Терминология
По основному определению, вредоносные программы предназначены для получения несанкционированного доступа к информации, в обход существующих правил разграничения доступа. Федеральная Служба по Техническому и Экспортному Контролю (ФСТЭК России) определяет данные понятия следующим образом:
Санкционированный доступ к информации (англ. authorized access to information) — доступ к информации, не нарушающий правила разграничения доступа.
Несанкционированный доступ к информации (англ. unauthorized access to information) — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.
Правила разграничения доступа (англ. access mediation rules) — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа
Согласно статье 273 Уголовного Кодекса Российской Федерации («Создание, использование и распространение вредоносных программ для ЭВМ») определение вредоносных программ выглядит следующим образом: «… программы для ЭВМ или внесение изменений в существующие программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети…»
Надо отметить, что действующая формулировка статьи 273 трактует понятие вредоносности чрезвычайно широко. Когда обсуждалось внесение этой статьи в УК, подразумевалось, что «несанкционированными» будут считаться действия программы, не одобренные явным образом пользователем этой программы. Однако, нынешняя судебная практика относит к вредоносным также и программы, модифицирующие (с санкции пользователя) исполняемые файлы и/или базы данных других программ, если такая модификация не разрешена их правообладателями. При этом, в ряде случаев [1], при наличии принципиальной позиции защиты и грамотно проведенной экспертизе, широкая трактовка статьи 273 была признана судом незаконной.
Классификация вредоносных программ
У каждой компании-разработчика антивирусного программного обеспечения существует собственная корпоративная классификация и номенклатура вредоносных программ. Приведённая в этой статье классификация основана на номенклатуре «Лаборатории Касперского».
По вредоносной нагрузке
Помехи в работе заражённого компьютера: начиная от открытия-закрытия поддона CD-ROM и заканчивая уничтожением данных и поломкой аппаратного обеспечения.
Блокировка антивирусных сайтов, антивирусного ПО и административных функций ОС с целью усложнить лечение.
Саботирование промышленных процессов, управляемых компьютером.
Инсталляция другого вредоносного ПО.
Загрузка из сети (downloader).
Распаковка другой вредоносной программы, уже содержащейся внутри файла (dropper).
Кража, мошенничество, вымогательство и шпионаж за пользователем. Для кражи может применяться сканирование жёсткого диска, регистрация нажатий клавиш (Keylogger) и перенаправление пользователя на поддельные сайты, в точности повторяющие исходные ресурсы.
Похищение данных, представляющих ценность или тайну.
Кража аккаунтов различных служб (электронной почты, мессенджеров, игровых серверов…). Аккаунты применяются для рассылки спама. Также через электронную почту зачастую можно заполучить пароли от других аккаунтов.
Кража аккаунтов платёжных систем.
Блокировка компьютера, шифрование файлов пользователя с целью шантажа и вымогательства денежных средств. В большинстве случаев после оплаты компьютер или не разблокируется, или вскоре блокируется второй раз.
Использование телефонного модема для совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах.
Платное ПО, имитирующее, например, антивирус, но ничего полезного не делающее.
Прочая незаконная деятельность:
Получение несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него, в том числе прямое управление компьютером (так называемый backdoor).
Организация на компьютере открытых релеев (найти значение слова) и общедоступных прокси-серверов.
Заражённый компьютер (в составе ботнета) может быть использован для проведения DDoS-атак.
Сбор адресов электронной почты и распространение спама, в том числе в составе ботнета.
Накрутка электронных голосований, щелчков по рекламным баннерам.
Генерация монет платёжной системы Bitcoin.
Причинение вреда здоровью человека. Например:
Показ на экране компьютера изображений, опасных для слабонервных людей. Например, если человек страдает от светочувствительной эпилепсии, мерцание света и большой контраст могут вызывать припадки.
Файлы, не являющиеся истинно вредоносными, но в большинстве случаев нежелательные:
Шуточное ПО, делающее какие-либо беспокоящие пользователя вещи.
Adware — программное обеспечение, показывающее рекламу.
Spyware — программное обеспечение, посылающее через интернет не санкционированную пользователем информацию.
«Отравленные» документы, дестабилизирующие ПО, открывающее их (например, архив размером меньше мегабайта может содержать гигабайты данных и надолго «завесить» архиватор).
Программы удалённого администрирования могут применяться как для того, чтобы дистанционно решать проблемы с компьютером, так и для неблаговидных целей.
Руткит (найти значение слова) нужен, чтобы скрывать другое вредоносное ПО от посторонних глаз.
Иногда вредоносное ПО для собственного «жизнеобеспечения» устанавливает дополнительные утилиты: IRC-клиенты, программные маршрутизаторы, открытые библиотеки перехвата клавиатуры… Такое ПО вредоносным не является, но из-за того, что за ним часто стоит истинно вредоносная программа, детектируется антивирусами. Бывает даже, что вредоносным является только скрипт из одной строчки, а остальные программы вполне легитимны.