Spyware troian. Troieni spionați și programe malware guvernamentale din vremea noastră

SpyWare - spyware. programe spion ( titluri alternative- Spy, SpyWare, Spy-Ware, Spy Trojan) este denumit în mod obișnuit software care colectează și transmite cuiva informații despre utilizator fără consimțământul acestuia. Informațiile despre utilizator pot include datele sale personale, date despre conturile sale de bani, configurația computerului său și sistem de operare, statistici ale muncii pe Internet și multe altele.

Spyware-ul este folosit într-o serie de scopuri, principalele fiind cercetarea de marketing și publicitatea direcționată. În acest caz, informații despre configurația computerului utilizatorului, software-ul utilizat de acesta, site-urile vizitate, statisticile solicitărilor către motoare de căutare iar statisticile cuvintelor introduse de la tastatură vă permit să determinați foarte precis tipul de activitate și gama de interese ale utilizatorilor. Prin urmare, cel mai adesea puteți observa o grămadă de SpyWare - Adware, adică. „Spion” - „Modul de afișare publicitară”. Partea de spionaj colectează informații despre utilizator și le transferă pe serverul firmei de publicitate. Acolo, informațiile sunt analizate și ca răspuns sunt trimise informațiile publicitare care sunt cele mai potrivite pentru acest utilizator. În cel mai bun caz, anunțurile sunt afișate în ferestre pop-up separate; în cel mai rău caz, sunt încorporate în paginile încărcate și trimise prin e-mail. e-mail. Prejudiciul cauzat de furtul de informații cu caracter personal este o infracțiune în majoritatea țărilor dezvoltate.

Cu toate acestea, informațiile colectate pot fi folosite nu numai în scopuri publicitare - de exemplu, obținerea de informații despre computerul utilizatorului poate simplifica foarte mult un atac de hacker și poate sparge computerul utilizatorului. Și dacă programul se actualizează periodic prin Internet, atunci acest lucru face computerul foarte vulnerabil - un atac elementar asupra DNS poate înlocui adresa sursei de actualizare cu adresa serverului hackerului - o astfel de „actualizare” va duce la introducerea oricărui străin pe computerul utilizatorului software.

Programele spion pot intra în computerul unui utilizator în două moduri principale:

1. În timp ce vizitați site-uri de internet. Cea mai comună pătrundere a programelor spion are loc atunci când utilizatorul vizitează site-uri de hackeri și warez, site-uri cu muzică gratuită și site-uri porno. De regulă, componentele ActiveX sau troienii din categoria TrojanDownloader conform clasificării Kaspersky Lab http://www.kaspersky.ru/ sunt folosite pentru a instala spyware. Multe site-uri de hackeri pot emite crack Un program pentru a crack software-ul licențiat (crack) care conține spyware sau un TrojanDownloader pentru a-l descărca;

2. Ca urmare a instalării de programe gratuite sau shareware. Cel mai rău lucru este că există o mulțime de astfel de programe, sunt distribuite prin internet sau pe CD-uri piratate.

Nu există criterii exacte pentru adăugarea unui program la categoria „SpyWare” și de foarte multe ori creatorii de pachete antivirus includ programe din categoriile „Adware” (o aplicație concepută pentru a descărca informații publicitare pe PC-ul unui utilizator pentru demonstrarea ulterioară a acesteia). ) și „Hijacker” (un utilitar care modifică setările browserului fără știrea utilizatorului) la categoria „SpyWare” și invers.

Pentru certitudine, sunt propuse o serie de reguli și condiții în care un program poate fi clasificat ca SpyWare. Clasificarea se bazează pe cele mai comune programe SpyWare:

1. Programul este instalat în secret pe computerul utilizatorului. Sensul acestui paragraf este că instalatorul unui program obișnuit trebuie să informeze utilizatorul despre faptul instalării programului (cu posibilitatea de a refuza instalarea), sugerează alegerea unui director pentru instalare și configurare. În plus, după instalare, instalatorul trebuie să creeze un element în lista „Adăugați/Eliminați programe”, al cărui apel va efectua procesul de dezinstalare și va crea intrările corespunzătoare în fișierul de registru al sistemului de operare. Spyware-ul este de obicei instalat într-un mod exotic (folosind adesea module troiene din categoria Trojan-Downloader) ascuns utilizatorului, în timp ce dezinstalarea acestuia este imposibilă în majoritatea cazurilor. A doua modalitate de a instala SpyWare este o instalare ascunsă la pachet cu un program popular;

2. Programul este încărcat secret în memorie în timpul procesului de pornire a computerului. Este demn de remarcat faptul că dezvoltatorii de SpyWare moderne au început să folosească Rootkit B sisteme Windows rootkit este de obicei înțeles ca un program care este introdus în sistem și interceptează funcțiile sistemului(Windows API). Interceptarea și modificarea funcțiilor API de nivel scăzut, în primul rând, permite unui astfel de program să-și mascheze prezența în sistem cu o calitate suficientă. În plus, de regulă, rootkit-ul poate masca prezența în sistem a oricăror procese descrise în configurația sa, directoarele și fișierele de pe disc, cheile din registru. tehnologii de mascare a procesului în memorie și fișiere de pe disc. În plus, devine din ce în ce popular să se creeze procese „indestructibile” - adică. pornind două procese care repornesc unul pe altul dacă sunt oprite. O astfel de tehnologie este folosită în special în SpyWare.WinAd;

3. Programul efectuează unele operații fără a specifica utilizatorul - de exemplu, primește sau transmite orice informație de pe Internet;

4. Programul descarcă și instalează actualizările, suplimentele, suplimentele sau alt software fără știrea și acordul utilizatorului. Această proprietate este inerentă multor programe spyware și este extrem de periculoasă, deoarece descărcarea și instalarea actualizărilor și a modulelor suplimentare este secretă și duce adesea la instabilitate a sistemului. Mai mult, mecanismele de actualizare automată pot fi folosite de atacatori pentru a injecta module troiene pe PC-ul utilizatorului;

5. Programul se modifică setarile sistemului sau interferează cu funcționarea altor programe fără știrea utilizatorului. De exemplu, programul spyware poate modifica nivelul de securitate din setările browserului sau poate face modificări în setările rețelei;

6. Programul modifică informații sau fluxuri de informații. Un exemplu tipic sunt extensiile diferite pentru program Outlook Express, care, atunci când trimit o scrisoare, îi atribuie informațiile. Al doilea exemplu comun este modificarea paginilor descărcate de pe Internet (informațiile publicitare sunt incluse în pagini, unele cuvinte sau fraze se transformă în hyperlink-uri)

În această clasificare, trebuie să remarcăm în special faptul că programul din categoria SpyWare nu vă permite să controlați de la distanță un computer și nu transferă parole și informații similare creatorilor săi - astfel de acțiuni sunt specifice unei alte categorii de programe - „Trojan „ și „BackDoor”. Cu toate acestea, în multe privințe, programele din categoria SpyWare sunt legate de troieni.

