В этой статье мы рассмотрим различные виды вредоносных программ и то, что они делают. При проведении статического или динамического анализа вредоносных программ крайне важно иметь хорошее представление о различных доступных типах вредоносных программ, чтобы вы могли их распознать и сфокусироваться на них. Во время статического анализа вредоносных программ импортированные DLL и функции часто говорят нам о намерениях и поведении вредоносного ПО. Например, когда вредоносное ПО импортирует сетевые функции вместе с функциями редактирования реестра Windows и функции сжатия, мы можем иметь дело со шпионским ПО, вредоносным ПО загрузчика или трояном, который запускается самостоятельно или другим вредоносным ПО при запуске. В простейшем случае статически импортированных DLL-файлов вы можете использовать приложение, такое как Dependency Walker, чтобы выяснить, какие функции используются во вредоносных программах. Дальнейшая проверка DLL, функций, PE-заголовков и ресурсов должна значительно сузить возможные виды вредоносного ПО. Давайте продолжим изучать различные виды вредоносных программ и то, что они делают.
Adware
Adware как вредоносное ПО - это вредоносное программное обеспечение, которое представляет нежелательную рекламу пользователю. Этот вид вредоносного ПО часто использует всплывающие окна, которые не могут быть закрыты пользователем. Рекламное ПО часто включается в бесплатное программное обеспечение и панели инструментов браузера. Вредоносное ПО, которое также собирает пользовательские данные, действия и другую информацию для целевой рекламы, называется шпионским ПО.
Backdoor
Backdoor - это фрагмент вредоносного кода, который позволяет злоумышленнику подключиться к зараженной машщине и получить контроль над целевой машиной. В большинстве случаев для входа в систему на удаленном компьютере не требуется проверка подлинности, кроме методов проверки подлинности, требуемых вредоносным ПО. Бэкдор часто генерируется трояном, который остается незамеченным, если у хоста нет эффективных механизмов обнаружения. Бэкдоры могут использовать множество методов для общения. Также порт 80 обычно используется вредоносным ПО по протоколу HTTP, поскольку этот порт открыт на большинстве компьютеров, подключенных к Интернету. Мы обсудим 2 вида бэкдоров; реверсшелл и средство удаленного доступа/администрирования (RAT).
Reverse Shell
Реверсшелл - это соединение, инициированное зараженным хостом к атакующему, которое предоставляет злоумышленнику доступ к хосту через оболочку. Реверсшелл часто создается трояном и выполняет функцию бэкдора на зараженном хосте. После настройки реверсшелла злоумышленник может выполнять команды, как если бы они выполнялись локально. Разработчики вредоносных программ могут настроить реверсшелл несколькими способами. Обычно используемые методы для обратных оболочек - Netcat и Сmd.exe, упакованные в вредоносное ПО. Простой метод, используемый вредоносными программами с использованием Windows CMD для настройки реверсшелла, заключается в создании сокета для установления соединения с злоумышленником и его привязке к стандартным потокам (стандартный ввод, вывод) для cmd.exe. Cmd.exe запускается с закрытыми окном, чтобы скрыть его от глаз жертвы, и может использоваться для выполнения команд на зараженном хосте.
RAT – Remote Access Trojan
Троян удаленного доступа (RAT), иногда называемый средством удаленного администрирования или средством удаленного доступа, представляет собой программное обеспечение, позволяющее злоумышленнику получить контроль над зараженным узлом с помощью бэкдора. В этой статье мы будем называть его трояном удаленного доступа, чтобы подчеркнуть вредоносность такого рода RAT. Мы говорим о вредоносных RAT, а не о тех, которые используются системными администраторами или поставщиками программного обеспечения для удаленной поддержки и устранения неполадок. Трояны удаленного доступа часто включаются в бесплатное программное обеспечение и отправляются в виде вложений по электронной почте.
Botnet
Ботнет - это сеть удаленных управляемых частных компьютеров с бэкдорами, которые контролируются сервером управления и контроля. Все зараженные хосты в ботнете контролируются как группа и получают те же инструкции от сервера, который контролируется злоумышленником. Ботнеты часто используются для рассылки спама, для распределенных атак типа "отказ в обслуживании" (DDoS) или распространения вредоносных программ.
Browser Hijacker
Угонщик браузера - это часть вредоносного кода, разработанного для управления настройками вашего браузера, например домашней страницы или стандартного поисковика. Угонщики браузера часто включаются в бесплатное программное обеспечение и панели инструментов браузера, а также могут содержать рекламное и шпионское ПО. Некоторые угонщики браузера также изменяют настройки прокси вашего браузера, что ставит под угрозу вашу конфиденциальность и безопасность в Интернете.
