Кибер-зараза. Вредоносное ПО

Опубликовано 30.04.2007 - В рубриках: Аналитические статьи

С тех пор, как появились компьютеры, человек пытается внедрить их во все сферы своей деятельности. Конечно, компьютер не знает усталости, он может трудиться сутками. Однако не все так безоблачно, как кажется на первый взгляд… Всегда есть другая сторона монеты. Компьютер может выполнить неправильную дозировку лекарства в больнице и пациент умрет, может увеличить скорость машины и человек не справиться с управлением… Многие скажут, что компьютер работает по алгоритму и не может от него отступить. Правильно, но он не может сам этого сделать! Ему могут приказать…
Итак, кибер-зараза – все то, что заставляет работать системы неправильно, все то, что заставляет системы работать так, как надо другим. Попробуем разобраться, как же так получается. И решить каким образом более или менее обезопасить себя и свои данные от вторжения злоумышленников или их программ.

Вредоносное программное обеспечение – программное обеспечение, основной целью которого является: пагубное влияние на пользователя; нанесение ущерба его материальному положению, интеллектуальной и частной собственности; кража, хищение, несанкционированное изменение и уничтожение пользовательской информации (авт.).
Вредоносные коды, пожалуй, появились одновременно с компьютерами. Как только люди научились писать программы, то сразу же они разделились на тех, кто использует свое умение во благо и наоборот. Невидимая война, о которой пользователь практически ничего не знает, идет десятки лет, и будет идти вечно. Одни вирусы уходят, другие приходят. В пример можно привести бум полиморфик-вирусов, который начался примерно в начале 90-х годов с вируса под названием «Chameleon». Вирусописатели некоторое время акцентировали свое внимание только на вирусах такого рода. Однако, это вскоре прошло: в 1993 году численность этих вирусов резко спала, а после они практически исчезли. Сейчас редко можно встретить полиморфик-вирус.
Насчет того, когда появился первый вирус бытует много версий. Многие утверждают, что первый вирус был создан в конце 60-х – начале 70-х годов. В то время функционировала военная сеть APRAnet. Именно она и стала руслом, по которому растекся первый вирус. Хотя, вирусом его можно было назвать с натяжкой, т.к. единственным из его вредоносных свойств было - копирование своей копии на удаленную машину. Однако же оно было. Это было, что-то вроде предка современных сетевых червей, ну и по тем временам было достаточно редким явлением =) Его название было Creeper и работал он под операционной системой ( тогда крайне популярной) Tenex. Обнаруживал он себя следующей надписью, отображающейся на мониторе: “I’M THE CREEPER : CATCH ME IF YOU CAN”. Самое интересное, это то, что для борьбы с этим вирусом написан был другой вирус, под названием Reaper. Он выполнял некоторые функции, свойственные антивирусу: его запускали и он подобно creeper’у распространялся по сети, но, находя тела своей жертвы (напомню, что его создали для борьбы с вирусом creeper) уничтожал их.
Изготовление вредоносного ПО
Чтобы изготовить вредоносный код существует достаточно много способов, и при этом способы практически не похожи.
• написание программы «с нуля»;
• генерирование вредоносного кода с помощью специальных программ-генераторов;
• изменение программного кода готового вируса;
• появление вредоносных свойств в следствии ошибки в коде программы;
И если написание программы с чистого листа требует определенных навыков, то сгенерировать код может любой подросток. В настоящее время генераторы вирусов, Троянов, червей и т.д. дошли до того, что имеют приятный графический интерфейс и пользователь путем выбора определяет, какие свойства будет иметь его будущий вредоносный код. Таким образом, это существенно поднимает уровень концентрации вирусов в сети. Ведь «сделав вирус своими руками» юзер не останавливается, ему охото еще и заразить «своим» вирусом как можно больше машин.
Тех, кто пишет вирус «с нуля» сейчас очень мало, ведь они, в основном, пишут для какой-то конкретной цели и все. Но, если вдруг такой код начинает распространяться (по желанию его создателя или без такового), то в ход вступает пункт №3. Да, те кому лень заниматься «писаниной» берут образец, изменяют его код и выпускают в сеть… Именно по этому появление нового вируса влечет за собой поток его модификаций. Естественно особого умения тут не требуется, необходимо только некоторое знание языков программирования и все.
Ну, и наконец, последний - четвертый пункт. Смешно, но именно это в большинстве случаев приводит к появлению вирусов. Скажем, студент университета (ну иль любого другого учебного заведения) решил написать программку (естественно во благо человечества), но он не внимательно проверил ее код перед тем, как компилировать в исполняемый файл. И каково же было его удивление, когда после запуска она вместо того, чтобы проверить винчестер на наличие ошибок отформатировала его.
Вот таким образом любой, сам того не желая, может написать вредоносный код, поэтому следует внимательно проверять текст перед компиляцией.
Цели использования вредоносного ПО
Как правило очень часто причиной становятся финансы, однако есть и исключения. Человек может делать это для самоутверждения иль из спортивного интереса (такое встречается..). Цели, преследуемые вирусописателями или распространителями вирусов:
• получение вознаграждения (как правило - деньги);
• моральное удовлетворение;
• улучшение навыков.