În fig. 1.

După cum reiese din diagramă, 38% din numărul de mostre sunt AdWare și SpyWare (de remarcat că SpyWare nu este inclus în clasificarea PA - cei mai rău intenționați reprezentanți AdWare sunt incluși în această categorie). Marea majoritate a eșantioanelor Trojan-Downloader din această colecție sunt programe pentru descărcarea și instalarea în secret a programelor malware prezentate în colecție. Trojan-Spy este spyware pur care transmite informații importante despre utilizator: parole, numere Carduri de credit, text introdus de la tastatură. În categoria Trojan au fost selectate următoarele programe: Trojan-Dialer (programe pentru modificarea sub acoperire a setărilor pentru formarea unui număr de telefon sau formarea telefoane publice), Trojan.StartPage (modificare Pagină de startși opțiuni de căutare Internet Explorer, aceste programe sunt cunoscute și sub numele de Hijackers),

Compoziția procentuală a programelor spion a fost realizată conform clasificării „Kaspersky Lab”

După cum reiese din diagramă, AdWare și SpyWare reprezintă 38% din numărul de mostre. Marea majoritate a eșantioanelor Trojan-Downloader din această colecție sunt programe pentru descărcarea și instalarea în secret a programelor malware prezentate în colecție. Trojan-Spy este spyware pur care transmite informații importante despre utilizator: parole, numere de card de credit, text introdus de la tastatură. În categoria Troian au fost selectate următoarele tipuri de programe: Trojan-Dialer (programe pentru modificarea sub acoperire a parametrilor de formare a unui număr de telefon sau de formare a telefoanelor cu plată), Trojan.StartPage (modificarea paginii de start și a parametrilor). Căutare pe internet Explorer, aceste programe sunt cunoscute și sub numele de Hijackers), Trojan.LowZones (care modifică setările de securitate ale Internet Explorer). În categoria „Altele” sunt malware alte clase - există aproximativ 50 de viermi de rețea și e-mail de tipuri comune, 12 exploit-uri pentru Internet Explorer (folosit pentru lansarea instalatoarelor SpyWare) și 70 de troieni specializați (TrojanPSW și Trojan-Proxy). Backdoor - scopul principal este controlul neautorizat, secret al computerului.

http://www.computermaster.ru/articles/secur2.html

Ce trebuie să știți despre virușii informatici

(c) Alexander Frolov, Grigory Frolov, 2002

[email protected]; http://www.frolov.pp.ru, http://www.datarecovery.ru

De la crearea calculatoarelor personale disponibile profesioniștilor și publicului larg, istoria virușilor informatici a început. S-a dovedit că computerele personale și programele distribuite pe dischete sunt chiar „mediul nutritiv” în care virușii informatici apar și trăiesc neglijent. Miturile și legendele care apar în jurul capacității virușilor informatici de a pătrunde oriunde și peste tot, învăluie aceste creaturi rău intenționate într-o ceață a neînțelesului și a necunoscutului.

Din păcate, chiar și administratorii de sistem cu experiență (să nu mai vorbim utilizatori obișnuiți) nu înțeleg întotdeauna exact ce sunt virușii informatici, cum pătrund ei în computere și retele de calculatoare, și ce rău poate face. În același timp, fără a înțelege mecanismul de funcționare și răspândire a virușilor, este imposibil să se organizeze o protecție antivirus eficientă. Chiar și cel mai bun program antivirus va fi neputincios dacă este folosit incorect.

Un scurt curs de istoria virușilor informatici

Ce este un virus informatic?

Definiția cea mai generală a unui virus informatic poate fi dată ca un cod de program care se autopropaga în mediul informațional al computerelor. Poate fi încorporat în fișierele executabile și de comandă ale programelor, distribuite prin sectoarele de boot ale dischetelor și hard disk-uri, documentele aplicațiilor de birou, prin e-mail, site-uri Web, precum și prin alte canale electronice.

După ce a intrat într-un sistem informatic, un virus poate fi limitat la efecte vizuale sau sonore inofensive sau poate cauza pierderea sau coruperea datelor, precum și scurgerea de informații personale și confidențiale. În cel mai rău caz, un sistem informatic afectat de un virus poate fi sub controlul complet al unui atacator.

Astăzi, oamenii au încredere în computere pentru a rezolva multe sarcini critice. Prin urmare, eșec sisteme informatice poate avea consecințe foarte, foarte grave, până la victime umane (imaginați-vă un virus în sistemele informatice ale serviciilor aerodromului). Dezvoltatorii de sisteme informatice informatice și administratorii de sistem nu ar trebui să uite de acest lucru.

Până în prezent, sunt cunoscuți zeci de mii de viruși diferiți. În ciuda unei astfel de abundențe, există un număr destul de limitat de tipuri de viruși care diferă unul de celălalt prin mecanismul de distribuție și principiul de acțiune. Există, de asemenea, viruși combinați care pot fi atribuiți simultan mai multor tipuri diferite. Vom vorbi despre diferitele tipuri de viruși, respectând pe cât posibil ordinea cronologică a apariției lor.

Fișieră viruși

Din punct de vedere istoric, virușii de fișiere au apărut înaintea altor tipuri de viruși și au fost distribuiti inițial în mediul sistemului de operare MS-DOS. Infiltrand corpul fișierelor de program COM și EXE, virușii le modifică în așa fel încât atunci când sunt lansate, controlul este transferat nu programului infectat, ci virusului. Virusul își poate scrie codul până la sfârșitul, începutul sau mijlocul fișierului (Fig. 1). De asemenea, virusul își poate împărți codul în blocuri, plasându-le în locuri diferite din programul infectat.

