• Заменяем платный гудок на стандартный
• Управление в Интернете совершенствуется
• Телефон "Самсунг Ля Флер" (Samsung La Fleur): технические характеристики и отзывы Самсунг ля флер сенсорный андроид
• Прошивка Lenovo P780 (прошивка радиомодуля)
• Не идет звук через HDMI на телевизор с компьютера
• Как отключить тачпад на ноутбуке?
• • Ты создаёшь тест • Создай себе сам тест
• Если нет отформатированных заголовков
• Полное удаление антивируса ESET NOD32 с компьютера
• Последовательное и параллельное соединение резисторов Как понизить сопротивления переменного резистора

SpyWare - программы-шпионы. Программой - шпионом (альтернативные названия - Spy, SpyWare, Spy-Ware, Spy Trojan) принято называть программное обеспечение, собирающее и передающее кому-либо информацию о пользователе без его согласия. Информация о пользователе может включать его персональные данные, данные о его денежных счетах, конфигурацию его компьютера и операционной системы, статистику работы в сети Интернет и другое.

Шпионское ПО применяется для ряда целей, из которых основным являются маркетинговые исследования и целевая реклама. В этом случае информация о конфигурации компьютера пользователя, используемом им программном обеспечении, посещаемых сайтах, статистика запросов к поисковым машинам и статистика вводимых с клавиатуры слов позволяет очень точно определить род деятельности и круг интересов пользователей. Поэтому чаще всего можно наблюдать связку SpyWare - Adware, т.е. "Шпион" - "Модуль показа рекламы". Шпионская часть собирает информацию о пользователе и передает ее на сервер рекламной фирмы. Там информация анализируется и в ответ высылается рекламная информация, наиболее подходящая для данного пользователя. В лучшем случае реклама показывается в отдельных всплывающих окнах, в худшем - внедряется в загружаемые страницы и присылается по электронной почте. Вред, наносимый воровством персональной информации - является уголовно наказуемым деянием в большинстве развитых стран.

Однако собранная информация может использоваться не только для рекламных целей - например, получение информации о ПК пользователя может существенно упростить хакерскую атаку и взлом компьютера пользователя. А если программа периодически обновляет себя через Интернет, то это делает компьютер очень уязвимым - элементарная атака на DNS может подменить адрес источника обновления на адрес сервера хакера - такое "обновление" приведет к внедрению на ПК пользователя любого постороннего программного обеспечения.

Шпионское программное обеспечение может попасть на компьютер пользователя двумя основными путями:

1. В ходе посещения сайтов Интернет. Наиболее часто проникновение шпионского ПО происходит про посещении пользователем хакерских и warez сайтов, сайтов с бесплатной музыкой и порносайтов. Как правило, для установки шпионского ПО применяются ActiveX компоненты или троянские программы категории TrojanDownloader по классификации лаборатории Касперского http://www.kaspersky.ru/. Многие хакерские сайты могут выдать crack Программа для взлома лицензионного ПО (крек), содержащий шпионскую программу или TrojanDownloader для ее загрузки;

2. В результате установки бесплатных или условно-бесплатных программ. Самое неприятное состоит в том, что подобных программ существует великое множество, они распространяются через Интернет или на пиратских компакт-дисках.

Точных критериев для занесения программы в категорию "SpyWare" не существует, и очень часто создатели антивирусных пакетов относят программы категорий "Adware" (приложение, предназначенное для загрузки на ПК пользователя информации рекламного характера для ее последующей демонстрации и "Hijacker" (утилита, которая изменяет настройки браузера без ведома пользователя) к категории "SpyWare" и наоборот.

Для определенности предлагается ряд правил и условий, при соблюдении которых программу можно классифицировать как SpyWare. В основу классификации положены наиболее распространенные SpyWare программы:

1. Программа скрытно устанавливается на компьютер пользователя. Смысл данного пункта состоит в том, что инсталлятор обычной программы должен уведомить пользователя о факте установки программы (с возможностью отказа от установки), предложить выбрать каталог для установки и конфигурацию. Кроме того, после установки инсталлятор должен создать пункт в списке "Установка и удаление программ", вызов которого выполнит процесс деинсталляции и создать соответствующие записи в файле реестра операционной системы. Шпионское программное обеспечение обычно устанавливается экзотическим способом (часто с использованием троянских модулей категории Trojan-Downloader) скрытно от пользователя, при это его деинсталляция в большинстве случаев невозможна. Второй путь инсталляции SpyWare - скрытная установка в комплекте с какой-либо популярной программой;

2. Программа скрытно загружается в память в процессе загрузки компьютера. Стоит отметить, что разработчики современных SpyWare начали применять Rootkit В системах Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать свое присутствие в системе. Кроме того, как правило, rootkit может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. технологии для маскировки процесса в памяти и файлов на диске. Кроме того, становится популярным создание "неубиваемых" процессов - т.е. запуск двух процессов, которых перезапускают друг друга в случае остановки. Такая технология в частности применяется в SpyWare.WinAd;

3. Программа выполняет некоторые операции без указания пользователя - например, принимает или передает какую-либо информацию из Интернет;

4. Программа загружает и устанавливает свои обновления, дополнения, модули расширения или иное ПО без ведома и согласия пользователя. Данное свойство присуще многим шпионским программам и чрезвычайно опасно, т.к. загрузка и установка обновлений и дополнительных модулей происходит скрытно и часто ведет к нестабильной работе системы. Более того, механизмы автоматического обновления могут быть использованы злоумышленниками для внедрения на ПК пользователя троянских модулей;

5. Программа модифицирует системные настройки или вмешивается в функционирование других программ без ведома пользователя. Например, шпионский модуль может изменить уровень безопасности в настройках браузера или внести изменения в настройки сети;

6. Программа модифицирует информацию или информационные потоки. Типовым примером являются разные расширения для программы Outlook Express, которые при отправке письма приписывают к нему свою информацию. Второй распространенный пример - модификация загружаемых из Интернет страниц (в страницы включается рекламная информация, некоторые слова или фразы превращаются в гиперссылки)

В данной классификации следует особо отметить тот факт, что программа категории SpyWare не позволяет удаленно управлять компьютером и не передает пароли и аналогичную им информацию своим создателям - подобные действия специфичны другой категории программ - "Trojan" и "BackDoor". Однако по многим параметрам программы категории SpyWare являются родственниками троянских программ.

Группировка файлов, проведенная по классификации "Лаборатории Касперского" и процентный состав программ - шпионов показан на рис. 1.