Думаю все слышали, как владелец какой-нибудь организации нанимает взломщика, чтобы тот уничтожил информацию конкурента или украл ее. Чаще всего это происходит именно так, но бывает, что взломщик крадет не информацию, а деньги. Таким образом, за свои действия он получает вознаграждение.
Давайте вспомним легендарного хакера по имени Кевин Митник. Он, по некоторым данным, занялся взломам, чтобы убежать из реального мира в кибер-пространство. Это у него получилось. Именно под этим и стоит подразумевать моральное удовлетворение. Хотя есть еще насколько вариантов, например, месть или зависть. Все это может побудить человека на противоправные действия. Ну, если посмотреть на статистику, то можно сделать вывод, что именно месть и т.п. доминирует.
Ну и «спортивный интерес». Повышение уровня знания, навыков программирования – все это приводит к тому, что надо пробовать писать вирусы. Однако, при таких случаях чаще всего вирус прячется в «укромный уголок» и редко используется. Бывают случаи, когда вирус по ошибке попадал в сети и начинал распространяться. Вот еще один пример, когда «хочешь как лучше, а получается как всегда».
Пути распространения вредоносного ПО
А практически везде. Везде где идет обмен информацией могут быть вирусы. Приступим к рассмотрению путей конкретно:
• Интернет
• переносные устройства хранения информации
• LAN
Интернет. Думаю, что врядли кого-нибудь тут удивлю, но все же. Итак, в свою очередь этот пункт делится на некоторые подпункты:
1. E-mail
2. HTTP
3. FTP
Это рассылка. Прикрепленный файл несет в себе тело вируса. В тексте письма обычно используются приемы социальной инженерии и т.п. Однако, чаще всего пользователь открывает аттачмент из любопытства. Ну, а дальше по накатанной: червяк (обычно) заражает машину и рассылает себя по адресам, найденным в записной книжке. По тексту письма легко догадаться, что она с «сюрпризом», по этому обнаружение не составит труда. Очень часто используется социальный инжиниринг, но встречаются люди, на которых трудно воздействовать таким образом. Да и червь автоматически использует стандартный шаблон сообщения, который к некоторых случаях несет просто абсурдную информацию.
Протокол связи http – тоже лазейка на компьютер. Как правило, на страницу устанавливают скрипт, который при обращении пользователя к данной странице выполняется и начинает грузить вредоносный код на машину. Это довольно старый способ, именно по этому многие появление вирусов на компьютере сваливают на лазанье по небезопасным ресурсам сети.
ftp-протокол – это протокол загрузки файлов из сети. Тут вина лежит на пользователе. Он скачивает неизвестные файлы с сомнительных серверов, а потом, не проверяя их антивирусной программой, открывает и, как следствие, заражение. Поэтому, тут пользователь должен думать, перед тем как качать.
Устройства хранения информации в свою очередь тоже делятся на следующие:
1. Floppy
2. Оптические накопители
3. USB Flash Drive
4. USB HDD
Последнее время гуляют такие вирусы, которые распространяются только через флэш-накопители (в виду их широкого распространения). Вирус заражает компьютер как только к нему подключают флэшку, делается все это дело, обычно, с помощью волшебного файла под именем autorun.inf. Вирус, заразив компьютер, ждет, пока к этому компьютеру подключат другую флэшку, после подключения он автоматически копирует себя туда (обычно под видом скрытого файла) и все. Так что уже давно появились вирусы, которые целенаправленно распространяются через, определенные виды устройств.
Одним из самых широких каналов поступления вирусов являются пиратские диски с софтом. Стоят они копейки и зачастую напичканы разными программками сомнительного содержания. Конечно, никто после приведения этого факта не станет покупать только лицензионный софт, это смешно. Однако, необходимо хотя бы сканировать диск, перед установкой с него программ. Именно эта элементарная вещь и не соблюдается многими пользователями.
LAN (Local Area Network) – используемая многими, локальная сеть. Собственно, тут могут быть те же заморочки, что и с сетью Интернет. Однако, меняется, то из-за чего вы попали в список «обреченных». Есл в Интернете вы случайный прохожий, попавший под обстрел, то в локалке, в основном, кто-то сильно хотел вас заразить. Отсюда исходит, что среди друзей есть недруги…
Антивирусные корпорации
Появление компьютерных вирусов незамедлительно привело и к появлению охотников за ними. На территории СНГ действую два наиболее крупных соперника в этой области. Их продукты известны под следующими именами: Dr. Web и Antivirus Kaspersky.
Естественно присутствуют и иностранные компании, занимающиеся данного рода деятельностью. Работа по производству антивирусных программ и их дальнейшей поддержке, достаточно кропотливая. Компании имеют по несколько представительств в разных странах мира, это позволяет своевременно реагировать на эпидемии.
Наличие крупной лаборатории позволяет ускорить процесс выработки обновлений сигнатурных баз.
На самом деле написание антивирусной программы требует много времени даже для больших групп программистов. Каждая компания старается улучшить быстродействие движки и эффективность эвристики. Однако, улучшить движок без потерь надежности сложно, поэтому не стоит в штыки воспринимать медлительность работы сканера, конечно есл она в меру.
На последок, хочу еще раз заметить, что защиты на сто процентов просто не существует и скорее всего не будет существовать. Война производителей антивирусов и создателей вредоносного программного обеспечения, будет длиться еще долгие годы.
В следующей статье мы рассмотрим подробней вопрос о тех, кто зарабатывает на жизнь взломом и кражей информации. Следите за безопасностью своей системы.