Orez. 1. Virus în fișierul MOUSE.COM

Odată controlat, virusul poate infecta alte programe, se poate infiltra în memoria RAM a computerului și poate efectua alte funcții rău intenționate. Apoi virusul transferă controlul către programul infectat și este executat în mod obișnuit. Drept urmare, utilizatorul care rulează programul nu bănuiește că este „bolnav”.

Rețineți că virușii de fișiere pot infecta nu numai programe COMși EXE, dar și alte tipuri de fișiere de program - suprapuneri MS-DOS (OVL, OVI, OVR și altele), drivere SYS, DLL și orice fișiere cu cod de program. Virușii de fișiere au fost dezvoltați nu numai pentru MS-DOS, ci și pentru alte sisteme de operare, cum ar fi Microsoft Windows, Linux, IBM OS/2. Cu toate acestea, marea majoritate a virușilor de acest tip trăiește în mediul MS-DOS și Microsoft Windows.

Pe vremea MS-DOS, virușii de fișiere trăiau fericiți pentru totdeauna datorită schimbului gratuit de software, jocuri și afaceri. În acele vremuri, fișierele de program erau relativ mici și distribuite pe dischete. Programul infectat ar putea fi, de asemenea, descărcat accidental de pe anunțul BBS sau de pe Internet. Și împreună cu aceste programe, se răspândesc și viruși de fișiere.

Programele moderne ocupă o cantitate considerabilă și sunt distribuite, de regulă, pe CD-uri. Schimbul de programe pe dischete este de domeniul trecutului. Instalând programul de pe un CD cu licență, de obicei nu riscați să vă infectați computerul cu un virus. Un alt lucru sunt CD-urile piratate. Nu puteți garanta nimic aici (deși știm exemple de viruși care se răspândesc pe CD-uri licențiate).

Drept urmare, astăzi virușii de fișiere au făcut loc altor tipuri de viruși în popularitate, despre care vom vorbi mai târziu.

Porniți viruși

Virușii de boot sunt controlați în stadiul inițializării computerului, chiar înainte ca sistemul de operare să înceapă să se încarce. Pentru a înțelege cum funcționează, trebuie să vă amintiți secvența de inițializare a computerului și de încărcare a sistemului de operare.

Imediat după pornirea alimentării computerului, începe să funcționeze procedura de verificare POST (Power On Self Test) înregistrată în BIOS. În timpul testului, se determină configurația computerului și se verifică operabilitatea principalelor sale subsisteme. Procedura POST verifică apoi dacă discheta este în unitatea A:. Dacă este introdusă o dischetă, atunci are loc încărcarea ulterioară a sistemului de operare de pe dischetă. În caz contrar, bootarea se face de pe hard disk.

Când porniți de pe o dischetă, procedura POST citește de pe aceasta înregistrarea de pornire(Boot Record, BR) în RAM. Această intrare este întotdeauna situată în primul sector al dischetei și este un program mic. Pe lângă programul BR, acesta conține o structură de date care definește formatul de dischetă și alte caracteristici. Procedura POST transferă apoi controlul către BR. După ce a primit controlul, BR trece direct la încărcarea sistemului de operare.

Când descărcați de la hard disk Procedura POST citește Master Boot Record (MBR) și o scrie în memoria RAM a computerului. Această intrare conține programul de pornire și tabelul de partiții, care descrie toate partițiile de pe hard disk. Este stocat chiar în primul sector al hard disk-ului.

După ce MBR-ul este citit, controlul este transferat la bootloader-ul tocmai citit de pe disc. Analizează conținutul tabelului de partiții, selectează partiția activă și citește BR-ul partiției active. Această intrare este similară cu intrarea BR de pe discheta de sistem și îndeplinește aceleași funcții.

Acum despre cum „funcționează” virusul de boot.

Când infectați o dischetă sau un hard disk al unui computer, un virus de boot înlocuiește înregistrarea de pornire BR sau MBR (Fig. 2). Înregistrările BR sau MBR originale nu dispar de obicei (deși nu este întotdeauna cazul). Virusul le copiază într-unul dintre sectoarele libere ale discului.

Orez. 2. Virus în înregistrarea de pornire

Astfel, virusul preia controlul imediat după finalizarea procedurii POST. Apoi, el, de regulă, acționează conform algoritmului standard. Virusul se copiază până la capăt memorie cu acces aleator reducând în același timp volumul disponibil. După aceea, interceptează mai multe funcții BIOS, astfel încât accesul la acestea transferă controlul virusului. La sfârșitul procedurii de infecție, virusul încarcă sectorul de boot real în memoria RAM a computerului și îi transferă controlul. Apoi, computerul pornește ca de obicei, dar virusul este deja în memorie și poate controla funcționarea tuturor programelor și driverelor.

Viruși combinați

Foarte des există viruși combinați care combină proprietățile virușilor de fișiere și de boot.

Un exemplu este virusul de pornire a fișierelor OneHalf, care a fost larg răspândit în trecut. Pătrunzând într-un computer cu un sistem de operare MS-DOS, acest virus infectează înregistrarea principală de pornire. În timp ce computerul pornește, virusul criptează treptat sectoarele hard disk-ului, începând cu sectoarele cele mai recente. Când modulul rezident al virusului este în memorie, acesta monitorizează toate accesele la sectoarele criptate și le decriptează, astfel încât toate programele de calculator să funcționeze normal. Dacă OneHalf este pur și simplu eliminat din sectorul RAM și de pornire, atunci va deveni imposibil să citiți corect informațiile înregistrate în sectoarele criptate ale discului.

Când virusul criptează jumătate din hard disk, afișează următorul mesaj pe ecran:

Dis este o jumătate. Apăsați orice tastă pentru a continua ...

După aceea, virusul așteaptă ca utilizatorul să apese orice tastă și își continuă activitatea.

Virusul OneHalf folosește diverse mecanisme pentru a se deghiza. Este un virus ascuns și folosește algoritmi polimorfi pentru a se răspândi. Detectarea și eliminarea virusului OneHalf este o sarcină destul de dificilă, care nu este disponibilă pentru toate programele antivirus.

Viruși însoțitori

După cum știți, în sistemele de operare MS-DOS și Microsoft Windows diverse versiuni, există trei tipuri de fișiere pe care utilizatorul le poate executa. Este comanda sau lot Fișiere BAT, precum și fișiere executabile COM și EXE. În același timp, mai multe fișiere executabile cu același nume, dar cu o extensie de nume diferită pot fi localizate în același director în același timp.

