Троянски шпионски софтуер. Шпионски троянски коне и държавен зловреден софтуер на нашето време

SpyWare - шпионски софтуер. шпионски софтуер ( алтернативни заглавия- Spy, SpyWare, Spy-Ware, Spy Trojan) обикновено се нарича софтуер, който събира и предава информация за потребителя на някого без неговото съгласие. Информацията за потребителя може да включва неговите лични данни, данни за паричните му сметки, компютърната му конфигурация и операционна система, статистика на работата в интернет и др.

Шпионският софтуер се използва за редица цели, като основните са маркетингови проучвания и целева реклама. В този случай информация за конфигурацията на компютъра на потребителя, използвания от него софтуер, посетените сайтове, статистика на заявките към търсачкии статистиката на думите, въведени от клавиатурата, ви позволява много точно да определите вида дейност и обхвата на интересите на потребителите. Ето защо най-често можете да наблюдавате куп SpyWare - Adware, т.е. "Spy" - "Модул за показване на реклами". Шпионската част събира информация за потребителя и я прехвърля към сървъра на рекламната фирма. Там информацията се анализира и в отговор се изпраща рекламна информация, която е най-подходяща за този потребител. В най-добрия случай рекламите се показват в отделни изскачащи прозорци; в най-лошия - те се вграждат в заредени страници и се изпращат по имейл. електронна поща. Вредата, причинена от кражбата на лична информация, е криминално престъпление в повечето развити страни.

Събраната информация обаче може да се използва не само за рекламни цели - например получаването на информация за компютъра на потребителя може значително да опрости хакерска атака и хакване на компютъра на потребителя. И ако програмата периодично се актуализира през интернет, това прави компютъра много уязвим - елементарна атака срещу DNS може да замени адреса на източника на актуализация с адреса на сървъра на хакера - такава "актуализация" ще доведе до въвеждане на външен човек на компютъра на потребителя софтуер.

Шпионският софтуер може да влезе в компютъра на потребителя по два основни начина:

1. Докато посещавате интернет сайтове. Най-честото проникване на шпионски софтуер става, когато потребителят посещава хакерски и варез сайтове, сайтове с безплатна музика и порно сайтове. Като правило за инсталиране на шпионски софтуер се използват ActiveX компоненти или троянски коне от категорията TrojanDownloader според класификацията на Kaspersky Lab http://www.kaspersky.ru/. Много хакерски сайтове могат да издадат крак Програма за кракване на лицензиран софтуер (крак), съдържащ шпионски софтуер или TrojanDownloader за изтеглянето му;

2. В резултат на инсталиране на безплатни или Shareware програми. Най-лошото е, че има много такива програми, те се разпространяват чрез интернет или на пиратски компактдискове.

Няма точни критерии за добавяне на програма към категорията "SpyWare" и много често създателите на антивирусни пакети включват програми в категориите "Adware" (приложение, предназначено за изтегляне на рекламна информация на компютъра на потребителя за последваща демонстрация ) и „Hijacker“ (помощна програма, която променя настройките на браузъра без знанието на потребителя) в категорията „SpyWare“ и обратно.

За категоричност се предлагат редица правила и условия, при които една програма може да бъде класифицирана като SpyWare. Класификацията се основава на най-често срещаните SpyWare програми:

1. Програмата е тайно инсталирана на компютъра на потребителя. Значението на този параграф е, че инсталаторът на обикновена програма трябва да уведоми потребителя за факта на инсталиране на програмата (с възможност за отказ от инсталиране), да предложи избор на директория за инсталиране и конфигуриране. Освен това след инсталирането инсталаторът трябва да създаде елемент в списъка „Добавяне/премахване на програми“, чието извикване ще извърши процеса на деинсталиране и ще създаде съответните записи във файла на системния регистър на операционната система. Шпионският софтуер обикновено се инсталира по екзотичен начин (често с помощта на троянски модули от категорията Trojan-Downloader), скрит от потребителя, докато деинсталирането му в повечето случаи е невъзможно. Вторият начин за инсталиране на SpyWare е скрита инсталация в комплект с някоя популярна програма;

2. Програмата се зарежда тайно в паметта по време на процеса на зареждане на компютъра. Струва си да се отбележи, че разработчиците на съвременния SpyWare са започнали да използват Rootkit B Windows системи rootkit обикновено се разбира като програма, която се въвежда в системата и прихваща системни функции(Windows API). Прихващането и модифицирането на API функции на ниско ниво, на първо място, позволява на такава програма да маскира присъствието си в системата с достатъчно качество. Освен това, като правило, руткитът може да маскира присъствието в системата на всички процеси, описани в неговата конфигурация, директории и файлове на диска, ключове в системния регистър. технологии за маскиране на процеса в паметта и файловете на диска. Освен това става популярно да се създават "неразрушими" процеси - т.е. стартиране на два процеса, които се рестартират един друг, ако бъдат спрени. Такава технология се използва по-специално в SpyWare.WinAd;

3. Програмата извършва някои операции, без да посочва потребителя - например получава или предава каквато и да е информация от Интернет;

4. Програмата изтегля и инсталира своите актуализации, добавки, добавки или друг софтуер без знанието и съгласието на потребителя. Това свойство е присъщо на много шпионски софтуер и е изключително опасно, т.к изтеглянето и инсталирането на актуализации и допълнителни модули е тайно и често води до нестабилност на системата. Освен това механизмите за автоматично обновяване могат да бъдат използвани от нападателите за инжектиране на троянски модули на компютъра на потребителя;

5. Програмата се променя системни настройкиили пречи на функционирането на други програми без знанието на потребителя. Например, шпионският софтуер може да промени нивото на защита в настройките на браузъра или да направи промени в мрежовите настройки;

6. Програмата променя информацията или информационните потоци. Типичен пример са различни разширения за програмата Outlook Express, които при изпращане на писмо приписват информацията си към него. Вторият често срещан пример е модифицирането на страници, изтеглени от Интернет (в страниците е включена рекламна информация, някои думи или фрази се превръщат в хипервръзки)

В тази класификация трябва специално да отбележим факта, че програмата от категорията SpyWare не ви позволява дистанционно да управлявате компютър и не прехвърля пароли и подобна информация на създателите си - подобни действия са специфични за друга категория програми - "Trojan “ и „Задна врата”. Въпреки това, в много отношения програмите в категорията SpyWare са свързани с троянски коне.

