5 марта 2008
Вредоносное ПО сегодня. Что это? Кому это надо?
Вредоносное ПО. Что это?
Компьютерные вирусы - разновидность вредоносных программ, отличительной особенностью которых является способность к размножению (саморепликации). В дополнение к этому они могут повреждать или полностью уничтожать данные, подконтрольные пользователю, от имени которого была запущена заражённая программа.
Если поискать в словарях и энциклопедиях термин «компьютерный вирус», то можно найти множество определений, среди которых общими чертами будут «нанесение вреда» и «самостоятельное размножение». И, в принципе, это верно. . . для классических вирусов. Современное же вредоносное программное обеспечение весьма разнообразно и далеко не всегда в нем присутствуют черты классических вирусов. Поэтому сначала давайте разберем, что именно угрожает нашим компьютерам сегодня.
Классические вирусы. К этому классу относятся те вредоносные программы, которые обладают основным отличительным признаком вирусов (способностью к размножению) и действуют в пределах локальных компьютеров. То есть речь идет именно о тех вирусах, основная масса которых появилась еще до широкого распространения Интернета. По деструктивному действию классические вирусы очень сильно отличаются друг от друга. Среди них есть, как и совершенно безобидные (например, программы-шутки), так и очень опасные, способные обрушить систему, уничтожить все документы на жестком диске и так далее.
На сегодняшний день популярность классических вирусов достаточно низка. Распространяются они в большинстве случаев с помощью мобильных накопителей информации (CD и DVD-диски, флеш-карты, внешние винчестеры) от одной организации к другой.
В первое время пальму первенства по широте распространения надежно удерживали вирусы, поражающие исполняемые файлы. Однако сегодня они уступили ее макровирусам. Это вредоносное ПО представляет собой макросы, внедряющиеся в различные документы (особенно сильно этим страдают документы и шаблоны Microsoft Office) и выполняющие определенные деструктивные действия. При открытии зараженного файла они изменяют шаблон normal.dot. После этого вирус будет внедряться в любой открытый в данном экземпляре программы документ.
Впрочем, классическое вредоносное ПО хорошо детектируется и уничтожается современными антивирусами и практически не требует к себе внимания со стороны пользователей. Из этого правила есть лишь несколько исключений. Например, вирусы, использующие автозагрузку мобильных накопителей. В процессе заражения они прописывают ссылку на свой исполняемый файл в autorun.inf. Таким образом, при каждом подключении инфицированной «флешки» к компьютеру будет происходить автоматический запуск вируса.
Сетевые черви. К сетевым червям обычно относят то вредоносное программное обеспечение, которое распространяет свои копии по локальным сетям или Интернету. Для этого они используются разные способы. Еще недавно самым популярным из них была рассылка по Email (как вариант: различные IM-менеджеры (ICQ, IRC), ссылки на файл, размещенный на веб-странице или FTP-сервере). Внедряясь в систему, сетевой червь самостоятельно отправлял письма со своей копией на почтовые ящики из адресной книги зараженного компьютера. Сетевые черви известны тем, что несколько раз устраивали настоящие эпидемии, охватывающие весь земной шар.
Однако в последнее время все больше и больше вирусов переходят на автоматическое внедрение, используя при этом «дыры» в клиентах и самой операционной системе. В этом случае заражение происходит точно таким же образом, но без участия пользователя. Запуск загрузчика вируса осуществляется автоматически при посещении веб-страницы или открытии письма.
Обнаружить присутствие сетевого червя можно по трем основным признакам. Первый - большое количество исходящих TCP/IP-пакетов, которые рассылаются постоянно или через более-менее определенные промежутки времени. Второй - подозрительное содержимое TCP/IP-пакетов. Однако для конечного пользователя наибольшую пользу представляет собой третий признак - необычная структура потребляемого трафика. Необъяснимое увеличение потребляемого или резкое увеличение доли исходящего трафика почти наверняка указывает на наличие вредоносного ПО.