Când un utilizator pornește un program și apoi introduce numele acestuia la promptul de sistem al sistemului de operare, de obicei nu specifică extensia fișierului. Ce fișier va fi executat dacă în director există mai multe programe cu același nume, dar cu extensii de nume diferite?

Se pare că în acest caz fișierul COM va rula. Dacă în directorul curent sau în directoarele specificate în variabilă de mediu PATH, doar fișierele EXE și BAT există, atunci Fișierul EXE.

Când un virus satelit infectează un fișier EXE sau BAT, creează un alt fișier în același director cu același nume, dar cu extensie COM. Virusul se scrie singur în acest fișier COM. Astfel, la lansarea programului, virusul satelit va fi primul care va primi controlul, care poate lansa apoi acest program, dar deja sub controlul său.

Viruși în fișiere batch

Există mai mulți viruși capabili să infecteze fișierele batch BAT. Pentru a face acest lucru, ei folosesc o metodă foarte sofisticată. Vom lua în considerare utilizarea virusului BAT.Batman ca exemplu. Când este infectat fișier batch la început se introduce următorul text:

@ECHO OFF REM [...] copie %0 b.com>nul b.com del b.com rem [...]

Între paranteze drepte [...] aici arată schematic locația octeților, care sunt instrucțiuni ale procesorului sau date ale virusului. Comanda @ECHO OFF dezactivează afișarea numelor comenzilor executate. O linie care începe cu o comandă REM este un comentariu și nu este interpretată în niciun fel.

Comanda copie %0 b.com>nul copiază fișierul batch infectat în fișierul B.COM. Acest fișier este apoi rulat și eliminat de pe disc cu comanda del b.com.

Cel mai interesant lucru este că fișierul B.COM creat de virus coincide la un singur octet cu fișierul batch infectat. Se pare că dacă interpretați primele două linii ale unui fișier BAT infectat ca un program, acesta va consta din comenzi CPU care de fapt nu fac nimic. CPU execută aceste comenzi și apoi începe să execute codul virusului propriu-zis scris după instrucțiunea de comentariu REM. După ce a primit controlul, virusul interceptează întreruperile sistemului de operare și se activează.

În procesul de răspândire, virusul monitorizează scrierea datelor în fișiere. Dacă prima linie scrisă în fișier conține comanda @echo, atunci virusul crede că este scris fișier batchși îl infectează.

Viruși de criptare și polimorfi

Pentru a face detectarea mai dificilă, unii viruși își criptează codul. De fiecare dată când un virus infectează un program nou, acesta își criptează propriul cod folosind o cheie nouă. Ca rezultat, două cazuri ale unui astfel de virus pot fi semnificativ diferite unele de altele, chiar și au lungimi diferite. Criptarea codului virusului complică foarte mult procesul cercetării acestuia. Programele normale nu vor putea dezasambla un astfel de virus.

Desigur, virusul poate funcționa numai dacă codul executabil este decriptat. Când pornește un program infectat (sau începe să se încarce dintr-un BR infectat) și virusul preia controlul, acesta trebuie să-și decripteze codul.

Pentru a face dificilă detectarea unui virus, criptarea este utilizată nu numai chei diferite, dar și diferite proceduri de criptare. Două cazuri de astfel de viruși nu au o singură secvență de cod de potrivire. Astfel de viruși care își pot schimba complet codul se numesc viruși polimorfi.

Virușii furtivi

Virușii ascunși încearcă să-și ascundă prezența pe un computer. Au un modul rezident situat permanent în RAM-ul computerului. Acest modul este instalat la lansarea unui program infectat sau la pornirea de pe un disc infectat cu un virus de boot.

Modulul rezident al virusului interceptează apelurile către subsistemul de disc al computerului. Dacă sistemul de operare sau alt program citește un fișier de program infectat, virusul înlocuiește un fișier de program real, neinfectat. Pentru a face acest lucru, modulul rezident al virusului poate elimina temporar virusul din fișierul infectat. După încheierea lucrului cu fișierul, acesta devine din nou infectat.

Virușii stealth de pornire funcționează în același mod. Când un program citește date din sectorul de boot, sectorul de boot real este înlocuit cu sectorul infectat.

Camuflarea virusului stealth funcționează numai dacă virusul are un modul rezident în memoria RAM a computerului. Dacă computerul este pornit de pe o dischetă de sistem curată, neinfectată, virusul nu are nicio șansă de a câștiga controlul și, prin urmare, mecanismul ascuns nu funcționează.

Viruși de macrocomandă

Până acum, am vorbit despre virușii care trăiesc în fișierele executabile ale programelor și sectoare de boot discuri. Distribuție pe scară largă a suitei de birou Microsoft Office a provocat o avalanșă de noi tipuri de viruși care se răspândesc nu cu programe, ci cu fișiere de document.

La prima vedere, acest lucru poate părea imposibil - de fapt, unde se pot ascunde virușii în documentele text Microsoft Word sau în celulele foilor de calcul Microsoft Excel?

Cu toate acestea, în realitate, fișierele de documente Microsoft Office pot conține mici programe pentru procesarea acestor documente, scrise în limbajul de programare Visual Basic for Applications. Acest lucru se aplică nu numai documentelor Word și Excel, ci și bazelor de date Access și fișierelor de prezentare Power Point. Astfel de programe sunt create folosind macrocomenzi, astfel încât virușii care trăiesc în documentele de birou sunt numiți macrocomenzi.

Cum se răspândesc virușii de macrocomandă?

Împreună cu fișierele de documente. Utilizatorii partajează fișiere prin dischete, directoare de rețea a serverului de fișiere intranet corporativ, e-mail și alte canale. Pentru a infecta un computer cu un virus de macrocomandă, pur și simplu deschideți fișierul document în locul corespunzător aplicație de birou- si gata!

Acum, virușii de macrocomandă sunt foarte des întâlniți, ceea ce se datorează în mare parte popularității Microsoft Office. Ele pot face la fel de mult rău ca și, în unele cazuri, chiar mai mult decât virușii „obișnuiți” care infectează fișierele executabile și sectoarele de boot ale discurilor și dischetelor. Cel mai mare pericol al virușilor de macrocomandă, în opinia noastră, constă în faptul că aceștia pot modifica documentele infectate, rămânând neobservați mult timp.