Как следует из диаграммы, 38% от количества образцов составляют AdWare и SpyWare (нужно отметить, что в классификации ЛК отсутствует SpyWare - в эту категорию внесены наиболее вредоносные из представителей AdWare). Подавляющее количество образцов Trojan-Downloader данной коллекции являются программами для скрытной загрузки и установки представленных в коллекции вредоносных программ. Trojan-Spy - это шпионское программное обеспечение в чистом виде, передающее важные сведения о пользователе: пароли, номера кредитных карт, вводимый с клавиатуры текст. В категории Trojan отобраны программы следующих разновидностей: Trojan-Dialer (программы для скрытной модификации параметров набора телефонного номера или дозвона по платным телефонам), Trojan.StartPage (модифицирующие стартовую страницу и параметры поиска Internet Explorer, эти программы также известны как Hijacker),

Процентный состав программ - шпионов проведена по классификации "Лаборатории Касперского"

Как следует из диаграммы, 38% от количества образцов составляют AdWare и SpyWare Подавляющее количество образцов Trojan-Downloader данной коллекции являются программами для скрытной загрузки и установки представленных в коллекции вредоносных программ. Trojan-Spy - это шпионское программное обеспечение в чистом виде, передающее важные сведения о пользователе: пароли, номера кредитных карт, вводимый с клавиатуры текст. В категории Trojan отобраны программы следующих разновидностей: Trojan-Dialer (программы для скрытной модификации параметров набора телефонного номера или дозвона по платным телефонам), Trojan.StartPage (модифицирующие стартовую страницу и параметры поиска Internet Explorer, эти программы также известны как Hijacker), Trojan.LowZones (модифицирующие параметры безопасности Internet Explorer). В категорию "Прочее" попали вредоносные программы других классов - здесь представлено около 50 сетевых и почтовых червей распространенных типов, 12 эксплоитов для Internet Explorer (применяемых для запуска инсталляторов SpyWare) и 70 специализированных троянских программ (TrojanPSW и Trojan-Proxy). Backdoor -основным назначением является несанкционированное, тайное управление компьютером.

Вредоносные программы, трояны и угрозы

Большинство компьютеров подключены к сети (интернет, локальная сеть), что упрощает распространение вредоносных программ (по российским стандартам такие программы называются "разрушающие программные средства", но, потому что данное понятие мало распространено, в обзоре будет использоваться понятие "вредоносные программы"; на английском языке они называются Malware). К таким программам относятся трояны (также известные как троянские кони), вирусы, черви, шпионское ПО, рекламное ПО, руткиты и различные другие виды.

Еще одним плюсом является то, что MBAM редко вызывает какие-либо конфликты с другими утилитами защиты от вредоносного ПО.

Бесплатный сканер троянов SUPERAntiSpyware

. Кроме шпионского ПО, эта программа сканирует и удаляет другие виды угроз, такие как: дозвонщики, клавиатурные шпионы , черви, руткиты и т.д.

Программа имеет три вида сканирования: быстрое, полное или выборочное сканирование системы. Перед сканированием программа предлагает проверить обновления, чтобы сразу же защитить Вас от новейших угроз. SAS имеет свой черный список. Это список из 100 примеров различных DLL и EXE-файлов, которых не должно быть на компьютере. При нажатии на любой из пунктов в списке, Вы получите полное описание угрозы.

Одна из важных особенностей программы - это наличие Hi-Jack защиты, которая не позволяет другим приложениям завершить работу программы (за исключением Task Manager).

К сожалению, бесплатная версия этой программы не поддерживает защиту в реальном времени, запуска сканирования по расписанию и ряд других функций.

Еще программы

Другие бесплатные сканеры троянов, не вошедшие в обзор:

• Rising PC Doctor (более недоступен, в интернете, возможно, еще можно найти старые версии) - сканер троянов и шпионского ПО. Предлагает возможность автоматической защиты от ряда троянов. Так же предлагает следующие инструменты: управление автозагрузкой , менеджер процессов , менеджер сервисов, File Shredder (программа удаления файлов, без возможности их восстановления) и другие.
• FreeFixer - просканирует вашу систему и поможет удалить трояны и другие вредоносные программы. Но, от пользователя требуется правильно интерпретировать результаты работы программы. Особую осторожность необходимо проявлять при принятии решения удаления важных файлов системы, так как это может повредить вашей системе. Однако есть форумы, на которых Вы можете проконсультироваться, если сомневаетесь в решении (ссылки на форумы есть на сайте).
• Ashampoo Anti-Malware (К сожалению, стала триальной. Возможно, ранние версии еще можно найти в интернете) - изначально этот продукт был только коммерческим. Бесплатная версия обеспечивает защиту в режиме реального времени, а также предлагает различные инструменты оптимизации.

Руководство по быстрому выбору (ссылки на скачивание сканеров троянов)

Emsisoft Anti-Malware

PC Tools ThreatFire

Вирусы, шпионы, трояны и диалеры: кто, зачем и как

Я думаю, что, если сегодня у любого школьника спросить, что такое лавсан, он не станет рассказывать вам о «синтетическом волокне, получаемом при помощи поликонденсации этиленгликоля и двухосновной кислоты ароматического ряда». Нет, его ответ будет вроде этого: «Lovesan, он же msblast – проникающий в операционную систему семейства Microsoft Windows, используя уязвимость в службе DCOM RPC Microsoft Windows». Я боюсь предположить, какие ассоциации будут через некоторое время со словом doom. Явно не только с одноименной игрой.

Как вы могли понять из названия и вступления, разговор сейчас пойдет о вирусах и иже с ними. Прежде чем перейти к ответам на вопросы, поставленным в названии главы, мне бы хотелось пройтись непосредственно по нашим сегодняшним «гостям». Здесь же будет дан ответ на вопрос, как все это попадает в наши компьютеры.

Суть программы, несущие какие-то деструктивные последствия. Причем неважно, в чем они заключаются: здесь может быть все – от банальной замены разрешений файла и порчи его внутреннего содержания до нарушения работы Интернета и краха операционной системы. Также под вирусом подразумевают программу, не только несущую деструктивные функции, но и способную размножаться. Вот что сказано по этому поводу в одной умной книге: «Обязательным (необходимым) свойством компьютерного вируса является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению» (Евгений Касперский, «Компьютерные вирусы»), Действительно, для того, чтобы выжить, вирусам необходимо размножаться, и это доказано такой наукой, как биология. Кстати, именно от тех самых биологических вирусов и произошло название компьютерных. И сами они вполне оправдали свое название: все вирусы просты и, тем не менее, несмотря на старания антивирусных компаний, затраты которых исчисляются огромными суммами, живут и процветают. За примерами далеко ходить не надо: возьмем хотя бы такой вирус, как I-Worm.Mydoom.b. Уж сколько раз говорили, что нельзя открывать вложенные файлы и сообщения электронной почты от неизвестных лиц, да и к посланиям от известных следует относиться с опаской, особенно если вы о таком не договаривались. К тому же, если текст письма будет содержать примерно следующее: «Зацени классную фотку моей девушки», то тут уж его сразу же необходимо удалить. Но если в приведенном выше примере текст еще имеет смысл, то содержание писем, зараженных mydoom’oM, довольно странное. Судите сами: «The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received. The message contains Unicode characters and has been sent as a binary attachment. The message contains MIME-encoded graphics and has been sent as a binary attachment. Mail transaction failed. Partial message is available».

Внутри письма содержится файл, имеющий 9 вариантов названия вложенного файла и 5 вариантов расширения. Ко мне на ящик приходило две вариации. Первая – zip-apхив с якобы doc-файлом, а второй – это простой ехе’шник с иконкой, замененной на иконку блокнота. Если во втором случае любой пользователь может заметить подвох, посмотрев на разрешение, то в первом сделать это уже сложнее. Именно к первому случаю я склонен относить наибольшее количество заражений. Что делает данный вирус, я рассказывать не буду, т. к. про это уже много раз сказано в печатных изданиях и интернет-ресурсах. На примере Муdoom мы познакомились с первым способом распространения вирусов – через электронную почту.

