Антивирус, словарь терминов

А

Антивирусная программа (Anti-virus program) — программа поиска, диагностики, профилактики и лечения файлов, зараженных компьютерным вирусом. В процессе поиска и диагностики определяются зараженные файлы и тип вируса. Профилактика позволяет предотвращать заражение. Лечение подразумевает удаление вируса и восстановление поврежденных файлов.

Антивирусный сканер (Anti-virus scanner) — программа, способная обнаруживать программный код вирусов (сигнатуру) в зараженных ими файлах при помощи базы данных о вирусах, известных такой антивирусной программе или исходя из априорных предпосылок об устройстве такого кода. Сканеры периодически, например, по запросу пользователя, проверяют определенные объекты (диски, каталоги или файлы, а также оперативную память и загрузочные секторы) на наличие программного кода.

Апплет (Applet) — Класс языка Java, встроенный в виде исполняемого модуля в документ, созданный на языке HTML. Апплет загружается с сервера на компьютер пользователя как прикрепленный файл. Апплеты применяют, например, при организации на Web-страницах интерактивного диалога с пользователем.

Архивный файл (Archive file) — файл, являющийся результатом сжатия архиватора. 

Б

База данных антивирусной программы, вирусная база (Anti-virus program virus database)— содержит информацию о фрагментах кода (сигнатурах) известных данной антивирусной программе вирусов, а также необходимые сведения для восстановления (излечения) пораженных этими вирусами объектов. Для современных компьютерных вирусов характерна огромная скорость распространения. В течение нескольких дней, а иногда и часов, вновь появившийся вирус может заразить миллионы компьютеров по всему миру. Разработчики антивирусного комплекса непрерывно пополняют вирусные базы новыми вирусными записями (сигнатурами). После установки таких дополнений антивирусный комплекс делается способным обнаруживать новые вирусы, блокировать их распространение, а в ряде случаев - излечивать зараженные файлы.

BIOS-кит (BIOS-kit) — вредоносная программа, способная заражать BIOS компьютера.

Бомба с часовым механизмом (Time bomb) — частный случай логических бомб, в которых срабатывание скрытого модуля определяется временем.

Ботнет (Botnet) — сеть компьютеров, зараженных троянцами-ботами. Ботнет используется для рассылки спама или проведения сетевых атак, например подбора паролей или DоS-атак.

Буткиты (Boot viruses) — вредоносные программы, которые заражают загрузочные записи (Boot record) дискет, разделов жестких дисков, а также модифицируют главный загрузочный сектор MBR (Master Boot Record).

Брешь, ошибка в программе, баг (bug) — любая непреднамеренная программная ошибка, как синтаксическая, так и семантическая.

Бэкдоры (Backdoors) — программы, предназначенные для удаленного управления зараженной системой. Часто используются для обхода существующей системы безопасности.

В

Вирус (Virus) — программа, инфицирующая файловые объекты и способная к самовоспроизведению.

Вирусная программа-червь (Worm-virus) — паразитическая программа, обладающая механизмом саморазмножения, но не заражающая другие исполняемые файлы. Проникая в систему, распространяет свои копии на другие компьютеры, объединенные в ту же сеть, что и инфицированный ПК.

Вирусный код, сигнатура (Signature) — система символов и однозначных правил их интерпретации, используемая для предоставления информации в виде данных. Представляет собой набор символов или последовательность байтов, которые, как предполагается, могут быть свойственны, а, следовательно, и обнаружены в каком-то определенном вирусе, в каждой его копии, и только в нем. Антивирусные сканеры используют сигнатуру для нахождения вирусов. Пoлиморфные вирусы не имеют сигнатуры.

Вредоносные действия вирусов (Damage). На компьютере пользователя вирусы могут производить следующие вредоносные действия.

  1. Вызывать отказ в выполнении той или иной функции в работе системы, инициировать ошибки и сбои, вызывать зависание системы сразу после ее загрузки.
  2. Выполнять действия, не предусмотренные программой.
  3. Разрушать файлы, диски (форматировать диски, удалять файлы).
  4. Выдавать на экран дисплея раздражающие пользователя ложные сообщения.
  5. Создавать звуковые или визуальные эффекты (падающие буквы, проигрывание мелодии и т.д.).
  6. Блокировать доступ к системным ресурсам (разрастание зараженных файлов за счет их многократного повторного заражения, замедление работы компьютера и т.д.).
  7. Имитировать сбои аппаратуры (перевод части кластеров в "псевдосбойные").