Din copilărie am auzit că cei buni sunt cercetași, ei lucrează pentru ai noștri. Iar cei răi sunt spioni, ăștia sunt străini - tipii ăia în ochelari negri, în mackintoshes cu nasturi la toți nasturii și cu o grămadă de dolari în buzunar. Secolul douăzeci și unu a venit, iar acum nu sunt deloc pelerinale de ploaie cauciucate care se numesc mackintosh, deși spionii sunt încă activați în ele ... Întâlnește-te astăzi în arenă: spyware de la „bine” și „rău” (cum a privi, nu?) părți ale forței.

Cercetași: malware pentru nevoile guvernului

În vara anului 2012, angajații laborator antivirus Kaspersky a descoperit un malware numit Morcut. A fost aplicat unui grup de jurnalişti independenţi din Maroc care acopereau evenimentele din timpul Primăverii Arabe, computerele lor au fost infectate în mod deliberat printr-un serviciu de e-mail.

În clasificarea altor companii de antivirus, malware-ul este numit Crisis (Symantec) și DaVinci (Dr.Web). În cadrul investigației efectuate de Dr.Web s-a constatat că Morcut este o componentă a sistemului telecomandă DaVinci, dezvoltat și comercializat de Echipa de Hacking.

Da Vinci

Sistemul DaVinci este poziționat de dezvoltator ca SORM (system mijloace tehnice pentru a asigura funcțiile activităților de căutare operațională) pentru utilizare de către agențiile guvernamentale și agențiile de aplicare a legii. Pe lângă echipa de Hacking, o serie de alte companii dezvoltă SORM-uri similare. De regulă, acesta este un complex de programe constând dintr-un server de control și un client-agent. Agentul este instalat imperceptibil pe computer și are următoarele funcții:

  • căutarea și formarea unei liste de fișiere care îndeplinesc criteriile specificate;
  • trimiterea de fișiere arbitrare, inclusiv documente electronice, către un server la distanță;
  • interceptarea parolelor de la serviciile de e-mail și rețelele sociale;
  • colectare de date despre resursele de internet vizitate;
  • interceptarea fluxului de date al sistemelor electronice de comunicații vocale (Skype);
  • interceptarea datelor de mesagerie instantanee (ICQ);
  • colectarea informațiilor de contact telefoane mobile conectat la un computer;
  • înregistrarea informațiilor audio și video (dacă sunt conectate o cameră web și un microfon).

Potrivit Wall Street Journal, o serie de companii europene au furnizat SORM bazat pe software open source cu astfel de funcționalități țărilor din Orientul Mijlociu, ale căror guverne le-au folosit pentru a lupta împotriva segmentelor de opoziție ale populației.


Organizația non-guvernamentală Privacy International (Marea Britanie), angajată în identificarea faptelor de încălcare a drepturilor omului, monitorizează constant piața internațională SORM și menține o listă a companiilor care dezvoltă soluții în acest domeniu. Lista este întocmită pe baza unei analize a companiilor participante la conferința de specialitate ISS World (Intelligence Support Systems - sisteme de asigurare a colectării informațiilor). La acest eveniment, care are loc regulat de câteva ori pe an, potențialii cumpărători și dezvoltatori ai SORM se întâlnesc. Iată câteva dintre companiile care dezvoltă malware sub masca SORM.

FinFisher (finfisher.com), o divizie a Gamma International (Marea Britanie)

Potrivit unor rapoarte, după demisia lui Hosni Mubarak după evenimentele din 2011 din Egipt, au fost găsite documente (vezi Fig. 3, 4) care indică faptul că FinFisher a furnizat servicii de urmărire a cetățenilor egipteni folosind complexul FinSpy. Faptul de a cumpăra o licență de cinci luni către regimul Mubarak din Egipt pentru 287 de mii de euro, compania neagă cu încăpățânare. FinSpy este capabil să intercepteze apeluri telefonice Skype, fură parole și înregistrează informații audio și video. FinSpy este instalat pe computerele utilizatorilor în felul următor: un mesaj este trimis prin e-mail cu un link către un site rău intenționat. Când utilizatorul deschide linkul, i se va solicita să actualizeze software-ul. De fapt, în loc de actualizare, vor fi instalate programe malware. Metoda de distribuire a FinSpy prin e-mail a fost remarcată în vara anului 2012 în legătură cu activiștii pro-democrație din Bahrain.



Echipa de Hacking (hackingteam.it), Italia

Dezvoltatorul sistemului de telecomandă DaVinci, care este poziționat ca un instrument de urmărire conceput pentru a fi utilizat de guverne și agenții de aplicare a legii din diferite state. Funcționalitatea DaVinci este similară cu FinSpy - este interceptarea Skype, e-mailuri, parole, date de mesagerie instantanee (ICQ), precum și înregistrarea informațiilor audio și video. Partea client a DaVinci este capabilă să funcționeze atât în ​​mediul sistemelor de operare Familiile de ferestre(versiunile XP, Vista, Seven) și în mediul sistemelor de operare din familia Mac OS (versiunile Snow Leopard, Lion). Prețul sistemului DaVinci este de aproximativ 200 de mii de euro, acesta conține obligația de a actualiza și întreține constant produsul până la atingerea scopului final al atacului (obținerea informațiilor necesare).

Area SpA (area.it), Italia

În noiembrie 2011, a devenit cunoscut faptul că angajații acestei companii au instalat un sistem de monitorizare pentru guvernul sirian, capabil să intercepteze, să scaneze și să stocheze aproape toate mesajele de e-mail din țară. La o lună după ce acest fapt a fost dezvăluit, UE a interzis exportul de echipamente tehnice de supraveghere în Siria și întreținerea acestora. Sistemul a fost implementat pe baza unui acord cu compania siriană de telecomunicații STE (Syrian Telecommunications Establishment), care este principalul operator. comunicare fixăîn Siria. Pentru instalare s-a folosit o metodă eficientă dacă exista acces la rețelele de telecomunicații (servicii speciale ale statului și aplicarea legii au un astfel de acces), - substituție de informații. De exemplu, la căutarea informațiilor pe google.com, un utilizator a primit link-uri care duceau către un site rău intenționat și a fost infectat sub pretextul instalării componentelor de browser necesare pentru a afișa corect conținutul site-ului.