Групирането на файловете, извършено според класификацията на "Лаборатория Касперски", и процентният състав на шпионския софтуер е показано на фиг. 1.

Както следва от диаграмата, 38% от броя на пробите са AdWare и SpyWare (трябва да се отбележи, че SpyWare не е включен в класификацията на PA - най-злонамерените представители на AdWare са включени в тази категория). По-голямата част от пробите на Trojan-Downloader в тази колекция са програми за тайно изтегляне и инсталиране на зловреден софтуер, представен в колекцията. Trojan-Spy е чист шпионски софтуер, който предава важна информация за потребителя: пароли, номера кредитни карти, текст, въведен от клавиатурата. В категорията Trojan бяха избрани следните програми: Trojan-Dialer (програми за скрита промяна на настройките за набиране на телефонен номер или наб. плащам телефони), Trojan.StartPage (модифициране начална страницаи опции за търсене Internet Explorer, тези програми са известни също като Hijackers),

Процентният състав на шпионския софтуер е извършен според класификацията на "Лаборатория Касперски"

Както следва от диаграмата, AdWare и SpyWare съставляват 38% от броя на пробите.По-голямата част от пробите на Trojan-Downloader в тази колекция са програми за тайно изтегляне и инсталиране на зловреден софтуер, представен в колекцията. Trojan-Spy е чист шпионски софтуер, който предава важна информация за потребителя: пароли, номера на кредитни карти, текст, въведен от клавиатурата. В категорията Trojan бяха избрани следните видове програми: Trojan-Dialer (програми за скрита промяна на параметрите за набиране на телефонен номер или набиране на телефонни автомати), Trojan.StartPage (промяна на началната страница и параметри Търсене в Интернет Explorer, тези програми са известни също като Hijackers), Trojan.LowZones (които променят настройките за сигурност на Internet Explorer). В категорията "Други" са зловреден софтуердруги класове - има около 50 мрежови и пощенски червеи от общи типове, 12 експлойта за Internet Explorer (използвани за стартиране на инсталатори на SpyWare) и 70 специализирани троянски коне (TrojanPSW и Trojan-Proxy). Задна врата - основната цел е неоторизиран, таен компютърен контрол.

http://www.computermaster.ru/articles/secur2.html

Какво трябва да знаете за компютърните вируси

(в) Александър Фролов, Григорий Фролов, 2002 г

[имейл защитен]; http://www.frolov.pp.ru, http://www.datarecovery.ru

От създаването на персоналните компютри, достъпни за професионалисти и широката публика, започва историята на компютърните вируси. Оказа се, че персоналните компютри и програмите, разпространявани на дискети, са самата "хранителна среда", в която възникват и живеят безгрижно компютърните вируси. Митовете и легендите, които възникват около способността на компютърните вируси да проникват навсякъде и навсякъде, обгръщат тези злонамерени създания в мъгла на неразбираемото и непознатото.

За съжаление дори опитни системни администратори (да не говорим обикновени потребители) не винаги разбират точно какво представляват компютърните вируси, как проникват в компютрите и компютърни мрежии каква вреда може да причини. В същото време, без разбиране на механизма на функциониране и разпространение на вирусите, е невъзможно да се организира ефективна антивирусна защита. Дори и най-добрата антивирусна програма ще бъде безсилна, ако се използва неправилно.

Кратък курс по история на компютърните вируси

Какво е компютърен вирус?

Най-общата дефиниция на компютърен вирус може да се даде като програмен код, който се саморазпространява в информационната среда на компютрите. Може да бъде вграден в изпълними и командни файлове на програми, разпространявани чрез секторите за зареждане на дискети и твърди дискове, документи на офис приложения, чрез електронна поща, уеб сайтове, както и чрез други електронни канали.

След като влезе в компютърна система, вирусът може да бъде ограничен до безвредни визуални или звукови ефекти или може да причини загуба или повреда на данни, както и изтичане на лична и поверителна информация. В най-лошия случай компютърна система, засегната от вирус, може да бъде под пълен контрол на нападател.

Днес хората се доверяват на компютрите за решаване на много критични задачи. Следователно, провал компютърни системиможе да има много, много сериозни последици, до човешки жертви (представете си вирус в компютърните системи на летищните служби). Разработчиците на информационни компютърни системи и системните администратори не трябва да забравят за това.

Към днешна дата са известни десетки хиляди различни вируси. Въпреки такова изобилие, има доста ограничен брой видове вируси, които се различават един от друг по механизма на разпространение и принципа на действие. Има и комбинирани вируси, които могат да бъдат приписани едновременно на няколко различни типа. Ще говорим за различните видове вируси, като се придържаме максимално към хронологичния ред на появата им.

Файлови вируси

В исторически план файловите вируси са се появили преди други видове вируси и първоначално са били разпространявани в средата на операционната система MS-DOS. Прониквайки в тялото на програмните файлове COM и EXE, вирусите ги променят по такъв начин, че при стартирането им контролът се прехвърля не към заразената програма, а към вируса. Вирусът може да запише своя код в края, началото или средата на файла (фиг. 1). Вирусът може също да разделя кода си на блокове, като ги поставя на различни места в заразената програма.

