Троянські програми шпигунів. Шпигунські трояни та урядовий малвар нашого часу

SpyWare – програми-шпигуни. Програмою – шпигуном ( альтернативні назви- Spy, SpyWare, Spy-Ware, Spy Trojan) прийнято називати програмне забезпечення, що збирає та передає будь-кому інформацію про користувача без його згоди. Інформація про користувача може включати його персональні дані, дані про його рахунки, конфігурацію його комп'ютера та операційної системи, статистику роботи в мережі Інтернет та інше

Шпигунське ПЗ застосовується для низки цілей, з яких основним є маркетингові дослідження та цільова реклама. У цьому випадку інформація про конфігурацію комп'ютера користувача, використовуване ним програмне забезпечення, відвідувані сайти, статистика запитів до пошуковим машинамі статистика слів, що вводяться з клавіатури, дозволяє дуже точно визначити рід діяльності і коло інтересів користувачів. Тому найчастіше можна спостерігати зв'язку SpyWare – Adware, тобто. "Шпигун" - "Модуль показу реклами". Шпигунська частина збирає інформацію про користувача та передає її на сервер рекламної фірми. Там інформація аналізується і у відповідь надсилається рекламна інформація, найбільш підходяща для даного користувача. У кращому випадку реклама показується в окремих спливаючих вікнах, у гіршому - впроваджується в сторінки, що завантажуються, і надсилається по електронній пошті. Шкода, завданий крадіжкою персональної інформації - є кримінальним діянням більшості розвинених країн.

Однак зібрана інформація може використовуватися не тільки для рекламних цілей – наприклад, отримання інформації про ПК користувача може суттєво спростити атаку хакера і злом комп'ютера користувача. А якщо програма періодично оновлює себе через Інтернет, це робить комп'ютер дуже вразливим - елементарна атака на DNS може підмінити адресу джерела оновлення на адресу сервера хакера - таке "оновлення" призведе до впровадження на ПК користувача будь-якого стороннього програмного забезпечення.

Шпигунське програмне забезпечення може потрапити на комп'ютер користувача двома основними шляхами:

1. Під час відвідування сайтів Інтернет. Найчастіше проникнення шпигунського ПЗ відбувається про відвідування користувачем хакерських та warez сайтів, сайтів з безкоштовною музикою та порносайтами. Як правило, для встановлення шпигунського ПЗ застосовуються ActiveX компоненти або троянські програми категорії TrojanDownloader за класифікацією Касперського лабораторії http://www.kaspersky.ru/. Багато хакерських сайтів можуть видати crack Програма для злому ліцензійного ПЗ (крек), що містить шпигунську програму або TrojanDownloader для її завантаження;

2. Внаслідок встановлення безкоштовних або умовно-безкоштовних програм. Найнеприємніше полягає в тому, що подібних програм існує безліч, вони поширюються через Інтернет або на піратських компакт-дисках.

Точних критеріїв для занесення програми в категорію "SpyWare" не існує, і дуже часто творці антивірусних пакетів відносять програми категорій "Adware" (додаток, призначений для завантаження на ПК користувача інформації рекламного характеру для її подальшої демонстрації та "Hijacker" (утиліта, яка змінює) налаштування браузера без відома користувача) до категорії "SpyWare" та навпаки.

Для певності пропонується ряд правил та умов, за дотримання яких програму можна класифікувати як SpyWare. В основу класифікації покладені найпоширеніші програми SpyWare:

1. Програма таємно встановлюється на комп'ютер користувача. Сенс цього пункту у тому, що інсталятор звичайної програми повинен повідомити користувача факт установки програми (з можливістю відмовитися від установки), запропонувати вибрати каталог установки і конфігурацію. Крім того, після встановлення інсталятор повинен створити пункт у списку "Встановлення та видалення програм", виклик якого виконає процес деінсталяції та створити відповідні записи у файлі реєстру операційної системи. Шпигунське програмне забезпечення зазвичай встановлюється екзотичним способом (часто з використанням троянських модулів категорії Trojan-Downloader) потай від користувача, при цьому його деінсталяція в більшості випадків неможлива. Другий шлях інсталяції SpyWare - потайна установка в комплекті з якоюсь популярною програмою;