Следующий способ рассмотрим на примере Worm.Win32.Lovesan (известного также как msblast). Чем же примечателен этот вирус, и почему заражение им приобрело массовый характер? Примечателен сей индивид тем, что в принципе никак не влияет на работоспособность системы в целом. Компьютер, зараженный им, просто не может нормально работать в Интернете. Через некоторое время выскакивает табличка с сообщением об ошибке RPC, после чего компьютер перезагружается.

Еще один способ – через Интернет, когда вы скачиваете файлы (в желательном или нежелательном варианте). Опять же, объясню на примерах. Пример желательного. Вы скачиваете из Сети какой-нибудь новый прикол, или программу, или игру, а она заражена вирусом. После загрузки программа/игра/прикол запускается, и – вуаля – вы являетесь обладателем вируса. Что тут можно сказать? Будьте бдительны, регулярно обновляйте базы данных своего антивируса, проверяйте все программы антивирусом и не забывайте хотя бы основы компьютерной безопасности. Кто-то может сказать: «А зачем мне, например, проверять программы, которые не могли быть заражены вирусом?». Хочется спросить: «Это что ж за программы такие?» Любые программы могут быть заражены, особенно если скачиваются они с варезников или сайтов хакерских групп.

Теперь перейдем к нежелательной загрузке. Я бы выделил два вида такой загрузки. Первый – когда пользователь и не подозревает о том, что на его компьютер что-то загружается. Выполняется данная загрузка посредством выполнения скриптов. Второй вид нежелательной загрузки – это когда загружается не то, что надо. Приведу пример. В свое время один сайт с крэками непосредственно перед закачкой файла предлагал установить то «Free XXX bar», то «100 % крэк Интернета». Если пользователь согласился с этим (а я уверен, что такие были, ибо еще помню вопрос месяца в «Виртуальных Радостях» про «стопроцентный крэк инета»), то происходила закачка трояна или вируса. Разница, в принципе, небольшая. Однако это еще не самое интересное: в случае отклонения такого заманчивого предложения выскакивала табличка с надписью приблизительно следующего содержания: «Site error» и кнопочкой О К или Continue, по нажатии на которую закачка трояна все же происходила, правда, уже без ведома пользователя. И спасти от этого мог лишь файрволл (firewall).

Троян - это программа, которая предоставляет посторонним доступ к компьютеру для совершения каких-либо действий на месте назначения без предупреждения самого владельца компьютера либо высылает по определенному адресу собранную информацию. При этом она, как правило, выдает себя за что-нибудь мирное и чрезвычайно полезное.

Часть троянских программ ограничивается тем, что отправляет ваши пароли по почте своему создателю или человеку, который сконфигурировал эту программу (e-mail trojan). Однако для пользователей Internet наиболее опасны программы, позволяющие получить удаленный доступ к их машине со стороны (BackDoor ). Очень часто трояны попадают на компьютер вместе с полезными программами или популярными утилитами, маскируясь под них.

Особенностью этих программ, заставляющей классифицировать их как вредные, является отсутствие предупреждения об их инсталляции и запуске. При запуске троян устанавливает себя в систему и затем следит за ней, при этом пользователю не выдается никаких сообщений о его действиях. Более того, ссылка на троянца может отсутствовать в списке активных приложений или сливаться с ними. В результате пользователь компьютера может и не знать о его присутствии в системе, в то время как компьютер открыт для удаленного управления.

Достаточно часто под понятием «троян» подразумевается вирус. На самом деле это далеко не так. В отличие от вирусов, трояны направлены на получение конфиденциальной информации и доступ к определенным ресурсам компьютера.

Возможны различные пути проникновения трояна в вашу систему. Чаще всего это происходит при запуске какой-либо полезной программы, в которую внедрен сервер трояна. В момент первого запуска сервер копирует себя в какую-нибудь директорию, прописывает себя на запуск в системном реестре, и даже если программа-носитель никогда больше не запустится, ваша система уже заражена трояном. Заразить машину можете вы сами, запустив зараженную программу. Обычно это происходит, если программы скачиваются не с официальных серверов, а с личных страничек. Внедрить трояна могут также посторонние люди при наличии доступа к вашей машине, просто запустив его с дискеты.

На данный момент наибольшее распространение получили трояны следующих типов:

1. Утилиты скрытого (удаленного) администрирования (BackDoor – с англ. «задняя дверь»), Троянские кони этого класса по своей сути являются достаточно мощными утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые известными фирмами – производителями программных продуктов. Современные утилиты скрытого администрирования (BackDoor) достаточно просты в использовании. Они обычно состоят главным образом из двух основных частей: сервера (исполнитель) и клиента (управляющий орган сервера). Сервер - это исполняемый файл, который определенным образом внедряется в вашу машину, загружается в память одновременно с запуском Windows и выполняет получаемые от удаленного клиента команды. Сервер отправляется жертве, и в дальнейшем вся работа ведется через клиента на компьютере хакера, т. е. через клиента посылаются команды, а сервер их выполняет. Внешне его присутствие никак не обнаруживается. После запуска серверной части трояна на компьютере пользователя резервируется определенный порт, отвечающий за связь с Интернетом.

После этих действий злоумышленник запускает клиентскую часть программы, подключается к этому компьютеру через открытый в онлайне порт и может выполнять на вашей машине практически любые действия (это ограничивается лишь возможностями используемой программы). После подключения к серверу управлять удаленным компьютером можно практически как своим: перезагружать, выключать, открывать CD-ROM, удалять, записывать, менять файлы, выводить сообщения и т. д.

На некоторых троянах можно изменять открытый порт в процессе работы и даже устанавливать пароль доступа для «хозяина» данного трояна. Существуют также трояны, которые позволяют использовать «затрояненную» машину в качестве прокси-сервера (протоколы HTTP или Socks) для сокрытия реального IP-адреса хакера.

2. Почтовые (e-mail trojan).

Трояны, позволяющие «вытаскивать» пароли и другую информацию из файлов вашего компьютера и отправлять их по электронной почте хозяину. Это могут быть логины и Internet-пароли провайдера, пароль от почтового ящика, пароли ICQ, и IRC и др. Чтобы отправить письмо владельцу по почте, троян связывается с почтовым сервером сайта по протоколу SMTP (например, на smtp.mail.ru). После сбора необходимых данных троян проверит, отсылались ли эти данные. Если нет – данные отсылаются и сохраняются в регистре. Если уже отсылались, то из регистра извлекается предыдущее письмо и происходит его сравнение с текущим. Если в информации произошли какие-либо изменения (появились новые данные), то письмо отсылается, и в регистре записываются свежие данные о паролях. Одним словом, этот вид троянов просто занимается сбором информации, и жертва может даже и не догадываться, что ее пароли уже кому-то известны.

3. Клавиатурные (Keyloggers).

Эти трояны записывают все, что было набрано на клавиатуре (включая пароли) в файл, который впоследствии отправляется на определенный e-mail или просматривается через FTP (File Transfer Protocol). Keylogger’bi обычно занимают мало места и могут маскироваться под другие полезные программы, из-за чего их бывает трудно обнаружить. Еще одной причиной трудности обнаружения такого трояна является то, что его файлы называются как системные. Некоторые трояны этого типа могут выделять и расшифровывать пароли, найденные в специальных полях для ввода паролей.