Ориз. 1. Вирус във файла MOUSE.COM

Веднъж контролиран, вирусът може да зарази други програми, да проникне в RAM паметта на компютъра и да изпълнява други злонамерени функции. След това вирусът прехвърля контрола върху заразената програма и тя се изпълнява по обичайния начин. В резултат на това потребителят, който изпълнява програмата, не подозира, че тя е "болна".

Имайте предвид, че файловите вируси могат да заразят не само COM програмии EXE, но също и други видове програмни файлове - MS-DOS наслагвания (OVL, OVI, OVR и други), SYS драйвери, DLL файлове и всякакви файлове с програмен код. Файловите вируси са разработени не само за MS-DOS, но и за други операционни системи, като напр Microsoft Windows, Linux, IBM OS/2. Въпреки това, по-голямата част от вирусите от този типживее в средата на MS-DOS и Microsoft Windows.

В дните на MS-DOS файловите вируси живееха щастливо досега благодарение на безплатния обмен на софтуер, игри и бизнес. В онези дни програмните файлове бяха сравнително малки и се разпространяваха на флопи дискове. Заразената програма може да бъде изтеглена и случайно от таблото за обяви на BBS или от Интернет. И заедно с тези програми се разпространяват и файлови вируси.

Съвременните програми заемат значително количество и се разпространяват, като правило, на компактдискове. Обменът на програми на дискети е нещо от миналото. Инсталирайки програмата от лицензиран компактдиск, обикновено не рискувате да заразите компютъра си с вирус. Друго нещо са пиратските компактдискове. Тук не можете да гарантирате за нищо (въпреки че знаем примери за разпространение на вируси върху лицензирани компактдискове).

В резултат на това днес файловите вируси отстъпиха по популярност на други видове вируси, за които ще говорим по-късно.

Зареждащи вируси

Вирусите за зареждане се контролират на етапа на инициализация на компютъра, дори преди операционната система да започне да се зарежда. За да разберете как работят, трябва да запомните последователността на инициализиране на компютъра и зареждане на операционната система.

Веднага след включване на захранването на компютъра, процедурата за проверка на POST (Power On Self Test), записана в BIOS, започва да работи. По време на теста се определя конфигурацията на компютъра и се проверява работоспособността на основните му подсистеми. След това процедурата POST проверява дали дискетата е в устройство A:. Ако е поставена дискета, по-нататъшното зареждане на операционната система става от дискетата. В противен случай зареждането се извършва от твърдия диск.

При зареждане от дискета POST процедурата чете от нея зареждащ запис(Boot Record, BR) в RAM. Този запис винаги се намира в първия сектор на дискетата и е малка програма. В допълнение към програмата BR, тя съдържа структура от данни, която определя формата на флопи диска и някои други характеристики. След това процедурата POST прехвърля контрола към BR. След като получи контрол, BR преминава директно към зареждане на операционната система.

При изтегляне от харддискПроцедурата POST чете главния запис за зареждане (MBR) и го записва в RAM паметта на компютъра. Този запис съдържа програмата за зареждане и таблицата на дяловете, която описва всички дялове на твърдия диск. Той се съхранява в първия сектор на твърдия диск.

След като MBR бъде прочетен, контролът се прехвърля към буутлоудъра, който току-що е прочетен от диска. Той анализира съдържанието на таблицата на дяловете, избира активния дял и чете BR на активния дял. Този запис е подобен на записа BR на системната дискета и изпълнява същите функции.

Сега за това как "работи" вирусът за зареждане.

При заразяване на дискета или твърд диск на компютър, зареждащ вирус замества BR зареждащия запис или MBR (фиг. 2). Оригиналните BR или MBR записи обикновено не изчезват (въпреки че това не винаги е така). Вирусът ги копира в един от свободните сектори на диска.

Ориз. 2. Вирус в зареждащия запис

Така вирусът поема контрола веднага след завършване на POST процедурата. Тогава той, като правило, действа според стандартния алгоритъм. Вирусът се копира докрай оперативна паметкато същевременно намалява наличния си обем. След това той прихваща няколко функции на BIOS, така че достъпът до тях прехвърля контрола на вируса. В края на процедурата по заразяване вирусът зарежда истинския boot сектор в RAM паметта на компютъра и му прехвърля контрола. След това компютърът се зарежда както обикновено, но вирусът вече е в паметта и може да контролира работата на всички програми и драйвери.

Комбинирани вируси

Много често има комбинирани вируси, които комбинират свойствата на файлови и стартиращи вируси.

Един пример е вирусът за зареждане на файлове OneHalf, който беше широко разпространен в миналото. Прониквайки в компютър с операционна система MS-DOS, този вирус заразява главния зареждащ запис. Докато компютърът се зарежда, вирусът постепенно криптира секторите на твърдия диск, като започва с най-новите сектори. Когато резидентният модул на вируса е в паметта, той следи всички достъпи до криптирани сектори и ги дешифрира, така че целият компютърен софтуер да работи нормално. Ако OneHalf просто бъде премахнат от RAM и зареждащия сектор, тогава ще стане невъзможно правилното четене на информацията, записана в криптираните сектори на диска.

Когато вирусът криптира половината от твърдия диск, той показва следното съобщение на екрана:

Dis е едната половина. Натиснете произволен клавиш, за да продължите...

След това вирусът изчаква потребителя да натисне произволен клавиш и продължава работата си.

Вирусът OneHalf използва различни механизми, за да се маскира. Това е стелт вирус и използва полиморфни алгоритми за разпространение. Откриването и премахването на вируса OneHalf е доста трудна задача, която не е достъпна за всички антивирусни програми.

Придружаващи вируси

Както знаете, в операционните системи MS-DOS и Microsoft Различни прозорциверсии, има три типа файлове, които потребителят може да изпълни. Дали е команда или партида BAT файлове, както и изпълними COM и EXE файлове. В същото време няколко изпълними файла с едно и също име, но с различно разширение на името могат да се намират едновременно в една и съща директория.