2. Програма таємно завантажується в пам'ять під час завантаження комп'ютера. Варто зазначити, що розробники сучасних SpyWare почали застосовувати Rootkit. системах Windowsпід rootkit прийнято мати на увазі програму, яка впроваджується в систему та перехоплює системні функції(Windows API). Перехоплення та модифікація низькорівневих API-функцій, насамперед, дозволяє такій програмі досить якісно маскувати свою присутність у системі. Крім того, як правило, rootkit може маскувати присутність у системі будь-яких описаних у його конфігурації процесів, каталогів та файлів на диску, ключів у реєстрі. технології для маскування процесу в пам'яті та файлів на диску. З іншого боку, стає популярним створення " невбиваних " процесів - тобто. запуск двох процесів, яких перезапускають один одного у разі зупинки. Така технологія зокрема застосовується у SpyWare.WinAd;

3. Програма виконує деякі операції без вказівки користувача - наприклад, приймає чи передає будь-яку інформацію з Інтернету;

4. Програма завантажує та встановлює свої оновлення, доповнення, модулі розширення або інше програмне забезпечення без відома та згоди користувача. Ця властивість притаманне багатьом шпигунським програмам і дуже небезпечно, т.к. завантаження та встановлення оновлень та додаткових модулів відбувається потай і часто веде до нестабільної роботи системи. Більше того, механізми автоматичного оновлення можуть бути використані зловмисниками для впровадження на комп'ютер користувача троянських модулів;

5. Програма модифікує системні налаштуванняабо втручається у функціонування інших програм без відома користувача. Наприклад, шпигунський модуль може змінити рівень безпеки в налаштуваннях браузера або внести зміни до налаштувань мережі;

6. Програма модифікує інформацію чи інформаційні потоки. Типовим прикладом є різні розширення програми Outlook Express, які при надсиланні листа приписують до нього інформацію. Другий поширений приклад - модифікація сторінок, що завантажуються з Інтернету (у сторінки включається рекламна інформація, деякі слова або фрази перетворюються на гіперпосилання)

У цій класифікації слід особливо відзначити той факт, що програма категорії SpyWare не дозволяє віддалено управляти комп'ютером і не передає паролі та аналогічну їм інформацію своїм творцям - подібні дії специфічні іншої категорії програм - "Trojan" та "BackDoor". Однак за багатьма параметрами програми SpyWare є родичами троянських програм.

Угруповання файлів, проведене за класифікацією "Лабораторії Касперського" та відсотковий склад програм - шпигунів показано на рис. 1.

Як випливає з діаграми, 38% від кількості зразків складають AdWare і SpyWare (потрібно відзначити, що в класифікації ЛК відсутня SpyWare - до цієї категорії внесені найбільш шкідливі з представників AdWare). Переважна кількість зразків Trojan-Downloader цієї колекції є програмами для потайного завантаження та встановлення представлених у колекції шкідливих програм. Trojan-Spy - це шпигунське програмне забезпечення в чистому вигляді, що передає важливі відомості про користувача: паролі, номери кредитних карток, що вводиться з тексту клавіатури. У категорії Trojan відібрані програми наступних різновидів: Trojan-Dialer (програми для потайної модифікації параметрів набору телефонного номера або додзвону по платним телефонам), Trojan.StartPage (модифікуючі стартову сторінкута параметри пошуку Internet Explorer, ці програми також відомі як Hijacker),

Процентний склад програм - шпигунів проведено за класифікацією "Лабораторії Касперського"

Як випливає з діаграми, 38% кількості зразків складають AdWare і SpyWare Переважна кількість зразків Trojan-Downloader цієї колекції є програмами для потайного завантаження та встановлення представлених в колекції шкідливих програм. Trojan-Spy - це шпигунське програмне забезпечення в чистому вигляді, що передає важливі відомості про користувача: паролі, номери кредитних карток, текст, що вводиться з клавіатури. У категорії Trojan відібрано програми наступних різновидів: Trojan-Dialer (програми для потайної модифікації параметрів набору телефонного номера або додзвону по платних телефонах), Trojan.StartPage (модифікують стартову сторінку та параметри пошуку Internet Explorer, ці програми також відомі як Hijacker) Trojan.LowZones (модифікуючі параметри безпеки Internet Explorer). У категорію "Інше" потрапили шкідливі програмиінших класів - тут представлено близько 50 мережевих та поштових хробаків поширених типів, 12 експлоїтів для Internet Explorer (застосовуваних для запуску інсталяторів SpyWare) та 70 спеціалізованих троянських програм (TrojanPSW та Trojan-Proxy). Backdoor-основним призначенням є несанкціоноване, таємне керування комп'ютером.