Такие программы требуют ручной настройки и маскировки. Keylogger’bi можно использовать не только в хулиганских целях. Например, их очень удобно поставить на своем рабочем месте или дома на время отъезда.

4. Программы-шутки (Joke programs).

Эти программы безвредны по своей сути. Они не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, может быть причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности. Программы-шутки запугивают пользователя сообщениями о форматировании жесткого диска, определяют вирусы в незараженных файлах, выводят странные вирусоподобные сообщения и т. д. – это зависит от чувства юмора создателя такой программы. Конечно же, тут нет никаких причин для волнения, если за этим компьютером не работают другие неопытные пользователи, которых подобные сообщения могут сильно напугать.

5. К «троянским коням» также можно отнести зараженные файлы, код которых определенным образом подправлен или изменен криптографическим методом. Например, файл шифруется специальной программой и/или упаковывается неизвестным архиватором. В итоге даже последние версии антивирусов не могут определить наличие в файле трояна, так как носитель кода отсутствует в их антивирусной базе.

Способы их проникновения не отличаются от вышеописанных. Поэтому сразу же перейдем к рассмотрению. Тут необходимо оговориться, что существуют вполне мирные диалеры, называемые в народе «звонилками». Эти программы используются с целью помочь пользователям dial-up’a дозвониться до провайдера и по возможности поддерживать с ним стабильную связь даже на старых или «модернизированных» линиях. Те же, о которых пойдет наш разговор, имеют другое название – боевые диалеры. Используя бреши в операционной системе, а иногда и по халатности или наивности пользователей (см. выше про «100 % крэк Интернета») данные программы подменяют телефон провайдера телефоном оператора связи из какой-нибудь экзотической страны. Причем, в большинстве случаев, в окне набора номера остается старый добрый телефон провайдера. Еще диалеры прописывают в планировщике задание позвонить в заданное время. И хорошо, если пользователь имеет привычку выключать модем или он у него внешний и орет так, что мама не горюй. А если модем тихонький да встроенный? Вот и я о том. И узнает бедолага о своем горе лишь по приходу ба-а-алыного такого счета за телефон.

Пришла пора рассказать о том, кто же пишет и запускает всю эту гадость в Сеть. Здесь я попытаюсь классифицировать те группы людей, которые занимаются этим неблаговидным делом. Тут не будет сказано о так называемых «белых» хакерах. Объясню, почему. Данная разновидность не представляет опасности для общества и скорее несет ему пользу. Именно они чаще всего пишут вирусы-антивирусы для обезвреживания особо вредоносных особей. Почему вирусы? Эти программы распространяются по тому же механизму, что и вирусы. Почему анти-? Потому что блокируют или удаляют определенный вид вируса с компьютера. Главным их отличием от вирусов является также самоликвидация после выполнения своей задачи и отсутствие каких-либо деструктивных функций. Примером может служить подобный вирус, появившийся в Сети через некоторое время после рецидива Lovesan’a. После загрузки вируса-антивируса Lovesan удалялся, а пользователю предлагалось загрузить обновления для Windows. «Белые» хакеры также находят бреши в программном обеспечении и компьютерных системах, после чего сообщают о найденных ошибках компаниям. Теперь перейдем непосредственно к нашей классификации.

Тип первый: «дети скриптов». Зовут себя не иначе как HaCkeR-rr, читают журнал «Хакер», не знают ни одного языка программирования, а всех «своих» троянов и вирусов творят посредством скачивания готовых программ из Сети. (Чтобы избежать наездов, оговорюсь, что журнал «Хакер», в принципе, неплох, и материал в нем подается в довольно простой форме – местами, правда. Но в простой форме для людей, уже имеющих какой-то багаж знаний. И материал они дают с умом – не рассказывают все до конца – дабы не привлекли их никуда, надо думать.) Эти «хакеры» обычно, после того как пришлют кому-нибудь скачанный откуда-нибудь троян, и последний сработает, тут же начинают орать на форумах о своей крутизне и т. д. и т. п. За что тут же вполне справедливо получают в свой адрес кучу нелицеприятных высказываний, ибо не дело это. Раз уж напакостил, то лучше помолчи. Особой опасности данные индивиды не представляют, т. к. на более-менее масштабное дело у них просто не хватит ни опыта, ни (в некоторых случаях) мозгов.

Тип второй: «начинающий». Данный вид является прямым потомком первого. Некоторые из представителей первого типа, спустя какой-то промежуток времени, начинают понимать, что они не так круты, как им казалось, что, оказывается, существуют еще и языки программирования, что можно что-то сделать и после этого не орать на весь мир про то, «какой я молодец». Кто-то из них в будущем, возможно, превратится в представителя класса профи. Эти люди начинают учить какой-нибудь язык, пробовать что-то писать, в них начинает просыпаться творческая мысль. И одновременно они начинают представлять определенную опасность для общества, ибо кто знает, какое ужасающее произведение по неопытности может сочинить такой представитель класса вирусописателей. Ведь когда код пишет профессионал, он, все-таки, осознает, что некоторые вещи делать не нужно, т. к. они могут сыграть против него. У новичка таких знаний нет, и этим он опасен.

Тип третий: «профи». Развиваются из второго вида. «Профи» отличаются глубоким знанием языков программирования, сетевой безопасности, разбираются в глубинах операционных систем и, что самое важное, обладают очень серьезными знаниями и пониманием механизма работы сетей и компьютерных систем. Причем «профи» не только узнают о брешах в системах безопасности из бюллетеней компаний, но и сами находят их. Часто они объединяются в хакерские группы для улучшения качества своей «работы». Эти люди, в основном, скрытные и не жадные до славы, при проведении какой-нибудь успешной операции не бегут сообщать об этом всему миру, а предпочитают мирно отпраздновать успех в кругу друзей. Безусловно, представляют большую опасность, но, поскольку все они люди знающие, то не пойдут на действия, которые могут вызвать глобальный обвал какой-либо системы – к примеру, Интернета. Хотя бывают и исключения (не все еще забыли про Slammer’a).

Тип четвертый: «промышленные хакеры». Наиболее опасные для общества представители семейства хакеров. Их по праву можно называть настоящими преступниками. Именно на их совести лежит написание большей части диалеров и взлом сетей банков, крупных компаний и правительственных учреждений. Зачем и ради чего они это делают, мы поговорим ниже. «Промышленники» не считаются ни с чем и ни с кем, эти индивиды способны пойти на все ради достижения своих целей.

Теперь обобщим написанное.

«Дети скриптов»: молодо, зелено да неопытно. Хочется показать, что ты круче всех, а круче тебя – только Крутой Сэм.

«Начинающий»: появилась тяга к написанию чего-то самостоятельного. Часть из них, к счастью, после попытки освоения премудростей интернет-протоколов и языков программирования бросают это дело и идут заниматься чем-то более мирным.

«Профи»: если вдруг наступает состояние «осознал свою вину, меру, степень, глубину», то представитель данного вида становится высококвалифицированным специалистом по компьютерной безопасности. Хотелось бы, чтобы побольше профи перешло к такому состоянию.

«Промышленники»: ничего святого. Про таких хорошо говорит народная мудрость: «Горбатого могила исправит».