Когато потребителят стартира програма и след това въведе нейното име в системния ред на операционната система, той обикновено не посочва разширението на файла. Какъв файл ще се изпълни, ако в директорията има няколко програми с едно и също име, но с различни разширения?

Оказва се, че в този случай COM файлът ще се изпълнява. Ако в текущата директория или в директориите, посочени в променлива на средата PATH, тогава съществуват само EXE и BAT файлове EXE файл.

Когато сателитен вирус зарази EXE или BAT файл, той създава друг файл в същата директория със същото име, но с разширение COM. Вирусът се записва в този COM файл. По този начин, когато програмата бъде стартирана, сателитният вирус ще бъде първият, който ще получи контрол, който след това може да стартира тази програма, но вече под негов контрол.

Вируси в групови файлове

Има няколко вируса, способни да заразят BAT пакетни файлове. За да направят това, те използват много сложен метод. Ще го разгледаме като използваме вируса BAT.Batman като пример. При заразяване пакетен файлв началото се вмъква следният текст:

@ECHO OFF REM [...] копиране %0 b.com>nul b.com del b.com rem [...]

В квадратни скоби [...] тук схематично е показано местоположението на байтове, които са инструкции на процесора или данни на вируса. Командата @ECHO OFF деактивира показването на имената на командите, които се изпълняват. Ред, който започва с команда REM, е коментар и не се интерпретира по никакъв начин.

Командата copy %0 b.com>nul копира заразения пакетен файл във файла B.COM. След това този файл се стартира и премахва от диска с командата del b.com.

Най-интересното е, че B.COM файлът, създаден от вируса, съвпада до един байт със заразения пакетен файл. Оказва се, че ако интерпретирате първите два реда на заразен BAT файл като програма, той ще се състои от команди на процесора, които всъщност не правят нищо. Централният процесор изпълнява тези команди и след това започва да изпълнява действителния вирусен код, написан след израза за коментар REM. След като получи контрол, вирусът прихваща прекъсванията на ОС и се активира.

В процеса на разпространение вирусът следи записването на данни във файлове. Ако първият ред, записан във файла, съдържа командата @echo, тогава вирусът смята, че се записва пакетен файли го заразява.

Криптиращи и полиморфни вируси

За да направят откриването по-трудно, някои вируси криптират своя код. Всеки път, когато вирусът зарази нова програма, той криптира собствения си код с помощта на нов ключ. В резултат на това два екземпляра на такъв вирус могат значително да се различават един от друг, дори да имат различна дължина. Криптирането на кода на вируса значително усложнява процеса на неговото изследване. Нормалните програми няма да могат да разглобят такъв вирус.

Естествено, вирусът може да работи само ако изпълнимият код е дешифриран. Когато заразена програма стартира (или започне да се зарежда от заразен BR) и вирусът поеме контрола, той трябва да декриптира своя код.

За да се затрудни откриването на вирус, се използва не само криптиране различни ключове, но също и различни процедури за криптиране. Два екземпляра на такива вируси нямат нито една съвпадаща кодова последователност. Такива вируси, които могат напълно да променят своя код, се наричат ​​полиморфни вируси.

Стелт вируси

Стелт вирусите се опитват да скрият присъствието си на компютър. Те имат резидентен модул, постоянно разположен в RAM паметта на компютъра. Този модул се инсталира при стартиране на заразена програма или при зареждане от диск, заразен с вирус за зареждане.

Резидентният модул на вируса прихваща обажданията към дисковата подсистема на компютъра. Ако операционната система или друга програма прочете заразен програмен файл, вирусът замества истински, незаразен програмен файл. За да направите това, резидентният модул на вируса може временно да премахне вируса от заразения файл. След приключване на работата с файла, той отново се заразява.

Boot stealth вирусите работят по същия начин. Когато дадена програма чете данни от сектора за зареждане, реалният сектор за зареждане се замества от заразения сектор.

Камуфлажът на Stealth вирус работи само ако вирусът има резидентен модул в RAM паметта на компютъра. Ако компютърът се стартира от чиста, незаразена системна дискета, вирусът няма шанс да получи контрол и следователно стелт механизмът не работи.

Макрокомандни вируси

Досега говорихме за вируси, които живеят в изпълними файлове на програми и зареждащи секторидискове. Широко разпространение на офис пакета Microsoft офиспредизвика лавина от нови видове вируси, които се разпространяват не с програми, а с файлове с документи.

На пръв поглед това може да изглежда невъзможно - всъщност къде могат да се скрият вирусите в текстовите документи на Microsoft Word или в клетките на електронните таблици на Microsoft Excel?

В действителност обаче файловете с документи на Microsoft Office могат да съдържат малки програми за обработка на тези документи, написани на езика за програмиране Visual Basic for Applications. Това се отнася не само за документи на Word и Excel, но и за бази данни на Access и презентационни файлове на Power Point. Такива програми се създават с помощта на макроси, така че вирусите, които живеят в офис документи, се наричат ​​макроси.

Как се разпространяват макрокомандните вируси?

Заедно с файлове с документи. Потребителите споделят файлове чрез флопи дискове, мрежови директории на корпоративен интранет файлов сървър, имейл и други канали. За да заразите компютър с макрокоманден вирус, просто отворете файла с документа в подходящата офис приложение- и готово!

Сега вирусите с макро команди са много разпространени, което до голяма степен се дължи на популярността на Microsoft Office. Те могат да причинят толкова вреда, колкото и в някои случаи дори повече от "обикновените" вируси, които заразяват изпълними файлове и сектори за зареждане на дискове и флопи дискове. Най-голямата опасност от макрокомандните вируси, според нас, се крие във факта, че те могат да променят заразени документи, оставайки незабелязани за дълго време.