Следует отметить, что наиболее опасны не катастрофические повреждения винчестера или дискет, а мелкие, незаметные изменения файлов данных.

Д

DNS-заражение (DNS poisoning) — атака на кеш DNS-сервера. В результате в кеше появляется ложная запись о соответствии DNS-имени хоста, которому жертва доверяет, и IP-адреса, указанного атакующим. Является подвидом спуфинга. Атака может поражать как клиентский хост, так и хост сервера, что может привести к массовому перенаправлению пользователей на ложный адрес.

Дозвонщики (Dialers) — программы, используемые злоумышленниками для накручивания оплаты за телефон жертве или для незаметного подключения пользователя через модем к дорогостоящим платным телефонным службам.

DoS-атаки (DoS-attacks) — популярный среди злоумышленников вид сетевых атак, граничащий с терроризмом. Заключается в отправке запросов с компьютеров на атакуемый сервер с целью выведения его из строя. При достижении определенного количества запросов (ограниченного аппаратными возможностями сервера) сервер перестает справляться с нагрузкой, что приводит к отказу в обслуживании. Данной атаке часто предшествует спуфинг. DoS-атаки стали широко используемым средством запугивания и шантажа конкурентов.

"Дроппер" (Dropper) — файл-носитель, устанавливающий вирус в систему. Техника иногда используемая вирусописателями для "прикрытия" вирусов от антивирусных программ. 

И

Исполняемый файл (Executable file) — файл, готовый к выполнению операционной системой. Например, в операционной системе MS DOS исполняемые файлы имеют расширения .exe, .com и .bat.
Файлы с расширением .exe, .com — это программы.
Файлы с расширением .bat — это пакетные файлы.

К

Kлюч реестра (Registry key) — запись в реестре, уникальный идентификатор, присваиваемый определенной части информации, хранящейся в реестре.

Компьютерные вирусы (Computer viruses) — это программы или фрагменты программного кода, которые, попав на компьютер, могут вопреки воле пользователя выполнять различные операции на этом компьютере — создавать или удалять объекты, модифицировать файлы данных или программные файлы, осуществлять действия по собственному распространению по локальным вычислительным сетям или по сети Интернет. Модификация программных файлов, файлов данных или загрузочных секторов дисков таким образом, что последние сами становятся носителями вирусного кода и в свою очередь могут осуществлять вышеперечисленные операции, называется заражением (инфицированием) и является важнейшей функцией компьютерных вирусов. В зависимости от типов заражаемых объектов выделяются различные типы вирусов.

O

Операционная система, ОС (Operating System, OS) — комплекс программ, организующих вычислительный процесс в вычислительной системе.

Основными функциями ОС являются распределение ресурсов вычислительной системы между задачами с целью их наиболее эффективного использования. Пользователь управляет ОС с помощью команд операционной системы.

П

Пакетный файл (то же, что командный файл) (Batch file) — исполняемый файл, содержащий команды операционной системы. Обычно имеет расширение .bat и представляет собой текстовый файл, каждая строка которого — команда операционной системы. Выполняется командным процессором.

Полиморфные вирусы (Polymorphic viruses) — или вирусы с самомодифицирующимися расшифровщиками (по Н.Н.Безрукову) — вирусы, использующие помимо шифрования кода специальную процедуру расшифровки, изменяющую саму себя в каждом новом экземпляре вируса, что ведет к отсутствию у него байтовых сигнатур. Расшифровщик не является постоянным — он уникален для каждого экземпляра вируса.

Порт (Port) — устройство сопряжения центрального процессора или оперативной памяти ЭВМ с другими устройствами с целью передачи данных.

Почтовая бомба (Mail bomb) — посланное на компьютер пользователя либо одно огромное сообщение, либо множество (несколько тысяч) почтовых сообщений, что может привести к полному краху системы.