Таково грубое разделение на типы представителей класса компьютерных злоумышленников. Теперь перейдем к вопросу: зачем они это делают.

А действительно, зачем пишутся вирусы, трояны, диалеры и прочая нечисть? Одной из причин является желание самоутверждения. Оно характерно для представителей первого и второго типа. Одному просто нужно показать своим друзьям, что он «типа того, реальна, крутой пацан», второму – прежде всего для поднятия уровня самооценки. Вторая причина – получение опыта. Характерна для начинающих. После написания своего первого шедевра, естественно, хочется его на ком-нибудь испытать, – не на себе же, в самом деле. Вот и появляется в Сети определенное число новых, не всегда очень опасных, вирусов.

Следующая причина – дух соперничества. Вы никогда не слышали про хакерские соревнования? Последнее, известное мне состоялось летом. Победила бразильская хакерская группа (оказывается, не только футбол у них силен). Задача стояла следующая: кто сломает больше всего сайтов. Но я уверен, что есть соревнования и по самому навороченному вирусу, и по самому лучшему клавиатурному шпиону.

Адреналин – еще одна причина. Представьте себе: ночь, свет монитора, пальцы бегают по клавиатуре, вчера была найдена брешь в системе защиты, сегодня нужно попытаться получить доступ к системе и показать товарищу администратору, кто в доме хозяин. Следом за этой причиной идет и следующая – романтика. А что, кому нравится на закат смотреть, кому на звезды, а кому – вирусы писать. Сколько людей, столько и вкусов.

Причина следующая – политический или социальный протест. По этой причине взламывается большинство правительственных сайтов, сайтов политических партий, печатных и интернет-изданий, а также крупных корпораций. За примерами далеко ходить не надо. Сразу же после начала войны в Ираке были произведены атаки на американские правительственные сайты со стороны недовольных политикой Буша, а также на сайт арабской газеты «Аль-Джазира» и ряд других арабских ресурсов с противоположной стороны.

И, пожалуй, последняя причина – это вездесущие деньги. Ради них, в основном, работают, если можно так выразиться, промышленные хакеры. Взламывая сети банков, они получают доступ к счетам клиентов. Что за этим последует, догадаться нетрудно. Собирая информацию о любом пользователе Сети посредством программ-шпионов, они в дальнейшем занимаются банальным шантажом. Действия, на которые идут «промышленники», можно перечислять еще очень долго, хочу лишь еще раз сказать, что именно они являются полноценными компьютерными преступниками, и относиться к ним нужно как к преступникам.

автора Журнал «Компьютерра»

Из книги Журнал «Компьютерра» №25-26 от 12 июля 2005 года автора Журнал «Компьютерра»

Шпионы, учите матчасть! Похоже, в мире начинаются серьезные перемены. Во всяком случае, ничего подобного еще не бывало. Итальянский суд выдал ордер на арест тринадцати сотрудников ЦРУ США по обвинению в похищении человека. И пусть человек этот, имам миланской мечети

Из книги Журнал «Компьютерра» № 35 от 25 сентября 2007 года автора Журнал «Компьютерра»

АНАЛИЗЫ: Шпионы в стране Wikipedia Автор: Киви БердВпечатляющий рубеж в два миллиона статей, достигнутый англоязычным сегментом Википедии в сентябре нынешнего года, – огромный и несомненный успех мирового интернет-сообщества, объединенными усилиями сумевшего создать

Из книги Сбои и ошибки ПК. Лечим компьютер сами. Начали! автора Ташков Петр

Глава 4 Вирусы, трояны и программы-шпионы Наверное, не будет ошибкой сказать, что вместе с компьютером появились и программы, пытающиеся ему навредить. Различные вирусы, троянские кони, приложения-шпионы, «черви» и прочие неприятные программные вредители постоянно держат

Из книги Сбои и ошибки ПК. Лечим компьютер сами автора Донцов Дмитрий

Блокируем троянских коней, «червей» и программы-шпионы Когда-то давно, с появлением первых вирусов, главной опасностью было заражение компьютера и офисных документов. В принципе, большой проблемы в этом не было, поскольку антивирусная программа умела справляться с

Из книги Цифровой журнал «Компьютерра» № 97 автора Журнал «Компьютерра»

Из книги Интернет – легко и просто! автора Александров Егор

Кивино гнездо: Шпионы в законе Киви Берд Опубликовано 29 ноября 2011 года У «арабской весны», волной народных восстаний прокатившейся в этом году по ближневосточному региону, есть один примечательный побочный результат. Суть его в том, что у

Из книги Компьютерра PDA N147 (26.11.2011-02.12.2011) автора Журнал «Компьютерра»

Вирусы Вирус – это приносящая вред компьютерная программа, способная размножаться, создавая свои копии, которые, в свою очередь, также сохраняют способность к размножению (рис. 10.1). В последние годы в связи с бурным развитием сетевых технологий определение слова «вирус»

Из книги Мошенничество в Интернете. Методы удаленного выманивания денег, и как не стать жертвой злоумышленников автора Гладкий Алексей Анатольевич

Кивино гнездо: Шпионы в законе Автор: Киви БердОпубликовано 29 ноября 2011 годаУ "арабской весны", волной народных восстаний прокатившейся в этом году по ближневосточному региону, есть один примечательный побочный результат. Суть его в том, что у западноевропейской и

Из книги Бесплатные разговоры через Интернет автора Фрузоров Сергей

Чем опасны клавиатурные шпионы? Клавиатурный шпион – это программа либо устройство, с помощью которого осуществляется постоянное наблюдение за всеми нажатиями клавиш на клавиатуре (а во многих случаях – и за всеми щелчками мыши) с целью получения информации обо всех

Из книги Создаем вирус и антивирус автора Гульев Игорь А.

Вирусы и черви Вирус - это обычная программа, которая выполняет вредные, а иногда и просто разрушительные действия. Вы спросите, что может сделать вирус? Да практически все, что можно сделать в вашей операционной системе. Давайте рассмотрим это чуточку подробней на

Из книги Введение в криптографию автора Циммерманн Филипп

Клавиатурные шпионы Клавиатурные шпионы – это программы, запоминающие, какие клавиши были нажаты в ваше отсутствие, то есть – что творилось на вашем компьютере, пока вас не было в офисе. Для этого все, что набирается на клавиатуре, заносится специальной программой в

Из книги Цифровой журнал «Компьютерра» № 191 автора Журнал «Компьютерра»

Вирусы и трояны Атака состоит в применении специально спроектированного компьютерного вируса или червя для заражения установленной у вас программы PGP. Этот гипотетический вирус может быть устроен так, чтобы перехватывать закрытый ключ и пароль или содержимое

Из книги Цифровой журнал «Компьютерра» № 197 автора Журнал «Компьютерра»

Аппаратные трояны для процессоров Intel - первая практическая реализация Андрей Васильков Опубликовано 19 сентября 2013 Восемь лет назад Министерство обороны США публично выразило обеспокоенность тем, что при достаточном техническом уровне

Из книги Цифровой журнал «Компьютерра» № 204 автора Журнал «Компьютерра»

Трояны в китайских утюгах: почему таможня не даёт добро Андрей Васильков Опубликовано 28 октября 2013 В минувшие выходные на сайте «Вести.Ру» появилась заметка о том, как российские таможенники обнаружили в партии утюгов из Китая шпионскую начинку.