От деца сме чували, че добрите са скаути, те работят за нашите. А лошите са шпиони, това са непознати - онези момчета с черни очила, с макинтоши, закопчани до всички копчета и с пачка долари в джоба. Дойде двадесет и първи век и сега изобщо не се наричат ​​гумирани дъждобрани, които се наричат ​​​​макинтош, въпреки че шпионите все още са включени в тях ... Запознайте се днес на арената: шпионски софтуер от „доброто“ и „злото“ (как да гледам, а?) страни на силата.

Скаути: зловреден софтуер за нуждите на правителството

През лятото на 2012 г. служители антивирусна лаборатория Kaspersky откри зловреден софтуер, наречен Morcut. Той беше приложен към група независими журналисти от Мароко, отразяващи събития по време на Арабската пролет, компютрите им бяха умишлено заразени чрез имейл услуга.

В класификацията на други антивирусни компании зловреден софтуер се нарича Crisis (Symantec) и DaVinci (Dr.Web). По време на разследването, проведено от Dr.Web, беше установено, че Morcut е компонент на системата дистанционно DaVinci, разработен и пуснат на пазара от Hacking Team.

Да Винчи

Системата DaVinci е позиционирана от разработчика като SORM (система технически средстваза осигуряване на функциите на оперативно-издирвателни дейности) за използване от държавни органи и правоприлагащи органи. В допълнение към Hacking Team редица други компании разработват подобни SORM. По правило това е комплекс от програми, състоящ се от контролен сървър и клиент-агент. Агентът се инсталира неусетно на компютъра и има следните функции:

  • търсене и формиране на списък с файлове, отговарящи на зададените критерии;
  • изпращане на произволни файлове, включително електронни документи, към отдалечен сървър;
  • прихващане на пароли от услуги за електронна поща и социални мрежи;
  • събиране на данни за посетени интернет ресурси;
  • прихващане на поток от данни на системи за електронна гласова комуникация (Skype);
  • прихващане на данни за незабавни съобщения (ICQ);
  • събиране на информация за контакт мобилни телефонисвързан към компютър;
  • запис на аудио и видео информация (ако са свързани уеб камера и микрофон).

Според Wall Street Journal редица европейски компании са доставили SORM, базиран на софтуер с отворен код, с такава функционалност на страните от Близкия изток, чиито правителства са ги използвали за борба с опозиционно настроените сегменти от населението.


Неправителствената организация Privacy International (Великобритания), ангажирана с идентифицирането на факти за нарушения на правата на човека, постоянно наблюдава международния пазар на SORM и поддържа списък с компании, които разработват решения в тази област. Списъкът е съставен на базата на анализ на компаниите, участващи в специализираната конференция ISS World (Intelligence Support Systems – системи за осигуряване на събирането на информация). На това събитие, което се провежда редовно няколко пъти в годината, се срещат потенциални купувачи и разработчици на SORM. Ето някои от компаниите, разработващи зловреден софтуер под прикритието на SORM.

FinFisher (finfisher.com), подразделение на Gamma International (UK)

Според някои доклади, след оставката на Хосни Мубарак след събитията от 2011 г. в Египет, са открити документи (виж Фиг. 3, 4), показващи, че FinFisher предоставя услуги за проследяване на египетски граждани с помощта на комплекса FinSpy. Фактът за закупуване на петмесечен лиценз на режима на Мубарак в Египет за 287 хиляди евро, компанията упорито отрича. FinSpy е в състояние да прихване телефонни обаждания Skype, крадат пароли и записват аудио и видео информация. FinSpy се инсталира на компютрите на потребителите по следния начин: изпраща се съобщение по имейл с връзка към злонамерен сайт. Когато потребителят отвори връзката, той ще бъде подканен да актуализира софтуера. Всъщност, вместо да се актуализира, ще бъде инсталиран зловреден софтуер. Методът на разпространение на FinSpy чрез електронна поща беше забелязан през лятото на 2012 г. във връзка с продемократични активисти в Бахрейн.



Хакерски екип (hackingteam.it), Италия

Разработчикът на системата за дистанционно управление DaVinci, която е позиционирана като инструмент за проследяване, предназначен за използване от правителства и правоприлагащи органи на различни държави. Функционалността на DaVinci е подобна на FinSpy - това е прихващане на Skype, имейли, пароли, данни за незабавни съобщения (ICQ), както и запис на аудио и видео информация. Клиентската част на DaVinci може да функционира както в среда на операционни системи Windows семейства(версии XP, Vista, Seven) и в средата на операционни системи от семейството Mac OS (версии Snow Leopard, Lion). Предполагаемата цена на системата DaVinci е около 200 хил. евро, тя съдържа задължението за постоянно обновяване и поддръжка на продукта до постигане на крайната цел на атаката (получаване на необходимата информация).

Area SpA (area.it), Италия

През ноември 2011 г. стана известно, че служители на тази компания са инсталирали система за мониторинг на сирийското правителство, способна да прихваща, сканира и съхранява почти всички имейл съобщения в страната. Месец след разкриването на този факт ЕС забрани износа на техническо оборудване за наблюдение в Сирия и поддръжката им. Системата е внедрена въз основа на споразумение със сирийската телекомуникационна компания STE (Syrian Telecommunications Establishment), която е основният оператор фиксирана комуникацияв Сирия. За инсталиране е използван метод, който е ефективен, ако има достъп до телекомуникационни мрежи (специални служби на държавата и правоохранителните органиимат такъв достъп), - заместване на информация. Например, когато търси информация в google.com, потребител получи връзки, водещи до злонамерен сайт и беше заразен под прикритието на инсталиране на компоненти на браузъра, необходими за правилното показване на съдържанието на сайта.