Троянские кони. К троянским коням обычно относят все программы, которые внедряются в систему и скрытно от пользователя выполняют заложенные в них злоумышленником действия. Это очень разнообразный класс вредоносного программного обеспечения, в который входит множество утилит. В первую очередь их различают по типу действия. Среди них есть программы, позволяющие злоумышленникам осуществлять удаленное управление зараженным компьютерам, показывающие рекламу, направляющие пользователей на различные сайты, в том числе и поддельные (так называемый фишинг), загружающие и устанавливающие в систему другое вредоносное ПО, использующие зараженный ПК для нанесения ущерба другим людям (рассылка спамам, участие в DDoS-атаках).
Для внедрения троянских коней в систему жертвы злоумышленники идут на всевозможные ухищрения. Достаточно часто их рассылают по электронной почте с сопровождением привлекательного текста, призывающего открыть файл. Только обычно речь идет не об автоматической отправке писем, а о целенаправленной рассылке интересующим жертвам или массовом спаме. Также часто используется метод заражения размещаемых на различных веб-серверах «кряков» и генераторов паролей. Именно поэтому загрузка и использование подобных файлов считается потенциально опасной. Еще одним способом распространения троянских коней являются веб-страницы с внедренными в них специальными скриптами. Благодаря существующим в разных браузерах уязвимостям при посещении такого сайта вредоносное ПО автоматически загружается на компьютер и внедряется в систему (так называемые XSS-атаки). Чаще всего это встречается на веб-проектах для взрослых, в архивах warez. Однако в последнее время были отмечены случаи взлома благонадежных веб-сайтов и внедрения подобных скриптов на их страницы.
По сути, по способам внедрения в систему и проявляемым при заражении внешним признакам троянские кони во многом похожи на сетевых червей. Однако есть между ним и серьезные отличия. Во-первых, троянские кони более разнообразны. Более широкий набор возможных действий требует от них использования самых разнообразных технологий. Во-вторых, троянские кони труднее обнаружить. Они не распространяются массово и «бездумно». Изменение в составе потребляемого трафика вызывают лишь некоторые из них (например, осуществляющие рассылку спама, участвующие в DDoS-атаках). Кроме того, зачастую в троянских конях используются более совершенные технологии сокрытия (например, руткиты, которые могут подменять системные утилиты и осуществлять перехват системных функций Windows API).
Кому все это надо?
Сегодня многие люди часто задают вопрос: «Кто и зачем пишет вирусы?". Есть даже мнение, что это делают разработчики антивирусного программного обеспечения специально, чтобы создать спрос на свою продукцию. Точно так же можно сказать, что угоняют автомобили продавцы сигнализаций.
На данный момент всех создателей вредоносного программного обеспечения можно разделить на несколько классов по одному простому признаку - причине, по которой они занялись этой деятельностью. Естественно, такая классификация достаточно условна, а границы между классами очень размыты. Тем не менее, она дает четкое представление о том, кто и почему делает вирусы и другое вредоносное ПО.
Студенты. Одна из основных причин, которая толкает человека на написание вредоносной программы - самоутверждение. Во многих случаях вирусы создают учащиеся и студенты, занимающиеся изучением какого-то языка программирования. Создают просто для себя, для того, чтобы понять, могут они это сделать или нет. Такие люди даже не пытаются распространить свои творения, а просто сохраняют их, как пример своей работы. В любом случае сколько-нибудь серьезной опасности такие вирусы не представляют. В подавляющем большинстве случаев они достаточно примитивны, а поэтому легко детектируются любым антивирусным ПО.
Хулиганы. К сожалению, далеко не всем людям для самоутверждения достаточно самим знать о своих способностях. Некоторым для этого необходимо всеобщее внимание. Самым простым способом показать себя «крутым» программистом и хакером является создание собственного вируса. Иногда такие люди пытаются сделать это самостоятельно. Однако малый опыт и недостаток знания не позволяет им «сотворить» что-либо интересное.