Из книги автора

Трояны с претензией на авторское право: как не надо делать скрытые биткойн-майнеры Андрей Васильков Опубликовано 20 декабря 2013 В литературных произведениях преступники - злые гении, бросающие интеллектуальный вызов правосудию и лучшим умам

Вирусы - это вредоносные программы, которые могут нанести вред Вашему компьютеру, программам и важным документам. Вирусы обычно создаются преступно настроенными программистами, желающими проверить свой профессионализм или доказать всему миру, что они превосходят специалистов в области компьютерной безопасности. Подобные вирусы нацелены принести определенный урон конкретному лицу или даже целой организации, спровоцировать потерю или кражу конфиденциальной информации. Страшнее всего то, что время от времени вирусы выходят из под контроля и распространяются на большое количество компьютеров.

Заразить компьютер можно множеством способов. К примеру, Вы можете просто запустить незнакомую программу или же перемещаться по сети и вдруг обнаружить, что Ваш компьютер начал вести себя довольно странно. Скажем, обнаруживается критическая ошибка когда Вы пытаетесь запустить некую программу, которая еще вчера отлично функционировала, или же Ваш компьютер стал самостоятельно производить непонятные операции. Обычно подобные вирусы не очень опасны, т.к. их можно быстро обнаружить популярными анти-вирусными программами, такими как True Sword. Но существует другая категория вирусов, которые не обнаруживают себя каким-либо специфическим поведением. Но в то же время, подобный вирус может быть активизирован таймером или удаленной командой. Последствия могут быть печальными: физические повреждения дорогостоящих компонентов компьютера и потеря важной информации.

Обнаруживает и уничтожает более 4000 опаснейших вирусов. удаляет даже неизвестные вирусы благодаря уникальной технологии эвристических алгоритмов.

Троянские кони (трояны)

Значение термина "троянский конь (троян)" источник информации - Вебопедия:
«Это разрушительные программы, которые маскируются под безопасные. В отличие от вирусов, трояны не размножаются, но это не делает их менее опасными. Один из самых коварных типов троянских коней - программа, которая предлагает избавится от вирусов на Вашем компьютере, но при этом, наоборот, впускающая их. Сам термин был заимствован из Илиады Гомера, повествующей о том, как греки подарили гигантского коня в знак примирения своим врагам, троянцам. Но после того, как троянцы разместили деревянного коня в стенах своего города, группа греческих солдат появилась из брюшной полости подарка и открыла ворота остальным войскам государства Древней Греции.»

Наши продукты - и - уничтожают большое количество распространенных троянов. Процесс уничтожения схож с удалением вирусов.

Шпионское ПО

«Это любое программное обеспечение, которое скрытно собирает пользовательскую информацию посредством интернет соединения без ведома самого пользователя. Данная информация собирается с целью предложения ее хозяину принудительной рекламы. Приложения шпионского ПО, как правило, являются скрытыми компонентами бесплатного или условно-бесплатного программного обеспечения, которое может быть загружено откуда угодно из интернета. Однако, необходимо сделать оговорку, что большинство бесплатного или условно-бесплатного программного обеспечения идут в комплекте со шпионскими программами. После установки шпионские приложения следят за активностью пользователя в Интернете и передают всю информацию в фоновом режиме третьим лицам. Шпионское ПО также может собирать сведения об адресах электронной почты и даже паролях и номерах кредитных карт. Шпионское программное обеспечение схоже в троянскими конями в том, что пользователи сами неосознанно устанавливают эти продукты, когда пытаются загрузить что-нибудь еще. Обычно пользователи заражают свои ПК путем скачивания неких программ для работы с пиринговыми сетями (торренты и др.).

Прочь от вопросов этики и защиты конфиденциальности, шпионское программное обеспечение обворовывает пользователей, используя ресурсы компьютерной памяти, а также снижая производительность, т.к. оно отсылает информацию третьим лицам, используя пользовательское интернет соединение. Поскольку шпионские программы используют ресурсы памяти и целой системы, приложения, работающие в фоновом режиме, могут спровоцировать сбои системы или общую нестабильность системы.
Так как шпионское программное обеспечение существует в виде независимых исполняемых файлов, у него есть возможность следить за набираемыми комбинациями клавиш, сканировать файлы на жестком диске, заглядывать в другие приложения, такие как программы чатов или текстовые редакторы, устанавливать другие шпионские приложения, читать cookie-файлы, менять настройки по умолчанию в программах навигации в Интернете, последовательно передавая всю информацию третьим заинтересованным лицам, использующим ее в рекламных/маркетинговых или же явно преступных целях.

Лицензионные соглашения, сопровождающие процессы скачивания программного обеспечения иногда предупреждают пользователей о том, что будут установлены и шпионские приложения наряду с запрашиваемым ПО, но данные документы не всегда читаются, т.к. уведомление об установке шпионского программного обеспечения обычно подается в трудночитаемых оговорках.»

Располагает обширной базой данных известных шпионских программ. Наш продукт находит и уничтожает шпионские приложения, оберегая конфиденциальность пользователя. при помощи эвристических алгоритмов удаляет даже шпионов, не присутствующей в базе данных.

Рекламное ПО

Значение термина "Шпионское программное обеспечение" источник информации - Вебопедия:
«1) Это тип шпионских программ, которые собирают информацию о пользователе с целью навязывания рекламных объявлений в программах просмотра интернета в зависимости от сетевых предпочтений самого пользователя.
2) Это программное обеспечение, которое попадает к пользователю в комплекте с другими приложениями.»

ПО слежения

По слежения - это вид шпионского программного обеспечения, которое собирает информацию о каждом действии, производимом на Вашем компьютере. Практика схожих программ используется управляющими для контроля своих подчиненных и выявления их действий на корпоративных машинах. Также ревнивые супруги не гнушаются использовать ПО слежения для "приглядывания" за своими половинками. Список можно продолжать долго. Главное - это то, что программы по слежению ущемляют (или даже нарушают) Ваше право конфиденциальности беспардонным образом.

И спроектированы, чтобы блюсти Вашу конфиденциальность.

Вредоносные "звонилки"

"Звонилки" - это тип программного обеспечения, использующий Ваш модем для совершения дорогостоящих звонков без Вашего ведома на номера, в большинстве случаев принадлежащих компаниям, предоставляющим услуги для взрослых (также они могут называться ХХХ услуги). Заразить компьютер подобными "звонилками" можно во время обычных интернет сессий.

И находят и удаляют более, чем 100 известных различных вредоносных "звонилок".

Клавиатурные шпионы

Клавиатурные шпионы - это тип программного обеспечения по слежению, которое записывает все вариации наборов клавиш на Вашем компьютере в специальный файл и отправляет его третьим лицами (т.е. хакерам). Клавиатурные шпионы в особенности используются для организации кражи имен пользователей, паролей, адресов электронной почты, номеров кредитных карт и т.д. удаляет огромное количество клавиатурных шпионов. Для еще лучшей защиты Вашего ПК от данного вредоносного ПО, используйте , который блокирует ВСЕ типы клавиатурных шпионов, как известные, так и неизвестные.