Протокол (Protocol) — совокупность правил, определяющих алгоритм взаимодействия устройств, программ, систем обработки данных и процессов.

Протокол РОР (Post Office Protocol) — протокол почтового офиса, почтовый протокол — протокол сети Интернет, позволяющий осуществлять динамический доступ в почтовый ящик сервера с рабочей станции.

Протокол SMTP (Simple Mail Transfer Protocol) — протокол сети Интернет, позволяющий осуществлять отправку почты с рабочей станции на сервер.

Р

Ревизор (Revisor) — программа, периодически проверяющая изменения в потенциально заражаемых файлах, сверяя части системы с эталонными. Ревизор сначала сохраняет контрольные суммы контролируемых файлов и секторов, а в последствии проверяет соответствие эталонных и текущих значений контрольных сумм. Срабатывает в момент несовпадения (в следствие проникновения вируса).Позволяет выявить вирусную активность после заражения и в ряде случаев восстановить состояние файлов до заражения.Ревизор не в состоянии определить, в результате чего изменилась программа — ее поразил вирус или просто перетранслировали.

Реестр (Registry) — иерархическая база данных, в которой операционная система централизованным образом хранит всю системную информацию, в частности, конфигурацию вычислительной системы, значения различных параметров, сведения об установленных программах и т.д. Изменения в реестре производятся пользователем в окне редактирования реестра.

Резервная копия (Backup copy) — запасная копия содержимого диска, программы, файла, документа, создаваемая для использования в случае повреждения оригинала.

Pезидентный (в памяти) вирус (Memory resident virus) — постоянно присутствующий в памяти вирус, написанный, как правило, на языке Ассемблер или Си.

Такие вирусы обладают возможностью более эффективно заражать программы и противодействовать антивирусным средствам. Занимает небольшой объем памяти. Пребывает в состоянии готовности к продолжению выполнения своей задачи до выгрузки, перезагрузки или выключения компьютера. Активизируется и выполняет заданные вирусописателем действия, например, при достижении компьютером определенного состояния (срабатывания таймера, др.). Все бутовые вирусы резидентны.

Руткит (Rootkit) — вредоносная программа, предназначенная для перехвата системных функций операционной системы (API) с целью сокрытия своего присутствия в системе.

Руткит также может маскировать процессы других программ, различные ключи реестра, папки и файлы. Руткиты распространяются либо как самостоятельные программы, либо как дополнение к другим вредоносным программам.

C

Системный файл (System file) — файл, содержащий один из модулей операционной системы или набор данных, которые она использует.

Скрипт, сценарий (Script) — программа, особый вид программного кода, как правило, написанная на интерпретируемом (не компилируемом) языке и содержащая команды-инструкции.

Скрипт—вирусы (Script virus) — вирусы, написанные на языках Visual Basic, Java Script, Jscript и других. Программы на языках Visual Basic и Java Script могут располагаться как в отдельных файлах, так и встраиваться в HTML-документ и в таком виде интерпретироваться браузером с удаленного сервера или локального диска.

Скрытый файл (Hidden file) — файл, имя которого согласно политике безопасности не отражается в списке файлов каталога. Для этого он снабжается специальным знаком.

Спуфинг (Spoofing) — сетевая атака, заключающаяся в получении доступа в сеть обманным путем посредством имитации соединения. Используется для обхода систем управления доступом на основе IP-адресов, а также для маскировки ложных сайтов под их легальных двойников или просто под законные бизнес-проекты. Блокируется брандмауэром.

Стелс вирусы (Stealth virus) — вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.

Так называемая стелс-технология может включать в себя:

  • затруднение обнаружения вируса в оперативной памяти
  • затруднение трассировки и дезассемблирования вируса
  • маскировку процесса заражения
  • затруднение обнаружения вируса в зараженной программе и загрузочном секторе.

Сторож (Guard) — резидентная программа, контролирующая части операционной системы, потенциально открытые для проникновения вирусов и срабатывающая в момент такого проникновения. Сторож обнаруживает и блокирует попытки заражения файлов. При этом также обнаруживаются программы, пытавшиеся совершить подозрительное действие, вероятно, зараженные каким-либо вирусом.