Amesys (amesys.fr), подразделение на Bull SA, Франция

Журналистите на Wall Street Journal в един от центровете за интернет мониторинг, оставени от привържениците на Кадафи в Триполи (Либия), откриха използването на системата за проследяване Amesys. Според техните показания либийските власти са успели да четат електронна поща, да получават пароли, да четат незабавни съобщения и да картографират връзките между хората. Документи, публикувани на ресурса WikiLeaks, показват, че системата, внедрена от Amesys, позволява да се наблюдават дисиденти и опозиционери дори в чужбина, например живеещи във Великобритания.

шпиони

Троянските коне, използвани при кибератаки през 2013 г., не бяха нищо необичайно. Ако 2012 г. беше годината на PR за Kaspersky Lab по темата за високотехнологичните кибероръжия, то през 2013 г. се появи нова тенденция - използването на широко разпространен зловреден софтуер в целеви атаки, за разлика от тези, които явно са написани от екип от професионалисти за конкретни цели . И все повече изолирани признаци сочат към възможни нападатели като Китай и Северна Корея. По този начин можем да говорим за така наречените „западни“ и „азиатски школи“ за писане на троянски коне, използвани за извършване на атаки от клас APT. Какво е характерно за "западната школа"?

  1. Инвестират се значителни финансови средства.
  2. Зловреден код е цифрово подписан от легитимни компании, сертификатите за него обикновено са откраднати от хакнати сървъри, което изисква известна подготвителна работа, човешки ресурси и в крайна сметка точка номер 1. Подписът ви позволява лесно да инсталирате драйвери, за да превключите в режим на ядрото, което прави възможно е да се внедрят руткит функции и в някои случаи да се заобиколи защитата на антивирусните инструменти.
  3. Уязвимостите от нулевия ден се използват широко за скрито стартиране и ескалация на привилегии в системата, такива уязвимости струват много, така че вижте точка 1 отново.

От 2010 г. насам е открит следният злонамерен софтуер със запомнящия се етикет „кибер оръжие“ (вижте фиг. 2), в тази статия няма да опишем напълно техните подвизи - вече сме правили това преди - а просто ще преминем през най-интересните им Характеристика.

Stuxnet

Той се откроява на общия фон с факта, че досега е единственият представител на зловреден софтуер, който може физически да повреди някои корпоративни обекти. Така че всъщност само той може да бъде приписан към класа на кибероръжията. Това, което също беше интересно в него, бяха четири уязвимости от нулевия ден, разпространени към USB не чрез тривиален autorun.inf, а чрез уязвимостта за обработка на пряк път MS10-046. При автоматично зареждане от флаш устройство чрез злонамерен пряк път се задейства руткит компонент, след което злонамерените Stuxnet компоненти, разположени на usb флаш, стана невидим. Той имаше функциите на червей, като Conficker (MS08-067), както и метод за разпространение в мрежата чрез уязвимост на подсистемата за печат (MS10-061). Шофьорите са подписани с откраднати удостоверения.

duqu

Използва се като транспортен контейнер word документ(стартиран чрез уязвимост в обработката на шрифт MS11-087, нулев ден), изпратен по имейл. Драйверите, като тези на Stuxnet, бяха подписани, поради което някои антивирусни анализатори все още се опитват да оправдаят връзката между Stuxnet и Duqu.

пламък

Интересно е, че подписът на компонентите принадлежи на Microsoft, той е създаден чрез избиране на MD5 сблъсък. Нереално голям размер на източника, около 20 MB, използването на голямо количество код на трети страни. Има модул, който използва Bluetooth за прихващане на информация от мобилни устройства.

Гаус

Има модулна структура, като на модулите са дадени вътрешни имена на известни математици като Гьодел, Гаус, Лагранж. Употреби сменяеми носителиза съхраняване на събраната информация скрит файл(това позволява изтичане на информация през защитния периметър, където няма интернет, на флашка). Съдържа добавки, предназначени да крадат и наблюдават данни, изпратени от потребители на няколко ливански банки - Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais.

MiniFlame

Проект, свързан с Flame. По време на анализа командни и контролни сървъриПламък установи, че са четири различни видовеклиенти („зловреден софтуер“) с кодови имена SP, SPE, FL и IP. MiniFlame съответства на името SPE, Flame, съответно, - FL. Зловреден софтуер с имена SP и IP никога не е бил открит в дивата природа.

Спутник

Възможност за кражба на данни от мобилни устройства, събиране на информация от мрежово оборудване(Cisco) и файлове от USB устройства (включително преди изтрити файлове, който използва своя собствена технология за възстановяване на файлове), крадат пощенски бази данни от локалния магазин на Outlook или от отдалечен POP/IMAP сървър и извличат файлове от локални FTP сървъри в мрежата.

минидук

Написано на асемблер, което в наше време вече е изненадващо (виждате ли, те са вербализирали някой от старата школа). C&C адресите са взети от Twitter. Ако Twitter не проработи, Google Search се използва за намиране на криптирани връзки към новите контролни сървъри.

Китайските кибер-групи се опитват да бъдат в крак с напредъка и например троянски кон като Winnti, използван за атака на компании за онлайн компютърни игри, съдържа подписани драйвери.

Азиатски училищни шпиони

  • Юли 2012 - Мади;
  • Август 2012 - Shamoon;
  • Ноември 2012 - Нарилам.

Всички те са написани на Delphi (lameware :)), кодът не блести със специална технологичност, няма какво да се каже за нулевия ден и подписите. Има използване на публични технологии и методи. Но въпреки това – работят! Между другото, троянските коне с деструктивни функции след APT атаки отново са на мода, Shamoon и Narilam са само едни от тях. Те бяха използвани за парализиране на работата на отделни организации чрез унищожаване на информация в компютрите.