Amesys (amesys.fr), o divizie a Bull SA, Franța

Jurnaliştii Wall Street Journal dintr-unul dintre centrele de monitorizare pe Internet lăsate de susţinătorii lui Gaddafi la Tripoli (Libia) au descoperit utilizarea sistemului de urmărire Amesys. Potrivit mărturiilor lor, autoritățile libiene au putut să citească e-mailurile, să obțină parole, să citească mesaje instantanee și să cartografieze conexiunile dintre oameni. Documentele postate pe resursa WikiLeaks au arătat că sistemul implementat de Amesys a făcut posibilă monitorizarea dizidenților și opoziției chiar și în străinătate, de exemplu, care locuiesc în Marea Britanie.

spionii

Troienii utilizați în atacurile cibernetice în 2013 nu au fost în mare parte nimic ieșit din comun. Dacă 2012 a fost anul PR pentru Kaspersky Lab pe tema armelor cibernetice de înaltă tehnologie, atunci în 2013 a apărut o nouă tendință - utilizarea malware-ului pe scară largă în atacuri direcționate, spre deosebire de cele scrise în mod clar de o echipă de profesioniști în scopuri specifice. . Și tot mai mult, semnele izolate indică posibili atacatori precum China și Coreea de Nord. Astfel, putem vorbi despre așa-numitele școli „occidentale” și „asiatice” ale troienilor de scriere folosite pentru a efectua atacuri la clasa APT. Care este caracteristica „școlii occidentale”?

  1. Sunt investite resurse financiare semnificative.
  2. Codul rău intenționat este semnat digital de companii legitime, certificatele pentru acesta sunt de obicei furate de pe serverele piratate, ceea ce necesită o muncă pregătitoare, resurse umane și, în cele din urmă, punctul numărul 1. Semnătura vă permite să instalați cu ușurință drivere pentru a trece la modul kernel, ceea ce face este posibil să implementați funcții rootkit și, în unele cazuri, să ocoliți protecția instrumentelor antivirus.
  3. Vulnerabilitățile zero-day sunt utilizate pe scară largă pentru lansarea ascunsă și escaladarea privilegiilor în sistem, astfel de vulnerabilități costă mult, așa că vezi din nou punctul 1.

Din 2010, următorul malware a fost descoperit cu eticheta captivantă „armă cibernetică” (vezi fig. 2), în acest articol nu vom descrie în întregime exploatările lor - am făcut deja acest lucru înainte - ci pur și simplu vom trece prin cele mai interesante lor. Caracteristici.

Stuxnet

Se remarcă pe fondul general prin faptul că este până acum singurul reprezentant al malware-ului care poate deteriora fizic unele obiecte de întreprindere. Deci, de fapt, numai acesta poate fi atribuit clasei de arme cibernetice. Ceea ce era, de asemenea, interesant în el au fost patru vulnerabilități zero-day, răspândite pe USB nu printr-un autorun.inf banal, ci prin vulnerabilitatea de gestionare a comenzii rapide MS10-046. La încărcarea automată de pe o unitate flash printr-o comandă rapidă rău intenționată, a fost declanșată o componentă rootkit, după care componentele rău intenționate Stuxnet situate pe bliț usb, a devenit invizibil. Avea funcțiile unui vierme, precum Conficker (MS08-067), precum și o metodă de răspândire în rețea printr-o vulnerabilitate a subsistemului de imprimare (MS10-061). Șoferii au fost semnați cu certificate furate.

duqu

Folosit ca container de transport document word(lansat prin vulnerabilitate în gestionarea fonturilor MS11-087, zero-day), trimis prin e-mail. Au fost semnate drivere, precum cele de la Stuxnet, motiv pentru care unii analiști antivirus încă încearcă să justifice legătura dintre Stuxnet și Duqu.

flacără

Este interesant că semnătura componentelor aparține Microsoft, a fost creată prin selectarea unei coliziuni MD5. Dimensiunea nerealist de mare a sursei, aproximativ 20 MB, utilizarea unei cantități mari de cod de la terți. Există un modul care utilizează Bluetooth pentru a intercepta informații de la dispozitive mobile.

Gauss

Are o structură modulară, modulele primesc nume interne ale unor matematicieni celebri precum Gödel, Gauss, Lagrange. Utilizări suporturi amovibile pentru a stoca informațiile colectate în fișier ascuns(acest lucru permite scurgerea informațiilor prin perimetrul de protecție, unde nu există internet, pe o unitate flash). Conține pluginuri concepute pentru a fura și monitoriza datele trimise de utilizatorii mai multor bănci libaneze - Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank și Credit Libanais.

MiniFlame

Un proiect legat de Flame. În timpul analizei servere de comandă și control Flame a descoperit că erau patru tipuri diferite clienți („malware”) cu nume de cod SP, SPE, FL și IP. MiniFlame corespunde denumirii SPE, respectiv Flame, - FL. Malware cu numele SP și IP nu a fost niciodată găsit în sălbăticie.

Sputnik

Capabil să fure date de pe dispozitive mobile, să colecteze informații de la echipamente de retea(Cisco) și fișiere de pe unități USB (inclusiv cele de mai sus fișiere șterse, care folosește propria tehnologie de recuperare a fișierelor), fură baze de date de e-mail din magazinul local Outlook sau de pe un server POP/IMAP la distanță și extrage fișiere de pe serverele FTP locale din rețea.

miniduce

Scris în assembler, ceea ce pe vremea noastră este deja surprinzător (vedeți, au verbalizat pe cineva din vechea școală). Adresele C&C sunt preluate de pe Twitter. Dacă Twitter nu a funcționat, Căutarea Google a fost folosită pentru a găsi linkuri criptate către noile servere de control.

Grupurile cibernetice chineze încearcă să țină pasul cu progresul și, de exemplu, un troian precum Winnti, folosit pentru a ataca companiile online de jocuri pe computer, conține drivere semnate.

Spionii școlii asiatice

  • iulie 2012 - Madi;
  • august 2012 - Shamoon;
  • Noiembrie 2012 - Narilam.

Toate sunt scrise în Delphi (lameware :)), codul nu strălucește cu o fabricabilitate deosebită, nu este nimic de spus despre zero-day și semnături. Există o utilizare a tehnologiilor și metodelor publice. Dar cu toate acestea - funcționează! Apropo, troienii cu funcții distructive în urma atacurilor APT au revenit la modă, Shamoon și Narilam sunt doar unul dintre ei. Au fost folosite pentru a paraliza activitatea organizațiilor individuale prin distrugerea informațiilor de pe computere.