http://www.computermaster.ru/articles/secur2.html

Що потрібно знати про комп'ютерні віруси

(С) Олександр Фролов, Григорій Фролов, 2002

[email protected]; http://www.frolov.pp.ru, http://www.datarecovery.ru

З моменту створення персональних комп'ютерів, доступних фахівцям та широким верствам населення, розпочала свій відлік історія комп'ютерних вірусів. Виявилося, що персональні комп'ютери та програми, що розповсюджуються на дискетах, являють собою те саме «живильне середовище», в якому виникають і безтурботно живуть комп'ютерні віруси. Міфи та легенди, що виникають навколо здатності комп'ютерних вірусів приникати скрізь і всюди, огортають ці шкідливі створіння туманом незрозумілого та невідомого.

На жаль, навіть досвідчені у своїй справі системні адміністратори (не кажучи вже про звичайних користувачів) не завжди точно уявляють, що ж таке комп'ютерні віруси, як вони проникають у комп'ютери та комп'ютерні мережі, і які можуть завдати шкоди. Разом з тим, не розуміючи механізму функціонування та розповсюдження вірусів, неможливо організувати ефективний антивірусний захист. Навіть найкраща антивірусна програма виявиться безсилою, якщо вона буде використана неправильно.

Короткий курс історії комп'ютерних вірусів

Що таке комп'ютерний вірус?

Найбільш загальне визначення комп'ютерного вірусу можна дати як програмний код, що самопоширюється в інформаційному середовищі комп'ютерів. Він може впроваджуватися у виконувані та командні файли програм, поширюватися через завантажувальні сектори дискет та жорстких дисків, документи офісних програм, через електронну пошту, Web-сайти, а також і по інших електронних каналах.

Проникнувши в комп'ютерну систему, вірус може обмежитися невинними візуальними або звуковими ефектами, а може викликати втрату або спотворення даних, а також витік особистої та конфіденційної інформації. У найгіршому разі комп'ютерна система, уражена вірусом, може бути під повним контролем зловмисника.

Сьогодні люди довіряють комп'ютерам вирішення багатьох критичних завдань. Тому вихід з ладу комп'ютерних системможе мати дуже важкі наслідки, аж до людських жертв (уявіть собі вірус у комп'ютерних системах аеродромних служб). Про це не слід забувати розробникам інформаційних комп'ютерних систем та системним адміністраторам.

На сьогоднішній день відомі десятки тисяч різних вірусів. Незважаючи на такий достаток, існує досить обмежена кількість типів вірусів, що відрізняються один від одного механізмом поширення та принципом дії. Є й комбіновані віруси, які можна зарахувати одночасно до кількох різних типів. Ми розповімо про різні типи вірусів, дотримуючись наскільки можна хронологічного порядку їх появи.

Файлові віруси

Історично файлові віруси з'явилися раніше за віруси інших типів, і спочатку поширювалися в середовищі операційної системи MS-DOS. Впроваджуючись у тіло файлів програм COM і EXE, віруси змінюють їх в такий спосіб, що з запуску управління передається не зараженої програмі, а вірусу. Вірус може записати свій код на кінець, початок або середину файлу (рис. 1). Вірус може розділити свій код на блоки, помістивши їх у різних місцях зараженої програми.

Рис. 1. Вірус у файлі MOUSE.COM

Отримавши управління, вірус може заразити інші програми, впровадитись у оперативну пам'ять комп'ютера та виконати інші шкідливі функції. Далі вірус передає управління зараженої програмі, і виконується звичайним чином. В результаті користувач, який запускає програму, і не підозрює, що вона "хвора".

Зауважимо, що файлові віруси можуть заражати не лише програми COMі EXE, а й програмні файли інших типів - оверлеї MS-DOS (OVL, OVI, OVR та інші), драйвери SYS, бібліотеки динамічного компонування DLL, і навіть будь-які файли з програмним кодом. Розроблені файлові віруси не тільки для MS-DOS, але й для інших ОС, таких як Microsoft Windows, Linux, IBM OS/2 Проте переважна більшість вірусів даного типумешкає саме серед ОС MS-DOS і Microsoft Windows.