Проблеми с терминологията

Старите термини като "вирус", "червей" и "троянски кон" вече не отговарят напълно на реалността. Особено жалко е, че интернет журналистите са дълбоко недоволни за това как вирусът се различава от троянския кон, а човек, който е повече или по-малко запознат с темата, е отрязан от такива фрази като „stuxnet virus“, „kido virus“ или „carberp“. вирус". Нека повторим основните понятия:

  • вирус - има функцията на саморазмножаване, заразява изпълними файлове;
  • троянски - няма функцията на саморазпространение;
  • червей - има функцията на саморазмножаване, в класическия смисъл - чрез използване на уязвимости на услугите на ОС, достъпни в мрежата (червей Морис), малко по-късно - чрез сапун и флаш устройства;
  • rootkit - използва функциите за скриване на признаци за присъствие в системата.

На практика много проби от зловреден софтуер комбинират няколко от тези характеристики. В наши дни е време да класифицираме зловреден софтуер според някои други критерии. Нека се опитаме да го разберем. На първо място, всеки зловреден софтуер на нашето време е предимно търговски проект. Разликата е само в първоначалните финанси и крайните цели. Условно могат да се разграничат следните групи:

  • lameware е новомоден термин, означаващ злонамерен софтуер, написан от начинаещи или аматьори в тази област (в ежедневието - ламери). Често използвайте Delphi. Развитието, като правило, не изисква никакви финансови инвестиции, но доходът в относително изражение е малък. Основната мотивация за писане на lameware е да забавлявате вашия CSF;
  • висококачествен търговски зловреден софтуер - зловреден софтуер със "световно" име, имащ няколко поколения и водещ в своята история от няколко години;
  • APT - шпионски софтуер, чието разпространение и функционалност се характеризира с точков фокус върху конкретни цели - компании, организации.

Заключение

Интернетизацията, компютъризацията и друга глобализация улесниха живота на хората. И ти, и аз, и онези, които някога трябваше да скачат с парашут, да прегризват бодлива тел, да подслушват, да шпионират, да подкопават и да подкупват. Голяма част от работата на тези силни момчета сега се извършва от талантливи програмисти за милиони долари, които са смешни по стандартите на съответните бюджети. Да, между другото, животът на престъпните личности, които преди трябваше да тичат с Colt за пощенски дилижанси, също стана по-лесен. Бъдете внимателни и предпазливи!

Всъщност лекуват вируси, това не е много сложна операция, за да плащате на специалистите много пари за тази работа. Можете да защитите компютъра си от вируси или, в случай на инфекция, да върнете компютъра си в „здравословно“ състояние, като премахнете зловреден софтуер, като изберете добра антивирусна програма и следвате някои правила. Вземете поне две от най-важните: Първо, редовно актуализирайте антивирусните бази данни. Второто е да сканирате изцяло компютъра си за вируси веднъж месечно.

Така че с това мисля, че е ясно, че премахването на зловреден софтуер се извършва с помощта на антивируси. Те са платени и безплатни, говорих за безплатни методи в следната статия:

А сега какво е злонамерена програма или по друг начин вирус?

Компютърен вирус или зловреден софтуер- това е програма, чиято основна цел е: да навреди на компютър, да повреди потребителски данни, да открадне или изтрие лична информация, да влоши производителността на компютъра и много други.

Към днешна дата зловреден софтуермогат да бъдат класифицирани в няколко вида според въздействието им върху компютъра.

  • класически вируси.
  • Троянски програми.
  • Шпиони.
  • Руткитове.
  • рекламен софтуер.

Нека разгледаме по-отблизо всеки тип зловреден софтуер.

Класически вирусиса злонамерени програми, които могат да заразят компютър, например чрез интернет. И същността на такива вируси се крие в самовъзпроизвеждането. Такива вируси се копират, копират файлове и папки, които се намират на заразения компютър. Те правят това, за да заразят данните, така че в бъдеще възстановяването им да е невъзможно. Този вирус се опитва да повреди всички данни на компютъра, като поставя своя код във всички файлове, от системните файлове до личните данни на потребителя. Най-често спасението на такъв заразен компютър е.

троянские сериозен тип вирус. Троянските коне се пишат от нападатели с конкретна цел, например кражба на информация от компютри или кражба на пароли и т.н.

Троянецът е разделен на две части. Първата част, наречена сървър, се съхранява от атакуващия, а втората, клиентската част, се разпространява във всички възможни кътчета на интернет и на други места. Ако клиентската част на злонамерената програма попадне на компютър, тогава този компютър се заразява и троянският кон започва да изпраща различна информация на атакуващия маскиран на своя сървър.

Също така троянският кон може да извършва различни операции на компютъра по искане на сървъра (натрапник), да краде пароли, да заразява документи и файлове със зловреден код.

шпиониса донякъде подобни на троянските коне. Но те имат основната разлика и тя се крие във факта, че шпионите не вредят на системата и потребителските файлове. Шпионски софтуер тихо се настанете на компютъра и шпионирайте. Те могат да откраднат пароли или дори да запазят абсолютно всичко, което въвеждате от клавиатурата.

Шпионският софтуер е най-интелигентният вид вирус и дори може да изпраща файлове от заразен компютър. Шпионинът знае много информация за заразения компютър: каква система е инсталирана, каква антивирусна програма използвате, какъв браузър използвате в Интернет, какви програми са инсталирани на компютъра и т.н. Шпионският софтуер е един от най-опасните зловреден софтуер.

руткитовеТе не са вируси сами по себе си. Но руткитите са програми, чиято цел е да скрият съществуването на други вируси на компютъра. Например компютър е бил заразен с шпионски вирус едновременно с руткит. И руткитът ще се опита да скрие от вашата антивирусна и операционна система шпионин. Съответно наличието на руткитове на компютър е не по-малко опасно, тъй като те могат да работят доста добре и да скрият куп вируси (шпионски софтуер, троянски коне) от очите на нашата антивирусна програма за дълго време!

