вирусы, написанные на языках Visual Basic Script, Java Script, BAT и др. Скрипты могут располагаться как в отдельных файлах, так и встраиваться в HTML-документ и в таком случае интерпретироваться браузером (причем не только с удаленного сервера, но и с локального диска). - VBS - вирусы, написанные на языке Visual Basic Script (VBScript). - JS - вирусы, написанные на языке Java Script (JScript). - BAT - вирусы, написанные на языке командного интерпретатора MS-DOS (на BAT-языке). - PIF - вирус в формате PIF (Program Information File). - WScript - черви, как правило, встроенные в HTML-файлы. - PHP - скрипт-вирусы, написанные на языке PHP, либо вирусы, заражающие PHP-файлы (PHP: Hypertext Preprocessor). - HTML - вирусная программа, реализованная в виде HTML-страницы. - Perl - вредоносный сценарий, написанный на языке Perl (Practical Extraction and Report Language). - CVS - Corel Script. Троянские программы Trojan/Troj/TrojWare/Trj/TR (троянская программа/троян) - общее название для различных вредоносных программ, не имеющих средств для самораспространения (нарицательное словосочетание со значением "дар врагу с целью его погубить"). Также одно из основных отличий троянской программы от вируса заключаеться в том, что обычный вирус после своего рождения больше не имеет никакой связи с создателем, а троян, как правило, предназначен для дальнейшего взаимодействия с тем, кто его запустил. - Backdoor (бэкдор) - троянские программы с функциями скрытого удаленного управления (администрирования) зараженным компьютером. - PWS (Password Stealing Ware) - троянские программы, ворующие пароли. - Trojan.AOL - троянские программы, ворующие пароли доступа к сети AOL (бывшая America Online). Выделены в особую группу по причине своей многочисленности. - Clicker (кликеры) - троянские программы, открывающие различные URL без ведома пользователя. Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны "стандартные" адреса каких-либо интернет-ресурсов. - Downloader - троянские программы, предназначенные для несанкционированной загрузки и установки других вредоносных программ. - Dropper - троянские программы, предназначенные для скрытной инсталляции других вредоносных программ. - Trojan.Proxy - троянские программы, предназначенные для запуска прокси-сервера на зараженном компьютере без ведома пользователя. Обычно используются для рассылки спама. - Trojan.Spy - троянские программы, предназначенные для скрытого шпионажа за действиями пользователя и отправки собранных данных злоумышленнику. - Spyware - общее название для шпионского программного обеспечения, скрытно собирающего различную информацию о пользователе компьютера и затем отправляющего её своему автору. - StartPage/StartPa - троянские программы, изменяющие без ведома пользователя стартовую страницу в настройках веб-браузера. - KeyLogger/Keylog (клавиатурный шпион) - шпионские программы, предназначенные для скрытого мониторинга и записи информации, вводимой с клавиатуры. - Dialer (дозвонщики) - троянские программы, предназначенные для установки модемной связи с заданными серверами. - Notifier - троянские программы, основная функция которых заключается в оповещении "хозяина" об успешной атаке. - ArcBomb (архивные бомбы) - архивы, специально сконструированные так, чтобы при попытке их разархивировать - работоспособность компьютера была бы нарушена. - Trojan.SMS - троянские программы, поражающие мобильные телефоны. Макро-вирусы Macro (вирусы для MS Office) - эти вирусы используют особенности форматов файлов и встроенные макро-языки приложений MS Office и заражают файлы документов. WordMacro/MSWord/Word/WM - макро-вирусы, поражающие документы и шаблоны MS Word. - Word97/W97M - макро-вирусы, поражающие документы MS Word 8.0-9.0 (MS Office'97/2000). - WP2kM - WordPerfect 2000. - ExcelMacro/MSExcel/Excel/XM - макро-вирусы, поражающие документы MS Excel. - X97M - макро-вирусы, поражающие документы MS Excel 6.0-9.0. - XF - Excel 4.0 formulas. - MSAccess - макро-вирусы, поражающие базы данных Microsoft Access. - A97M - макро-вирусы, поражающие базы данных MS Access'97/2000. - MSPPoint/PPoint - макро-вирусы, поражающие файлы-презентации MS PowerPoint. - P97M/PP97M - макро-вирусы, поражающие файлы-презентации MS PowerPoint'97/2000. - MSVisio/Visio - макро-вирусы, поражающие документы и шаблоны Visio (система построения диаграмм). - MSOffice/O97M - мультиплатформенные макро-вирусы, поражающие одновременно несколько приложений MS Office. - P98M - Project 98. - WinHLP/WHLP/HLP - вирусы, заражающие Windows HLP-файлы (файлы помощи). Not-a-virus Программы, по сути не являющиеся вирусам, но по тем или иным причинам занесенные в антивирусные базы. - Adware - общее название для программного обеспечения, принудительно показывающего рекламу. - Bad-Joke - злые шутки (например, программы, пугающие пользователя сообщениями о форматировании диска, хотя никакого форматирования на самом деле не происходит). - Hoax (вирусный мистификатор) - программы, не причиняющие компьютеру какого-либо вреда, но вводящие пользователя в заблуждение (например, выводящие сообщения о несуществующей опасности или детектирующие вирусы в незаражененых файлах). - HackTool - хакерские утилиты. - Riskware - легальные программы, которые, тем не менее, в руках злоумышленника способны причинить вред пользователю и его данным. - PSWTool - программа, предназначенная для получения и восстановления различных паролей. - Client-IRC - IRC-клиент, добавленный в некоторые наборы антивирусных баз по причине того, что функции этой программы могут использоваться в злоумышленных целях (для создания бэкдоров). - Sniffer/Sniff (снифер) - программа, предназначенная для перехвата и последующего анализа сетевого трафика. - SpamTool - программа, предназначенная для рассылки спама (как правило, превращающая зараженный компьютер в рассылочную спам-машину). - Flooder/Flood/FDoS - "замусоривание" сети (например, бесполезными сообщениями; от англ. "flood" - наводнение, потоп). - Email-Flooder/MailSpam - программа, позволяющая "наводнить" заданный адрес электронной почты различными письмами. - IM-Flooder - программа, позволяющая "наводнить" заданный номер IM-мессенджера (например, ICQ) различными сообщениями. - SMS-Flooder - программа, позволяющая "наводнить" заданный номер мобильного телефона SMS-сообщениями. - VirTool - утилиты, предназначенные для облегчения написания компьютерных вирусов и для их изучения в хакерских целях. - DoS/DDoS - вредоносная программа, предназначенная для проведения атаки типа "Denial of Service" ("Отказ в обслуживании") на удаленный сервер. - Nuker (фатальные сетевые атаки) - утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу (сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении). - Constructor/Generator - конструкторы вирусов и троянских программ, предназначенные для изготовления и генерации новых вирусов и вредоносных программ. - PolyEngine (полиморфные генераторы) - главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика. - FileCryptor, PolyCryptor - хакерские утилиты, использующиеся для шифрования других вредоносных программ с целью скрытия их содержимого от антивирусной проверки. - EICAR (симулятор вируса) - тестовый файл, который на самом деле вирусом не является, но опредедяется антивирусными программами, как якобы вирус (EICAR-Test-File). Программа была специально разработана для того, чтобы пользователь, не подвергая свой компьютер опасности, мог посмотреть, как его антивирус будет сигнализировать в случае обнаружения вируса. Другое - Rootkit - основная функция заключается в сокрытии присутствия в системе заданных объектов (процессов, файлов, разделов реестра, открытых портов и т.д.). - Malware - общее название для вредоносного программного обеспечения. - Ransomware - вредоносная программа, работающая как вымогатель. - VirWare - общее название для саморазмножающихся вредоносных программ (вирусы и черви). - Exploit (эксплойт) - общий термин для обозначения фрагмента программного кода, который использует уязвимости в операционных системах и прикладном ПО, существующих на атакуемом компьютере. - Based/Generic/gen/Modification - этот суффикс означает, что вирус был сгенерирован с помощью "вирусного конструктора" или что вирус был создан как модификация какого-то 'basic' (исходного) вирусного кода. - Polymorphic (полиморфные вирусы) - или вирусы с самомодифицирующимися расшифровщиками - вирусы, использующие помимо шифрования кода специальную процедуру расшифровки, изменяющую саму себя в каждом новом экземпляре вируса, что ведет к отсутствию у него байтовых сигнатур. Расшифровщик не является постоянным - он уникален для каждого экземпляра вируса. - MtE - полиморфные вирусы, созданные с помощью генератора полиморфизма MtE (Mutant Engine). Такой генератор представляет собой специальный алгоритм, который отвечает за функции шифровки/расшифровки и генерацию расшифровщиков и присоединяется к любому объектному коду вируса. Такой расшифровщик не имеет ни одного постоянного бита, длина его всегда разная. - Encrypted (зашифрованные вирусы) - вирусы, которые сами шифруют свой код для затруднения их анализа и обнаружения в файле. - Packed - упакованный. - Boot - загрузочные вирусы. - Stealth (стелс вирусы/вирусы-невидимки) - вирусы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах (cамо понятие осталось от скрывающихся вирусов под DOS, для Windows на данный момент используется понятие Rootkit). - Retrovirus/Anti-antivirus Virus - вирус, объектом нападения которого являются антивирусные программы. - Antivirus Virus (антивирусный вирус) - вирусная программа, объектом нападения которой являются другие компьютерные вирусы. - Intended - вирусы, неспособные размножаться по причине ошибок. - Zoo (зоологический вирус) - вирус, не встречающийся в "дикой природе" и существующий только в антивирусных лабораториях, коллекциях исследователей и т.п.