С детства мы слышали, что хорошие - это разведчики, они работают на наших. А плохие - это шпионы, это чужие - те парни в черных очках, в застегнутых на все пуговицы макинтошах и с пачкой долларов в кармане. Наступил двадцать первый век, и теперь вовсе не прорезиненные плащи называют макинтошами, хотя шпионы в них все равно заводятся… Встречай сегодня на арене: шпионское ПО от «доброй» и «злой» (как посмотреть, а?) сторон силы.

Разведчики: малварь для нужд правительства

Летом 2012 года сотрудники антивирусной лаборатории Касперского обнаружили вредонос, получивший название Morcut. Его применили к группе независимых журналистов из Марокко, освещавших события в ходе «арабской весны», их компьютеры заражали целенаправленно через сервис электронной почты.

В классификации других антивирусных компаний вредонос имеет наименование Crisis (Symantec) и DaVinci (Dr.Web). В ходе проведенного компанией Dr.Web расследования было установлено, что Morcut является компонентом системы удаленного контроля DaVinci, которую разрабатывает и продает компания Hacking Team.

DaVinci

Система DaVinci позиционируется разработчиком как СОРМ (система технических средств для обеспечения функций оперативно-разыскных мероприятий) для использования правительственными структурами и правоохранительными органами. Кроме компании Hacking Team, подобные СОРМ разрабатывает ряд других компаний. Как правило, это комплекс программ, состоящий из управляющего сервера и клиента-агента. Агент незаметно для пользователя устанавливается на компьютер и имеет следующие функции:

• поиск и формирование списка файлов, удовлетворяющих заданным критериям;
• отправка произвольных файлов, в том числе электронных документов, на удаленный сервер;
• перехват паролей от сервисов электронной почты и социальных сетей;
• сбор данных о посещаемых ресурсах сети Интернет;
• перехват потока данных систем электронной голосовой связи (Skype);
• перехват данных систем мгновенного обмена сообщениями (ICQ);
• сбор информации о контактах с мобильных телефонов, подключаемых к компьютеру;
• запись аудио- и видеоинформации (при наличии подключенных веб-камеры и микрофона).

По данным издания Wall Street Journal, ряд европейских компаний поставляли СОРМ на базе СПО с таким функционалом в страны Ближнего Востока, правительства которых использовали их для борьбы с оппозиционно настроенными слоями населения.

Неправительственная организация Privacy International (Великобритания), занимающаяся выявлением фактов нарушения прав человека, проводит постоянный мониторинг международного рынка СОРМ и ведет перечень компаний - разработчиков решений в этой сфере. Перечень составляется на основе анализа компаний - участников специализированной конференции ISS World (Intelligence Support Systems - системы обеспечения сбора информации). На этом мероприятии, которое проводится регулярно несколько раз в год, встречаются потенциальные покупатели и разработчики СОРМ. Вот некоторые из компаний, разрабатывающих вредоносы под видом СОРМ.

FinFisher (finfisher.com), подразделение Gamma International (Великобритания)

По некоторым данным, после отставки Хосни Мубарака после событий 2011 года в Египте были найдены документы (см. рис. 3, 4), указывающие на то, что компания FinFisher предоставляла услуги по слежению за гражданами Египта при помощи комплекса FinSpy. Факт покупки пятимесячной лицензии режиму Мубарака в Египет за 287 тысяч евро компания упорно отрицает. FinSpy способен перехватывать телефонные звонки Skype, красть пароли и записывать аудиовидеоинформацию. На компьютеры пользователей FinSpy устанавливается так: через электронную почту отправляется сообщение со ссылкой на вредоносный сайт. Когда пользователь откроет ссылку, ему предложат обновить программное обеспечение. На самом деле вместо обновления будет установлен зловред. Способ распространения FinSpy через электронную почту был отмечен летом 2012 года в отношении продемократических активистов Бахрейна.

Hacking Team (hackingteam.it), Италия

Разработчик системы удаленного контроля DaVinci, которую позиционируют как средство слежения, предназначенное для использования правительствами и правоохранительными органами различных государств. Функционал DaVinci аналогичен FinSpy - это перехват Skype, электронных писем, паролей, данных средств мгновенных сообщений (ICQ), а также запись аудиовидеоинформации. Клиентская часть DaVinci способна функционировать как в среде операционных систем семейства Windows (версии XP, Vista, Seven), так и в среде операционных систем семейства Mac OS (версии Snow Leopard, Lion). Цена системы DaVinci предположительно составляет около 200 тысяч евро, в нее заложены обязательства постоянно обновлять и поддерживать продукт до того момента, пока конечная цель атаки (получение нужной информации) не будет достигнута.

Area SpA (area.it), Италия

В ноябре 2011 года стало известно, что сотрудники этой компании установили систему мониторинга для сирийского правительства, способную перехватывать, сканировать и сохранять практически все сообщения электронной почты в стране. Через месяц после выявления этого факта ЕС запретил экспорт технических средств наблюдения в Сирию и их обслуживание. Система была развернута на основе договора с сирийской телекоммуникационной компанией STE (Syrian Telecommunications Establishment), являющейся основным оператором стационарной связи в Сирии. Для установки применялся способ, эффективный при наличии доступа к телекоммуникационным сетям (спецслужбы государства и правоохранительные органы имеют такой доступ), - подмена информации. Например, пользователь при поиске информации в google.com получал ссылки, ведущие на вредоносный сайт, и заражался под видом установки компонентов браузера, необходимых для корректного отображения содержимого сайта.

Amesys (amesys.fr), подразделение Bull SA, Франция

Журналисты Wall Street Journal в одном из оставленных сторонниками Каддафи центров интернет-мониторинга в Триполи (Ливия) обнаружили использование системы слежения компании Amesys. По их свидетельствам, ливийские власти могли читать электронную почту, получать пароли, читать мгновенные сообщения и составлять карты связей между людьми. Документы, выложенные на ресурсе WikiLeaks, показали, что система, развернутая Amesys, позволяла следить за диссидентами и оппозиционерами даже за рубежом, например живущими в Великобритании.

Шпионы

Трояны, использованные в ходе кибератак в 2013 году, в основном уже не представляли собой ничего из ряда вон выходящего. Если 2012 год стал для «Лаборатории Касперского» годом пиара на теме hi-tech-кибероружия, то в 2013 году появился новый тренд - использование в целевых атаках широко распространенных вредоносных программ, в противовес явно написанным командой профессионалов под конкретные цели. И все чаще отдельные признаки указывают на таких возможных организаторов атак, как Китай и Северная Корея. Таким образом, можно говорить о так называемых «западной» и «азиатской школах» написания троянов, используемых для проведения атак класса APT. Что характерно для «западной школы»?

1. Вкладываются значительные финансовые ресурсы.
2. Вредоносный код подписывают цифровой подписью легальных контор, сертификаты для нее обычно крадутся с взломанных серверов, что требует определенной подготовительной работы, людских ресурсов и в конечном итоге пункта номер 1. Подпись позволяет без проблем устанавливать драйверы для перехода в режим ядра, что дает возможность реализовывать руткит-функции, а также в ряде случаев обходить защиту антивирусных средств.
3. Широко используются zero-day-уязвимости для скрытого запуска и повышения своих привилегий в системе, такие уязвимости стоят немало, так что опять смотри пункт 1.