Рекламен софтуере друг вид зловреден софтуер. По-малко е опасна програма, а същността му е да пускате реклами на вашия компютър по всякакви начини на различни места. Рекламният софтуер не причинява никаква вреда и не заразява или поврежда файлове. Но също така трябва да се предпазите от този тип вирус.

Това са видовете зловреден софтуерсъществуват. За да защитим вашия компютър от вируси, ние се нуждаем добра антивирусна. Говорих за това в друга статия и сега ще продължим темата за описание на вируси и схеми за защита на нашия компютър.

Преди това вирусите нямаха конкретна цел, те бяха написани за интерес и разработчикът не си поставяше конкретна цел. Сега вирусите са най-сложните алгоритми, чиято същност най-често е кражба на пари и данни. Троянските коне най-често са предназначени само за кражба на пароли и други важни данни.

Между другото, дали компютърът ви е бил атакуван от вируси, може да се различи по някои признаци:

  • Програмите не работят правилно или спират да работят напълно.
  • Компютърът започна да се забавя, да работи бавно.
  • Някои файлове се повреждат, отказват да се отворят.

Много често тези симптоми могат да станат признак за заразяване с компютърен вирусно за щастие не винаги.

Трябва да се отбележи, че най-често един определен вирус може да зарази Различни видовефайлове. Следователно, дори след излекуване на компютъра от силна вирусна атака, форматирането на дяла ще бъде най-правилното.

За да се предпазите от вируси, както казах по-горе, те ще ви помогнат антивирусни програми. Днес антивирусните програми имат функции, които са достатъчни, за да отразяват почти всички злонамерени програми, които се разпространяват в Интернет. Но за максимум защита от вирусважна роля играе правилно избраната и конфигурирана антивирусна програма за пълна „бойна“ производителност. Препоръчвам ви да прочетете статията за. Но ако нямате време, тогава ще ви назова най-добрите антивирусни програми тук. Към днешна дата това са:

  • Kaspersky
  • Avast
  • Д-р Уеб
  • NOD32

Мисля, че има много за избор.

Успех и отлична защита от вируси за вас.

Зловреден софтуер, троянски коне и заплахи

Повечето компютри са свързани към мрежа (Интернет, локална мрежа), което опростява разпространението на злонамерени програми (според руските стандарти такива програми се наричат ​​„разрушителни“). софтуер"но защото тази концепцияне е обичайно, прегледът ще използва понятието "злонамерени програми"; На английски езикте се наричат ​​злонамерен софтуер). Тези програми включват троянски коне (известни също като троянски коне), вируси, червеи, шпионски софтуер, рекламен софтуер, руткитове и различни други видове.

Друг плюс е, че MBAM рядко предизвиква конфликти с други помощни програми за защита от зловреден софтуер.

Безплатен троянски скенер SUPERAntiSpyware

. В допълнение към шпионския софтуер, тази програма сканира и премахва други видове заплахи като дайлери, кийлогъри, червеи, руткитове и др.

Програмата има три вида сканиране: бързо, пълно или персонализирано системно сканиране. Преди сканиране програмата предлага да провери за актуализации, за да ви защити незабавно от най-новите заплахи. SAS има свой собствен черен списък. Това е списък от 100 примера за различни DLL и EXE файлове, които не трябва да бъдат на компютъра. Когато щракнете върху някой от елементите в списъка, ще получите Пълно описаниезаплахи.

Един от важни характеристикипрограми - това е наличието на защита Hi-Jack, която не позволява на други приложения да прекратят програмата (с изключение на Task Manager).

За съжаление, безплатната версия на тази програма не поддържа защита в реално време, сканиране по график и редица други функции.

Още програми

Други безплатни троянски скенери, които не са включени в прегледа:

  • Rising PC Doctor (вече не се предлага, все още можете да намерите стари версии в интернет) - скенер за троянски и шпионски софтуер. Предлага възможност автоматична защитаот редица троянски коне. Предлага и следните инструменти: управление на стартиране, мениджър на процеси, мениджър на услуги, File Shredder (програма за изтриване на файлове, без възможност за възстановяване) и други.
  • FreeFixer - ще сканира вашата система и ще ви помогне да премахнете троянски коне и друг зловреден софтуер. Но от потребителя се изисква да интерпретира правилно резултатите от програмата. Трябва да бъдете особено внимателни, когато решите да премахнете важни системни файлове, тъй като това може да повреди вашата система. Въпреки това има форуми, където можете да се консултирате, ако се съмнявате относно решението (връзките към форумите са на сайта).
  • Ashampoo Anti-Malware (За съжаление се превърна в пробна версия. Възможно е по-ранни версии все още да могат да бъдат намерени в Интернет) - първоначално този продукт беше само търговски. Безплатната версия осигурява защита в реално време и предлага различни инструменти за оптимизация.

Кратко ръководство (Връзки за изтегляне на троянски скенер)

Emsisoft Anti-Malware

Сканира и премахва троянски коне, червеи, вируси, шпионски софтуер, тракери, дайлери и др. Лесен за използване.
IN безплатна версиясилно ограничено. Не е налично: автоматична актуализация, защита на файлове в реално време, сканиране по график и др.
За съжаление се превърна в изпитание. Може би по-ранни версии все още могат да бъдат намерени в Интернет
www.emsisoft(.)com

PC инструменти ThreatFire

Проактивна защита срещу известни и неизвестни троянски коне, вируси, червеи, шпионски софтуер, руткитове и друг зловреден софтуер.
Автоматична актуализацияне се предоставя, ако сте се отказали от общността на ThreatFire Версията 4.10 не е променяна от ноември 2011 г.


Зареждане...
Връх