Probleme de terminologie

Termenii vechi precum „virus”, „vierme” și „troian” nu mai corespund pe deplin realității. Este deosebit de regretabil faptul că jurnaliştii de pe Internet sunt profund violet cu privire la modul în care un virus diferă de un troian, iar o persoană care este mai mult sau mai puţin versată în subiect este tăiată de expresii precum „virusul stuxnet”, „virusul kido” sau „carberp”. virus". Să recapitulăm conceptele de bază:

  • virus - are funcția de autopropagare, infectează fișierele executabile;
  • troian - nu are funcția de autopropagare;
  • vierme - are funcția de autopropagare, în sensul clasic - prin utilizarea vulnerabilităților serviciilor OS disponibile prin rețea (vierme Morris), puțin mai târziu - prin săpun și unități flash;
  • rootkit - folosește funcțiile de a ascunde semnele prezenței sale în sistem.

În practică, multe mostre de malware combină mai multe dintre aceste caracteristici. În zilele noastre, este timpul să clasificăm programele malware în funcție de alte criterii. Să încercăm să ne dăm seama. În primul rând, orice malware al vremurilor noastre este în primul rând un proiect comercial. Diferența este doar în finanțele inițiale și obiectivele finale. În mod convențional, se pot distinge următoarele grupuri:

  • lameware este un termen nou, care înseamnă malware scris de începători sau amatori în acest domeniu (în viața de zi cu zi - lamers). Folosiți adesea Delphi. Dezvoltarea, de regulă, nu necesită investiții financiare, totuși, venitul în termeni relativi este mic. Principala motivație pentru a scrie lameware este să vă distrați CSF;
  • malware comercial de înaltă calitate - malware cu nume „mondial”, având mai multe generații și conducând istoria de câțiva ani;
  • APT - spyware, a cărui distribuție și funcționalitate se caracterizează printr-o focalizare punctuală pe ținte specifice - companii, organizații.

Concluzie

Internetizarea, computerizarea și alte globalizări au făcut viața mai ușoară oamenilor. Atât tu, cât și eu, și cei care înainte trebuiau să sară cu parașuta, roade sârmă ghimpată, ascultă, spionează, subminează și mită. O mare parte din munca acestor băieți puternici este acum făcută de programatori talentați pentru milioane de dolari, care sunt ridicole după standardele bugetelor corespunzătoare. Da, apropo, viața personalităților criminale, care înainte trebuiau să alerge cu un Colt pentru diligențele poștale, a devenit și ea mai ușoară. Fii atent și atent!

De fapt trata virusurile, aceasta nu este o operațiune foarte complicată pentru a plăti specialiști mulți bani pentru această lucrare. Puteți să vă protejați computerul de viruși sau, în caz de infecție, să vă readuceți computerul într-o stare „sănătoasă” prin eliminarea programelor malware, prin alegerea unui program antivirus bun și respectând unele reguli. Luați cel puțin două dintre cele mai importante: În primul rând, actualizați în mod regulat bazele de date antivirus. Al doilea este să vă scanați complet computerul pentru viruși o dată pe lună.

Deci, cu aceasta, cred că este clar că eliminarea malware-ului se realizează cu ajutorul antivirusurilor. Sunt plătite și gratuite, despre metodele gratuite am vorbit în următorul articol:

Și acum despre ce este un program rău intenționat sau în alt fel un virus?

Viruși de computer sau programe malware- acesta este un program al cărui scop principal este: deteriorarea unui computer, deteriorarea datelor utilizatorului, furtul sau ștergerea informațiilor personale, degradarea performanței computerului și multe altele.

Până în prezent malware pot fi clasificate în mai multe tipuri în funcție de impactul lor asupra computerului.

  • virușii clasici.
  • programe troiene.
  • Spionii.
  • Rootkit-uri.
  • adware.

Să aruncăm o privire mai atentă asupra fiecărui tip de malware.

Viruși clasici sunt programe rău intenționate care pot infecta un computer, de exemplu, prin Internet. Și esența unor astfel de viruși constă în auto-replicare. Astfel de viruși se copiază singuri, copiază fișierele și folderele care se află pe computerul infectat. Ei fac acest lucru pentru a infecta datele, astfel încât pe viitor recuperarea lor să fie imposibilă. Acest virus încearcă să deterioreze toate datele de pe computer prin introducerea codului său în toate fișierele, de la fișierele de sistem până la datele personale ale utilizatorului. Cel mai adesea, salvarea, pe un astfel de computer infectat, este.

troian este un tip grav de virus. Troienii sunt scrisi de atacatori într-un anumit scop, de exemplu, furtul de informații de pe computere, sau furtul parolelor și așa mai departe.

Troianul este împărțit în două părți. Prima parte, numită Server, este stocată de atacator, iar a doua, partea Client, este distribuită în toate colțurile posibile ale Internetului și în alte locuri. Dacă partea client a programului rău intenționat ajunge pe un computer, atunci acest computer este infectat și troianul începe să trimită diverse informații atacatorului deghizat pe serverul său.

De asemenea, troianul poate efectua diverse operațiuni pe computer la cererea serverului (intrus), fura parole, infecta documentele și fișierele cu cod rău intenționat.

spionii sunt oarecum asemănătoare cu troienii. Dar ei au principala diferență și constă în faptul că spionii nu dăunează sistemului și fișierelor utilizator. Spyware așezați-vă în liniște pe computer și spionați. Pot fura parole sau chiar pot salva absolut tot ceea ce introduci de la tastatură.

Spyware-ul este cel mai inteligent tip de virus și poate chiar trimite fișiere de pe un computer infectat. Spionul cunoaște o mulțime de informații despre computerul infectat: ce sistem este instalat, ce antivirus folosești, ce browser folosești pe Internet, ce programe sunt instalate pe computer și așa mai departe. Spyware-ul este unul dintre cele mai periculoase programe malware.

rootkit-uri Nu sunt viruși în sine. Dar rootkit-urile sunt programe al căror scop este ascunderea existenței altor viruși pe computer. De exemplu, un computer a fost infectat cu un virus spion în același timp cu un rootkit. Și rootkit-ul va încerca să ascundă, de antivirus și de sistemul tău de operare, un spion. În consecință, prezența rootkit-urilor pe un computer nu este mai puțin periculoasă, deoarece acestea pot funcționa destul de bine și pot ascunde o mulțime de viruși (spyware, troieni) de ochii antivirusului nostru pentru o lungă perioadă de timp!