Downloader Malware
Downloader Malware представляет собой вредоносное ПО, которое загружает другое вредоносное ПО. Злоумышленники часто заражают компьютер вредоносными программами-загрузчиками, когда получают первый доступ к системе. Вредоносная программа-загрузчик незаметно заражает целевую машину другими вредоносными программами.
Information Stealing Malware
Вредоносное ПО для воровства информации - это набор типов вредоносных программ, которые разрабатываются для кражи такой информации, как номера кредитных карт, реквизиты банковского счета, реквизиты счета и другой личной информация. Собранная информация обычно отправляется злоумышленнику, который часто использует ее для получения доступа к вашей личной учетной записи или для размещения в сети Интернет.Вредоносное ПО, часто проявляется в виде клавиатурных шпионов, паролей (хэшей) и снифферов. Украденная информация часто отправляется на сервер управления и контроля для дальнейшей обработки.
Keyloggers
Кейлоггер - это вредоносная часть программного обеспечения (или оборудования), которая записывает нажатия клавиш для извлечения паролей, разговоров и других личных данных. Записанные нажатия клавиш затем отправляются атакующему. Кейлоггер - очень эффективный способ для кражи паролей злоумышленниками, поскольку нет необходимости взламывать хэши, расшифровывать информацию или прослушивать защищенные соединения для паролей.
Launcher malware
Лаунчер- это часть вредоносного программного обеспечения, которое используется для запуска других вредоносных программ. Этот фрагмент вредоносного программного обеспечения часто сочетается с вредоносными программами-загрузчиками. Вредоносная программа запуска часто использует скрытые и нетрадиционные методы для запуска другого вредоносного кода во избежание обнаружения.
Ransomware
Технически говоря, все вредоносные программы, которые мешают пользователю получить доступ к компьютеру или файлам и требуют денег в обмен на доступ, называются вымогателями. Ransomware часто шифрует ваш жесткий диск или файлы и требует денег в обмен на ключ расшифровки. Этот вид вымогателей также называется криптоблокировщиком. После заражения вымогатель предоставляет пользователю несколько способов оплаты, которые можно использовать для разблокировки компьютера или расшифровки файлов.
Ransomware становится все более популярным с течением времени, потому что это очень выгодно для разработчиков вредоносных программ. Особенно вымогателей в сочетании с методами анонимных платежей, таких как биткойн, делают этот вид вредоносных программ очень выгодным и снижает риск быть пойманным. Популярные вредоносные программы-вымогатели: Cryptolocker, Cryptowall и Tox Ransomware, которые известны как первые программы-вымогатели как сервис, доступный для всех через сеть TOR.
Rootkit
Руткит - это вредоносное программное обеспечение, предназначенное для сокрытия существования других вредоносных программ. Скрытое вредоносное ПО часто является бэкдором, обеспечивающим полный доступ к злоумышленнику или краже информации. Руткиты могут быть трудно обнаружить и удалить в зависимости от того, где находится руткит.Например, для руткитов на уровне прошивки может потребоваться замена оборудования, а для руткитов на уровне ядра может потребоваться новая установка операционной системы.
Bootkit
Еще один опасный и почти такой которого невозможно обнаружить - это буткит. Буткит - это руткит, скрытый в загрузочном секторе, который заражает основную загрузочную запись. Этот вид руткита может обойти шифрование диска, например, потому что основная загрузочная запись (MBR) не зашифрована. MBR содержит программное обеспечение для дешифрования диска. Загрузчик - это фрагмент кода, который запускается раньше, чем операционная система.
Scareware
Scareware - это вредоносное программное обеспечение, которое заставляет жертву что-то покупать, пугая его или ее. Вы также можете назвать это ПО для шантажа, поскольку оно часто включает в себя смущающие вирусы или файлы. Наиболее распространенное вредоносное ПО выглядит как вирусный сканер, который обнаружил некоторые вирусы, которые будут удалены после того, как жертва приобретет вирусный сканер. На самом деле удаляется только scareware .
Scareware часто использует тактику запугивания, которая запутывает жертву, чтобы избежать того, чтобы жертва эскалировала проблему системному администратору на работе или вызывала профессиональную помощь, например, для удаления вируса. Из-за этой тактики многие жертвы будут платить за программное обеспечение, чтобы вирус был удален бесшумно. Scareware или шантажирующее вредоносное ПО, как вымогатель, очень выгодно для разработчиков вредоносного ПО.