С 2010 года были обнаружены следующие вредоносные программы с броским ярлыком «кибероружие» (см. рис. 2), в этой статье мы не будем расписывать их подвиги полностью - мы это уже делали ранее, - а просто пройдемся по их самым интересным особенностям.

Stuxnet

Выделяется на общем фоне тем, что он пока единственный представитель малвари, способный физически повредить некоторые объекты предприятия. Так что к классу кибероружия фактически можно отнести только его. Что в нем было еще интересного - четыре zero-day-уязвимости, распространение на USB не через тривиальный autorun.inf, а через уязвимость обработки ярлыков MS10-046. При автозагрузке с флешки через вредоносный ярлык срабатывал руткит-компонент, после чего вредоносные компоненты Stuxnet, размещенные на USB flash, становились невидны. Имел функции червя, как у Conficker (MS08-067), а также метод распространения по сети через уязвимость подсистемы печати (MS10-061). Драйверы были подписаны украденными сертификатами.

Duqu

В качестве контейнера для доставки использовался документ Word (запуск через уязвимость в обработке шрифтов MS11-087, zero-day), адресно отправляемый по электронной почте. Драйверы, как и у Stuxnet, были подписаны, чем до сих пор некоторые антивирусные аналитики пытаются обосновать связь между Stuxnet и Duqu.

Flame

Интересен тем, что подпись компонентов принадлежит Microsoft, создана она путем подбора коллизии MD5. Нереально большой размер исходника, порядка 20 Мб, использование большого количества стороннего кода. Есть модуль, который использует Bluetooth для перехвата информации с мобильных устройств.

Gauss

Имеет модульную структуру, модулям присвоены внутренние имена знаменитых математиков, таких как Гёдель, Гаусс, Лагранж. Использует съемный носитель для хранения собранной информации в скрытом файле (это позволяет информации утекать через защитный периметр, где нет интернета, на флешке). Содержит плагины, предназначенные для кражи и мониторинга данных, пересылаемых пользователями нескольких ливанских банков - Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais.

MiniFlame

Cмежный с Flame проект. В ходе анализа командных серверов Flame было установлено, что существовали четыре разных типа клиентов («вредоносных программ») под кодовыми названиями SP, SPE, FL и IP. MiniFlame соответствует названию SPE, Flame, соответственно, - FL. Вредоносы с названиями SP и IP так и не были обнаружены in the wild.

Sputnik

Способен красть данные с мобильных устройств, собирать информацию с сетевого оборудования (Cisco) и файлы с USB-дисков (включая ранее удаленные файлы, для чего использует собственную технологию восстановления файлов), красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP-сервера, а также извлекать файлы с локальных FTP-серверов в сети.

MiniDuke

Написан на ассемблере, что в наше время уже вызывает удивление (видать, вербанули кого-то старой школы). Адреса командных серверов берутся из Twitter. Если с Twitter не срослось, использовался Google Search, чтобы найти зашифрованные ссылки к новым серверам управления.

Китайские кибергруппировки пытаются не отставать от прогресса, и, например, такой троян, как Winnti, используемый для атак на компании, занимающиеся компьютерными онлайн-играми, содержит в себе подписанные драйверы.

Шпионы азиатской школы

• Июль 2012 - Madi;
• август 2012 - Shamoon;
• ноябрь 2012 - Narilam.

Все они написаны на Delphi (lameware:)), код особенной технологичностью не блещет, о zero-day и подписях нечего и говорить. Налицо использование паблик технологий и методов. Но тем не менее - они работают! Кстати, трояны с деструктивными функциями на волне APT-атак опять входят в моду, Shamoon и Narilam как раз из их числа. Они использовались, чтобы парализовать работу отдельных организаций путем уничтожения информации на ЭВМ.

Проблемы терминологии

Старые термины типа «вирус», «червь» и «троян» уже не в полной мере соответствуют реалиям. Особенно прискорбно, что журналистам интернет-изданий глубоко фиолетово, чем вирус отличается от трояна, и человеку, мало-мальски разбирающемуся в теме, режут слух такие словосочетания, как «вирус stuxnet», «вирус kido» или «вирус carberp». В очередной раз вспомним основные понятия:

• вирус - имеет функцию самораспространения, заражает исполняемые файлы;
• троян - не имеет функции самораспространения;
• червь - имеет функцию самораспространения, в классическом понимании - через использование уязвимостей сервисов ОС, доступных по сети (червь Морриса), чуть позже - через мыло и флешки;
• руткит - использует функции сокрытия признаков своего присутствия в системе.

На практике многие образцы вредоносов сочетают в себе несколько таких характеристик. В наше время малварь впору классифицировать по каким-то иным критериям. Попытаемся разобраться. Прежде всего, любая малварь нашего времени в первую очередь коммерческий проект. Разница только в исходных финансах и конечных целях. Условно можно выделить следующие группы:

• lameware - новомодный термин, означающий малварь, написанную новичками или дилетантами в этом деле (в обиходе - ламерами). Часто пользуются Delphi. Разработка, как правило, не требует никаких финансовых вложений, правда, и доход в относительном выражении мал. Основной фактор, побуждающий к написанию lameware, - потешить свое ЧСВ;
• добротная коммерческая малварь - вредоносы с «мировым» именем, имеющие несколько поколений и ведущие свою историю на протяжении нескольких лет;
• APT - шпионские программы, распространение и функционал которых характеризуется точечной направленностью на конкретные цели - компании, организации.

Заключение

Интернетизация, компьютеризация и прочая глобализация облегчили жизнь людям. И нам с тобой, и тем, которые раньше должны были прыгать с парашютом, перегрызать колючую проволоку, подслушивать, подсматривать, подрывать и подкупать. Большую долю работы этих крепких парней сейчас делают талантливые программисты за смешные по меркам соответствующих бюджетов миллионы долларов. Да, кстати, жизнь криминальным личностям, которые раньше должны были бегать с кольтом за почтовыми дилижансами, облегчилась тоже. Будь внимателен и осторожен!

• Как обнулить контроллер батареи ноутбука Сброс контроллера батареи
• Программа для сравнения текстовых файлов Сравнение 2х файлов
• Что такое Amazon Prime и почему это выгодно Что означает prime на амазоне
• Как правильно произносится слово Huawei
• Заводской сброс Samsung Galaxy J1 Mini Samsung j1 сброс до заводских настроек
• Как подключить винчестер от компьютера к ноутбуку Подключение hdd sata к ноутбуку
• Телефоны Meizu Bluetooth - это стандарт безопасного беспроводного переноса данных между различными устройствами разного типа на небольшие расстояния
• Asc 10 pro лицензионный ключ
• Все способы зайти в админку WordPress
• Как связаться с техподдержкой Вконтакте?

• Заменяем платный гудок на стандартный
• Управление в Интернете совершенствуется
• Телефон "Самсунг Ля Флер" (Samsung La Fleur): технические характеристики и отзывы Самсунг ля флер сенсорный андроид
• Прошивка Lenovo P780 (прошивка радиомодуля)
• Не идет звук через HDMI на телевизор с компьютера
• Как отключить тачпад на ноутбуке?
• • Ты создаёшь тест • Создай себе сам тест
• Если нет отформатированных заголовков
• Полное удаление антивируса ESET NOD32 с компьютера
• Последовательное и параллельное соединение резисторов Как понизить сопротивления переменного резистора