Adware este un alt tip de malware. Este mai puțin program periculos, iar esența acesteia este să redați reclame pe computer în tot felul de moduri, în diferite locuri. Adware-ul nu dăunează și nu infectează sau corup fișierele. Dar trebuie să vă protejați și de acest tip de virus.

Acestea sunt tipurile malware exista. Pentru a vă proteja computerul de viruși, avem nevoie antivirus bun. Am vorbit despre asta într-un alt articol, iar acum vom continua subiectul descrierii virușilor și schemelor de protecție pentru computerul nostru.

Anterior, virușii nu aveau niciun scop anume, au fost scrisi pentru interes și dezvoltatorul nu și-a stabilit un obiectiv anume. Acum, virușii sunt cei mai complexi algoritmi, a căror esență este cel mai adesea furtul de bani și date. Troienii, cel mai adesea, sunt proiectați doar pentru a fura parole și alte date importante.

Apropo, dacă computerul dvs. a fost atacat de viruși poate fi distins prin câteva caracteristici:

  • Programele nu funcționează corect sau nu mai funcționează complet.
  • Computerul a început să încetinească, să lucreze încet.
  • Unele fișiere sunt corupte, refuză să se deschidă.

Foarte des, aceste simptome pot deveni un semn al unei infecții cu virusul computerului dar din fericire nu întotdeauna.

Trebuie remarcat faptul că cel mai adesea un anumit virus poate infecta Tipuri variate fișiere. Prin urmare, chiar și după vindecarea computerului de un atac puternic de viruși, formatarea partiției va fi cea mai corectă.

Pentru a te proteja de viruși, așa cum am spus mai sus, ei te vor ajuta programe antivirus. Astăzi, programele antivirus au caracteristici suficiente pentru a reflecta aproape toate programele rău intenționate care sunt distribuite pe Internet. Dar pentru maxim protecție contra virus un rol important îl joacă un program antivirus selectat și configurat corespunzător pentru performanță completă de „combatere”. Vă recomand să citiți articolul despre. Dar dacă nu aveți timp, atunci vă voi numi cele mai bune programe antivirus chiar aici. Începând de astăzi, acestea sunt:

  • Kaspersky
  • Avast
  • Dr. Web
  • NOD32

Cred că sunt multe din care să alegi.

Succes și protecție excelentă împotriva virusului.

Programe malware, troieni și amenințări

Majoritatea computerelor sunt conectate la o rețea (Internet, rețea locală), ceea ce simplifică distribuirea programelor rău intenționate (conform standardelor ruse, astfel de programe sunt numite „distructive”. software„dar pentru că acest concept nu este obișnuit, revizuirea va folosi conceptul de „programe rău intenționate”; pe Limba engleză se numesc Malware). Aceste programe includ troieni (cunoscuți și cai troieni), viruși, viermi, spyware, adware, rootkit-uri și diverse alte tipuri.

Un alt plus este că MBAM rareori cauzează conflicte cu alte utilitare anti-malware.

Scaner troian gratuit SUPERAntiSpyware

. În plus față de spyware, acest program scanează și elimină alte tipuri de amenințări, cum ar fi dialere, keylogger, viermi, rootkit-uri etc.

Programul are trei tipuri de scanări: scanare rapidă, completă sau personalizată a sistemului. Înainte de scanare, programul oferă să verifice actualizările pentru a vă proteja imediat de cele mai recente amenințări. SAS are propria sa listă neagră. Aceasta este o listă de 100 de exemple de diferite DLL și EXE care nu ar trebui să fie pe computer. Când faceți clic pe oricare dintre elementele din listă, veți primi Descriere completa amenințări.

Unul dintre caracteristici importante programe - aceasta este prezența protecției Hi-Jack, care nu permite altor aplicații să încheie programul (cu excepția Managerului de activități).

Din păcate, versiunea gratuită a acestui program nu acceptă protecție în timp real, scanări programate și o serie de alte funcții.

Mai multe programe

Alte scanere troiene gratuite care nu sunt incluse în recenzie:

  • Rising PC Doctor (nu mai este disponibil, mai puteți găsi versiuni vechi pe Internet) - scaner troian și spyware. Oferă oportunitatea protectie automata dintr-un număr de troieni. De asemenea, oferă următoarele instrumente: managementul pornirii, managerul de procese, managerul de servicii, File Shredder (program de ștergere a fișierelor, fără posibilitatea de a le recupera) și altele.
  • FreeFixer - vă va scana sistemul și vă va ajuta să eliminați troienii și alte programe malware. Dar, utilizatorului i se cere să interpreteze corect rezultatele programului. Trebuie acordată o atenție deosebită atunci când decideți să eliminați fișierele importante de sistem, deoarece acest lucru vă poate deteriora sistemul. Cu toate acestea, există forumuri unde vă puteți consulta dacă aveți îndoieli cu privire la decizie (link-urile către forumuri sunt pe site).
  • Ashampoo Anti-Malware (Din păcate, a devenit o versiune de probă. Este posibil ca versiunile anterioare să mai poată fi găsite pe Internet) - inițial acest produs a fost doar comercial. Versiunea gratuită oferă protecție în timp real și oferă, de asemenea, diverse instrumente de optimizare.

Ghid rapid (Legături de descărcare a scanerului troian)

Emsisoft Anti-Malware

Scanează și elimină troieni, viermi, viruși, spyware, trackere, dialer etc. Ușor de folosit.
ÎN versiune gratuită sever limitată. Nu este disponibil: actualizare automată, protecție în timp real a fișierelor, scanare programată etc.
Din păcate, a devenit un proces. Poate că versiunile anterioare mai pot fi găsite pe Internet
www.emsisoft(.)com

Instrumente PC ThreatFire

Protecție proactivă împotriva troienilor, virușilor, viermilor, spyware-urilor, rootkit-urilor și altor programe malware cunoscute și necunoscute.
Actualizare automata nu este furnizat dacă ați renunțat la comunitatea ThreatFire. Versiunea 4.10 nu s-a schimbat din noiembrie 2011.


Se încarcă...
Top