Spam Sending Malware
Spam Sending Malware - это вредоносное ПО, которое использует зараженную машину для рассылки спама. Вредоносная программа, отправляющая спам, может быть частью ботнета, контролируемого сервером управления и контроля, который работает как распределенная сеть для рассылки спама. Из-за распределенного подхода не существует единой точки отказа, если ¼ из инфицированных машин будут очищены, остальные 3/4 будут продолжать рассылать спам-письма. Большие ботнеты могут отправлять миллиарды спам-сообщений в неделю, и очень часто новые вредоносные программы распространяются вместе со спам-сообщениями. Спам-рассылка вредоносных программ может привести к неприятностям, потому что провайдер отключит ваше интернет-соединение или ваш адрес электронной почты может быть помещен в черный список, поэтому обязательно удалите этот вид вредоносного ПО как можно скорее. Этот тип вредоносных программ выгоден разработчикам вредоносных программ, поскольку они могут продавать услуги рассылки спама.
Trojan
Троян или троянский конь, являющийся вредоносным ПО, представляет собой вредоносную программу, выполняющую роль бэкдора.
Точно так же, как древнегреческая история о деревянном коне с греческими войсками внутри, который использовался для вторжения в город Трою, троян в компьютерных вычислениях выглядит как обычное приложение, медиа или любой другой файл, но содержащий вредоносную полезную нагрузку. Трояны часто распространяются через социальную инженерию, где жертва обманывается, запуская файл или приложение вместе с трояном. Большинство троянов содержат бэкдоры, которые могут быть использованы злоумышленником для кражи информации, распространения других вредоносных программ или использования ресурсов зараженной машины в бот-сети. Трояны в области вычислительной техники существуют уже давно, есть несколько старых и популярных троянов: Netbus, SubSeven или Sub7 и Back Orifice или BO.
Virus
Вирус - это вредоносная программа, которая копирует себя в другие приложения, файлы или даже загрузочный сектор. Затем вирус может делать все, что запрограммировано, например, украсть информацию, регистрировать нажатия клавиш или даже делать компьютер бесполезным. Определяющая характеристика вируса заключается в самовоспроизведении и вставке вредоносного кода в другие программы без согласия пользователя. Как и большинство других вредоносных программ, вирус предназначен для получения прибыли.
Worm
Червь - это вредоносная программа, которая копирует себя для распространения и заражения других систем. Компьютерные черви используют сети, ссылки, P2P-сети, электронную почту и используют уязвимости для распространения. Разница с вирусом заключается в том, что вирус вставляет код в другие программы, где червь этого не делает, и реплицирует только себя. Черви не обязательно содержат полезную нагрузку, но большинство червей содержат. Черви также могут быть спроектированы так, чтобы распространяться только без полезной нагрузки.
Источник: https://www.hackingtutorials.org/malware-analysis-tutorials/malware-types-explained/
Автор перевода: yashechka
Переведено специально для портала xss.pro (c)
Adware
Adware как вредоносное ПО - это вредоносное программное обеспечение, которое представляет нежелательную рекламу пользователю. Этот вид вредоносного ПО часто использует всплывающие окна, которые не могут быть закрыты пользователем. Рекламное ПО часто включается в бесплатное программное обеспечение и панели инструментов браузера. Вредоносное ПО, которое также собирает пользовательские данные, действия и другую информацию для целевой рекламы, называется шпионским ПО.
Backdoor
Backdoor - это фрагмент вредоносного кода, который позволяет злоумышленнику подключиться к зараженной машщине и получить контроль над целевой машиной. В большинстве случаев для входа в систему на удаленном компьютере не требуется проверка подлинности, кроме методов проверки подлинности, требуемых вредоносным ПО. Бэкдор часто генерируется трояном, который остается незамеченным, если у хоста нет эффективных механизмов обнаружения. Бэкдоры могут использовать множество методов для общения. Также порт 80 обычно используется вредоносным ПО по протоколу HTTP, поскольку этот порт открыт на большинстве компьютеров, подключенных к Интернету. Мы обсудим 2 вида бэкдоров; реверсшелл и средство удаленного доступа/администрирования (RAT).
Reverse Shell
Реверсшелл - это соединение, инициированное зараженным хостом к атакующему, которое предоставляет злоумышленнику доступ к хосту через оболочку. Реверсшелл часто создается трояном и выполняет функцию бэкдора на зараженном хосте. После настройки реверсшелла злоумышленник может выполнять команды, как если бы они выполнялись локально. Разработчики вредоносных программ могут настроить реверсшелл несколькими способами. Обычно используемые методы для обратных оболочек - Netcat и Сmd.exe, упакованные в вредоносное ПО. Простой метод, используемый вредоносными программами с использованием Windows CMD для настройки реверсшелла, заключается в создании сокета для установления соединения с злоумышленником и его привязке к стандартным потокам (стандартный ввод, вывод) для cmd.exe. Cmd.exe запускается с закрытыми окном, чтобы скрыть его от глаз жертвы, и может использоваться для выполнения команд на зараженном хосте.