Т

Таблица FAT (File Allocation Table) — таблица размещения файлов, таблица для размещения динамического пространства жесткого диска, единицей распределяемой памяти которой является кластер.

Типы вирусов
В зависимости от видов заражаемых объектов, компьютерные вирусы классифицируют по следующим типам:

  • Файловые вирусы (File viruses) — вирусы, заражающие двоичные файлы (в основном, исполняемые файлы и динамические библиотеки). Чаще всего, такие файлы имеют расширение .EXE, .COM, .DLL, .SYS. Также могут инфицировать файлы с расширениями .DRV, .BIN, .OVL и .OVY.
    Такие вирусы внедряются в файлы операционной системы, активируются при запуске пораженной программы и затем распространяются.
  • Загрузочные (бутовые) вирусы (Boot viruses) — вирусы, которые заражают загрузочные записи (Boot record) дискет, разделов жестких дисков, а также MBR (Master Boot Record) жестких дисков.
  • Макрокомандные вирусы (макровирусы) (Macroviruses) — вирусы, заражающие файлы документов, используемыe приложениями Microsoft Office и другими программами, допускающие наличие макрокоманд (чаще всего на языке Visual Basic). Благоприятным фактором распространения вируса служит то, что все основные компоненты Microsoft Office могут содержать встроенные программы (макросы) на полнофункциональном языке программирования, а в Microsoft Word эти макросы автоматически запускаются при открытии любого документа, его закрытии, сохранении и т.д.
    Кроме того, имеется так называемый общий шаблон NORMAL.DOT и макросы, помещенные в общий шаблон, автоматически запускаются при открытии любого документа. Учитывая то, что копирование макросов из документа в документ (в частности, в общий шаблон) выполняется всего одной командой, среда Microsoft Word идеальна для существования макрокомандных вирусов.

Троянцы (Trojans) — вредоносные программы, осуществляющие несанкционированные пользователем действия на его компьютере. Эти действия необязательно будут разрушительными, но они всегда направлены во вред пользователю.

Название этого типа атак происходит от известной легенды о деревянной статуе коня, использованной греками для проникновения в Трою.

Ф

Файловые вирусы (File viruses) — вирусы, заражающие двоичные файлы (в основном исполняемые файлы и динамические библиотеки). Такие вирусы внедряются в файлы операционной системы, активируются при запуске пораженной программы и затем распространяются.

Фарминг (Farming) — фарминг-технологии применяются для изменения DNS (Domain Name System) записи или записи в файле HOSTS. При посещении пользователем легитимной, с его точки зрения, страницы производится перенаправление на поддельную страницу, созданную для сбора конфиденциальной информации.

Фишинг (Phishing) — технология интернет-мошенничества, заключающаяся в краже личных конфиденциальных данных (паролей доступа, данных банковских и идентификационных карт и т. д.). Пользователей просят зайти на подделанный преступниками сайт такого учреждения и подтвердить пароли, PIN-коды и другую личную информацию, используемую впоследствии злоумышленниками для кражи денег со счета жертвы. Разновидность социальной инженерии.

Фоновый режим (Background) — задача, выполняемая системой незаметно для пользователя. Таким задачам обычно присваивается более низкий приоритет. Некоторые вредоносные программы действуют в фоновом режиме, совершая действия, невидимые пользователю.

Форматы файлов, чаще всего поражаемые вирусами (Target file formats)

  • .bat — пакетный файл
  • .com — командный файл, вид исполняемого файла, размер которого не может превышать 64 Кб.
  • .dll — файл библиотеки динамической компоновки
  • .elf — исполняемый файл в операционных системах Linux/UNIX
  • .exe — исполняемый файл
  • .ini — конфигурационный файл
  • .sys — системный файл

Э

Эвристический анализатор (эвристик) (Heuristic) — компонент антивирусной программы, который позволяет обнаруживать новые и неизвестные ранее вирусы. Эвристик анализирует как файлы, так и загрузочные сектора дисков. При эвристическом анализе осуществляется проверка исполняемого кода в исследуемом объекте и делается попытка выявить присутствие характерных для вирусов функций.