Некоторые «деятели» идут по пути наименьшего сопротивления еще дальше. Сегодня в Интернете есть множество сайтов, на которых подробно рассказано, как написать вирус, и выложены исходные коды вредоносного ПО. Таким образом, «создателю» достаточно чуть-чуть подкорректировать текст (некоторые просто вводят в него информацию о себе) и скомпилировать проект. Но и это еще не все. В Интернете можно найти так называемые конструкторы вирусов. С их помощью, даже совсем не зная программирования, можно создать собственный вирус. Для этого достаточно просто задать несколько параметров и нажать на одну кнопку. Нужно ли говорить, что практически никакой опасности подобные «творения» не представляют. Все они построены на «стандартной» основе, причем зачастую с ошибками. Поэтому они легко определяются и уничтожаются всеми антивирусами.
Профессионалы. Согласно данным исследователей до 90% вредоносного ПО, заносимого сегодня в антивирусные базы, написано профессионалами. Такие программы представляют собой наибольшую опасность. В них часто используются оригинальные алгоритмы, различные методы защиты от антивирусов, «дыры» в операционных системах и другие уязвимости. Мотивы, по которым профессионалы создают и распространяю вредоносное ПО, различны. Некоторые делают это из хулиганских побуждений. Другие таким образом высказывают свой протест против чего-то, направляя удар на противников: государственные учреждения стран-противников (например, нашумевшая «война» между хакерами США и Китая), сайты противостоящих религиозных организаций, но все больше и больше вирусов пишутся с целью получения прибыли.
Для извлечения прибыли из процесса создания вредоносного ПО есть множество путей. Наиболее очевидный - «кликеры», «звонилки» и всевозможные рекламные троянские кони. С их помощью можно получить неплохие деньги от участия в партнерских программах разных сайтов и платных телефонных служб, показа рекламных объявлений. Другой вариант - вредоносное ПО для воровства паролей или организации фишинг-атак. С их помощью злоумышленники могут получать доступ к электронным счетам жертв или номерам их кредитных карт. Также нельзя забывать о троянских конях, рассылающих спам. Предлагая услуги рекламной рассылки через зараженные компьютеры (о чем заказчикам знать не обязательно), тоже можно заработать деньги.
Отдельно стоит упомянуть о вредоносном ПО, которое используется для оказания заведомо незаконных услуг различным компаниям, преступным и экстремистским группировкам. В первую очередь это организация массовых DDoS-атак на конкурентов или противников. Злоумышленники получают деньги за их реализацию, которая осуществляется через зараженные троянскими конями компьютеры по всему миру. Другая распространенная услуга - проникновение в корпоративные сети и воровство конфиденциальных данных.
Исследователи. Это самая малочисленная группа. К ней относятся настоящие фанаты, занимающиеся, скорее, теоретическими исследованиями. Они придумывают новые алгоритм защиты от антивирусов, находят «дыры» в ОС и ПО, разрабатывают методы внедрения в различные системы. Плодами их изысканий активно пользуются профессиональные вирусописатели, делая свои «творения» еще более опасными.
Подводим итоги
В настоящее время вредоносное ПО очень разнообразно и представляет собой серьезную угрозу. Причем, все чаще и чаще речь идет не только об испорченной операционной системе или удаленных с жесткого диска файлах. Современные вирусы и троянские кони наносят своим жертвам материальный ущерб и позволяют их создателям и распространителям зарабатывать деньги. Это приводит к тому, что вредоносное ПО развивается очень активно.
Сдержать развитие вирусов с помощью закона и правоохранительных органов нереально. Как мы уже говорили, найти профессионального вирусописателя и доказать его вину очень и очень сложно, особенно, если учесть, что вирусные эпидемии не имеют границ и разносятся по всему миру. Поэтому пользователям необходимо самим заботиться о своей безопасности.
Материалы взяты из сайта http://soft.cnews.ru
Автор: Давлетханов Марат
Защита от вредоносного ПО читать...
Публикации по теме
|
|
29 апреля 2014
Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
|
|
30 декабря 2013
Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.
|
|
1 октября 2013
Межсетевой экран (называемый также файрвол или брандмауэр) является важнейшим по значимости средством защиты корпоративной сети от различных угроз. В последние годы файрвол существенно эволюционировал: из специализированного инструмента фильтрации сетевых пакетов он превратился в универсальную систему защиты.
|
|
18 мая 2011 | Blue Coat
В этой публикации мы рассмотрим всю линейку предоставляемых решений от компании Blue Coat.
|
|