RAT – Remote Access Trojan
Троян удаленного доступа (RAT), иногда называемый средством удаленного администрирования или средством удаленного доступа, представляет собой программное обеспечение, позволяющее злоумышленнику получить контроль над зараженным узлом с помощью бэкдора. В этой статье мы будем называть его трояном удаленного доступа, чтобы подчеркнуть вредоносность такого рода RAT. Мы говорим о вредоносных RAT, а не о тех, которые используются системными администраторами или поставщиками программного обеспечения для удаленной поддержки и устранения неполадок. Трояны удаленного доступа часто включаются в бесплатное программное обеспечение и отправляются в виде вложений по электронной почте.
Botnet
Ботнет - это сеть удаленных управляемых частных компьютеров с бэкдорами, которые контролируются сервером управления и контроля. Все зараженные хосты в ботнете контролируются как группа и получают те же инструкции от сервера, который контролируется злоумышленником. Ботнеты часто используются для рассылки спама, для распределенных атак типа "отказ в обслуживании" (DDoS) или распространения вредоносных программ.
Browser Hijacker
Угонщик браузера - это часть вредоносного кода, разработанного для управления настройками вашего браузера, например домашней страницы или стандартного поисковика. Угонщики браузера часто включаются в бесплатное программное обеспечение и панели инструментов браузера, а также могут содержать рекламное и шпионское ПО. Некоторые угонщики браузера также изменяют настройки прокси вашего браузера, что ставит под угрозу вашу конфиденциальность и безопасность в Интернете.
Downloader Malware
Downloader Malware представляет собой вредоносное ПО, которое загружает другое вредоносное ПО. Злоумышленники часто заражают компьютер вредоносными программами-загрузчиками, когда получают первый доступ к системе. Вредоносная программа-загрузчик незаметно заражает целевую машину другими вредоносными программами.
Information Stealing Malware
Вредоносное ПО для воровства информации - это набор типов вредоносных программ, которые разрабатываются для кражи такой информации, как номера кредитных карт, реквизиты банковского счета, реквизиты счета и другой личной информация. Собранная информация обычно отправляется злоумышленнику, который часто использует ее для получения доступа к вашей личной учетной записи или для размещения в сети Интернет.Вредоносное ПО, часто проявляется в виде клавиатурных шпионов, паролей (хэшей) и снифферов. Украденная информация часто отправляется на сервер управления и контроля для дальнейшей обработки.
Keyloggers
Кейлоггер - это вредоносная часть программного обеспечения (или оборудования), которая записывает нажатия клавиш для извлечения паролей, разговоров и других личных данных. Записанные нажатия клавиш затем отправляются атакующему. Кейлоггер - очень эффективный способ для кражи паролей злоумышленниками, поскольку нет необходимости взламывать хэши, расшифровывать информацию или прослушивать защищенные соединения для паролей.
Launcher malware
Лаунчер- это часть вредоносного программного обеспечения, которое используется для запуска других вредоносных программ. Этот фрагмент вредоносного программного обеспечения часто сочетается с вредоносными программами-загрузчиками. Вредоносная программа запуска часто использует скрытые и нетрадиционные методы для запуска другого вредоносного кода во избежание обнаружения.
Ransomware
Технически говоря, все вредоносные программы, которые мешают пользователю получить доступ к компьютеру или файлам и требуют денег в обмен на доступ, называются вымогателями. Ransomware часто шифрует ваш жесткий диск или файлы и требует денег в обмен на ключ расшифровки. Этот вид вымогателей также называется криптоблокировщиком. После заражения вымогатель предоставляет пользователю несколько способов оплаты, которые можно использовать для разблокировки компьютера или расшифровки файлов.
Ransomware становится все более популярным с течением времени, потому что это очень выгодно для разработчиков вредоносных программ. Особенно вымогателей в сочетании с методами анонимных платежей, таких как биткойн, делают этот вид вредоносных программ очень выгодным и снижает риск быть пойманным. Популярные вредоносные программы-вымогатели: Cryptolocker, Cryptowall и Tox Ransomware, которые известны как первые программы-вымогатели как сервис, доступный для всех через сеть TOR.
