Здесь мы опишем функциональность, необходимую вредоносному программному обеспечению для выполнения своей вредоносной нагрузки. Большинство поведений, описанных в этом разделе, также можно найти в безопасных приложениях, таких как антивирусное программное обеспечение и другие механизмы безопасности.
Получение постоянства - вредоносное ПО должно найти способ загрузить себя после каждой перезагрузки. Для этой цели можно использовать реестр Windows, но также используются и другие методы, в том числе: изменение ярлыков, угон порядка поиска в DLL, подрыв процесса загрузки и загрузка вредоносного ядра (такое вредоносное ПО называется буткит), заражение оборудования и др.
Один из методов, который вредоносные программы используют для обеспечения устойчивости, заключается в добавлении себя в точку автоматического запуска (ASEP), например в ключ запуска реестра в Windows. Например, добавление вредоносной команды в разделы реестра Run или RunOnce приведет к тому, что компьютер выполнит эту команду, когда система завершит процесс загрузки. Используя вредоносные сценарии, вредоносные программы без файлов могут принудительно загружать их вредоносный код обратно в ОЗУ при каждом запуске операционной системы без наличия файла на жестком диске.
Связь с C & C (командным сервером) - Связь с C & C включает получение команд от обработчика, получение обновлений и отправку извлеченных данных. Связь с вредоносными программами обычно скрыта, что позволяет вредоносным программам обходить средства обнаружения и брандмауэр. Например под легальный трафик: Skype и другие.
Сбор данных. Вредоносные программы собирают данные из различных источников, включая: энергозависимую память (например, пароли, учетные данные и криптографические ключи), файловую систему (например, документы), операционную систему (например, значения реестра, активные процессы, конфигурацию системы, открытые окна), возможности использования (например, посещенные веб-сайты, открытые документы, нажатия клавиш) и сеть (например, подключенные принтеры, открытые порты на других хостах).
Распространение - методы распространения включают в себя отправку заражающих писем (с помощью вложений или вредоносных скриптов); использование уязвимостей для удаленного выполнения; общий доступ к файлам (например, общий доступ к файлам P2P, торрент-клиенты, общие папки); и использование Bluetooth, USB и других портативных устройств.
Получение постоянства - вредоносное ПО должно найти способ загрузить себя после каждой перезагрузки. Для этой цели можно использовать реестр Windows, но также используются и другие методы, в том числе: изменение ярлыков, угон порядка поиска в DLL, подрыв процесса загрузки и загрузка вредоносного ядра (такое вредоносное ПО называется буткит), заражение оборудования и др.
Один из методов, который вредоносные программы используют для обеспечения устойчивости, заключается в добавлении себя в точку автоматического запуска (ASEP), например в ключ запуска реестра в Windows. Например, добавление вредоносной команды в разделы реестра Run или RunOnce приведет к тому, что компьютер выполнит эту команду, когда система завершит процесс загрузки. Используя вредоносные сценарии, вредоносные программы без файлов могут принудительно загружать их вредоносный код обратно в ОЗУ при каждом запуске операционной системы без наличия файла на жестком диске.
Связь с C & C (командным сервером) - Связь с C & C включает получение команд от обработчика, получение обновлений и отправку извлеченных данных. Связь с вредоносными программами обычно скрыта, что позволяет вредоносным программам обходить средства обнаружения и брандмауэр. Например под легальный трафик: Skype и другие.
Сбор данных. Вредоносные программы собирают данные из различных источников, включая: энергозависимую память (например, пароли, учетные данные и криптографические ключи), файловую систему (например, документы), операционную систему (например, значения реестра, активные процессы, конфигурацию системы, открытые окна), возможности использования (например, посещенные веб-сайты, открытые документы, нажатия клавиш) и сеть (например, подключенные принтеры, открытые порты на других хостах).
Распространение - методы распространения включают в себя отправку заражающих писем (с помощью вложений или вредоносных скриптов); использование уязвимостей для удаленного выполнения; общий доступ к файлам (например, общий доступ к файлам P2P, торрент-клиенты, общие папки); и использование Bluetooth, USB и других портативных устройств.