Rootkit
Руткит - это вредоносное программное обеспечение, предназначенное для сокрытия существования других вредоносных программ. Скрытое вредоносное ПО часто является бэкдором, обеспечивающим полный доступ к злоумышленнику или краже информации. Руткиты могут быть трудно обнаружить и удалить в зависимости от того, где находится руткит.Например, для руткитов на уровне прошивки может потребоваться замена оборудования, а для руткитов на уровне ядра может потребоваться новая установка операционной системы.
Bootkit
Еще один опасный и почти такой которого невозможно обнаружить - это буткит. Буткит - это руткит, скрытый в загрузочном секторе, который заражает основную загрузочную запись. Этот вид руткита может обойти шифрование диска, например, потому что основная загрузочная запись (MBR) не зашифрована. MBR содержит программное обеспечение для дешифрования диска. Загрузчик - это фрагмент кода, который запускается раньше, чем операционная система.
Scareware
Scareware - это вредоносное программное обеспечение, которое заставляет жертву что-то покупать, пугая его или ее. Вы также можете назвать это ПО для шантажа, поскольку оно часто включает в себя смущающие вирусы или файлы. Наиболее распространенное вредоносное ПО выглядит как вирусный сканер, который обнаружил некоторые вирусы, которые будут удалены после того, как жертва приобретет вирусный сканер. На самом деле удаляется только scareware .
Scareware часто использует тактику запугивания, которая запутывает жертву, чтобы избежать того, чтобы жертва эскалировала проблему системному администратору на работе или вызывала профессиональную помощь, например, для удаления вируса. Из-за этой тактики многие жертвы будут платить за программное обеспечение, чтобы вирус был удален бесшумно. Scareware или шантажирующее вредоносное ПО, как вымогатель, очень выгодно для разработчиков вредоносного ПО.
Spam Sending Malware
Spam Sending Malware - это вредоносное ПО, которое использует зараженную машину для рассылки спама. Вредоносная программа, отправляющая спам, может быть частью ботнета, контролируемого сервером управления и контроля, который работает как распределенная сеть для рассылки спама. Из-за распределенного подхода не существует единой точки отказа, если ¼ из инфицированных машин будут очищены, остальные 3/4 будут продолжать рассылать спам-письма. Большие ботнеты могут отправлять миллиарды спам-сообщений в неделю, и очень часто новые вредоносные программы распространяются вместе со спам-сообщениями. Спам-рассылка вредоносных программ может привести к неприятностям, потому что провайдер отключит ваше интернет-соединение или ваш адрес электронной почты может быть помещен в черный список, поэтому обязательно удалите этот вид вредоносного ПО как можно скорее. Этот тип вредоносных программ выгоден разработчикам вредоносных программ, поскольку они могут продавать услуги рассылки спама.
Trojan
Троян или троянский конь, являющийся вредоносным ПО, представляет собой вредоносную программу, выполняющую роль бэкдора.
Точно так же, как древнегреческая история о деревянном коне с греческими войсками внутри, который использовался для вторжения в город Трою, троян в компьютерных вычислениях выглядит как обычное приложение, медиа или любой другой файл, но содержащий вредоносную полезную нагрузку. Трояны часто распространяются через социальную инженерию, где жертва обманывается, запуская файл или приложение вместе с трояном. Большинство троянов содержат бэкдоры, которые могут быть использованы злоумышленником для кражи информации, распространения других вредоносных программ или использования ресурсов зараженной машины в бот-сети. Трояны в области вычислительной техники существуют уже давно, есть несколько старых и популярных троянов: Netbus, SubSeven или Sub7 и Back Orifice или BO.
Virus
Вирус - это вредоносная программа, которая копирует себя в другие приложения, файлы или даже загрузочный сектор. Затем вирус может делать все, что запрограммировано, например, украсть информацию, регистрировать нажатия клавиш или даже делать компьютер бесполезным. Определяющая характеристика вируса заключается в самовоспроизведении и вставке вредоносного кода в другие программы без согласия пользователя. Как и большинство других вредоносных программ, вирус предназначен для получения прибыли.
Worm
Червь - это вредоносная программа, которая копирует себя для распространения и заражения других систем. Компьютерные черви используют сети, ссылки, P2P-сети, электронную почту и используют уязвимости для распространения. Разница с вирусом заключается в том, что вирус вставляет код в другие программы, где червь этого не делает, и реплицирует только себя. Черви не обязательно содержат полезную нагрузку, но большинство червей содержат. Черви также могут быть спроектированы так, чтобы распространяться только без полезной нагрузки.
Источник: https://www.hackingtutorials.org/malware-analysis-tutorials/malware-types-explained/
Автор перевода: yashechka
Переведено специально для портала xss.pro (c)