За часів MS-DOS файлові віруси жили приспівуючи завдяки вільному обміну програмами, ігровими та діловими. На той час файли програм мали відносно невеликий розмір і поширювалися на дискетах. Заражену програму можна випадково завантажити з електронної дошки оголошень BBS або з Інтернету. А разом із цими програмами поширювалися і файлові віруси.

Сучасні програми займають чималий обсяг і розповсюджуються, як правило, на компакт-дисках. Обмін програмами на дискетах вже давно відійшов у минуле. Встановлюючи програму з ліцензійного компакт-диска, Ви зазвичай не ризикуєте заразити свій комп'ютер вірусом. Інша справа – піратські компакт-диски. Тут ні за що не можна ручатися (хоча нам відомі приклади поширення вірусів і на ліцензійних компакт-дисках).

В результаті сьогодні файлові віруси поступилися пальмою першості за популярністю вірусам інших типів, про які ми ще розповімо.

Завантажувальні віруси

Завантажувальні віруси отримують управління на етапі ініціалізації комп'ютера ще до початку завантаження операційної системи. Щоб зрозуміти, як вони працюють, слід згадати послідовність ініціалізації комп'ютера та завантаження операційної системи.

Відразу після увімкнення живлення комп'ютера починає працювати процедура перевірки POST (Power On Self Test), записана в BIOS. У ході перевірки визначається конфігурація комп'ютера та перевіряється працездатність основних його підсистем. Потім процедура POST перевіряє, чи вставлена ​​дискета в дисковод A:. Якщо дискета вставлена, подальше завантаження операційної системи відбувається з дискети. В іншому випадку завантаження виконується з жорсткого диска.

При завантаженні дискети процедура POST зчитує з неї завантажувальний запис(Boot Record, BR) - в оперативну пам'ять. Цей запис завжди розташований у першому секторі дискети і є маленькою програмою. Крім програми BR містить структуру даних, що визначає формат дискети та деякі інші характеристики. Потім процедура POST передає керування BR. Отримавши управління, BR починає безпосередньо завантаження операційної системи.

При завантаженні жорсткого дискапроцедура POST зчитує головний завантажувальний запис (Master Boot Record, MBR) та записує його в оперативну пам'ять комп'ютера. Цей запис містить програму початкового завантаження та таблицю розділів, де описані всі розділи жорсткого диска. Вона зберігається в першому секторі жорсткого диска.

Після читання MBR управління передається щойно прочитаної з диска програмі початкового завантаження. Вона аналізує вміст таблиці розділів, вибирає активний розділ та зчитує завантажувальний запис BR активного розділу. Цей запис аналогічний запису BR системної дискети і виконує ті ж функції.

Тепер про те, як "працює" завантажувальний вірус.

При зараженні дискети або жорсткого диска комп'ютера завантажувальний вірус замінює завантажувальний запис BR або головний завантажувальний запис MBR (мал. 2). Вихідні записи BR чи MBR у своїй запис зазвичай не пропадають (хоча так буває який завжди). Вірус копіює їх у один із вільних секторів диска.

Рис. 2. Вірус у завантажувальному записі

Таким чином, вірус отримує керування відразу після завершення процедури POST. Потім він, як правило, діє за стандартним алгоритмом. Вірус копіює себе в кінець оперативної пам'яті, зменшуючи її доступний обсяг. Після цього він перехоплює кілька функцій BIOS, тому звернення до них передає управління вірусу. Наприкінці процедури зараження вірус завантажує в оперативну пам'ять комп'ютера справжній завантажувальний сектор і передає управління. Далі комп'ютер завантажується як завжди, але вірус вже знаходиться в пам'яті і може контролювати роботу всіх програм та драйверів.

Комбіновані віруси

Дуже часто зустрічаються комбіновані віруси, що поєднують властивості файлових та завантажувальних вірусів.

Як приклад можна навести широко поширений у минулому файлово-завантажувальний вірус OneHalf. Проникаючи в комп'ютер із операційною системою MS-DOS, цей вірус заражає головний завантажувальний запис. Під час завантаження комп'ютера вірус поступово шифрує сектори жорсткого диска, починаючи з останніх секторів. Коли резидентний модуль вірусу знаходиться в пам'яті, він контролює всі звернення до зашифрованих секторів і розшифровує їх, тому все програмне забезпечення комп'ютера працює нормально. Якщо OneHalf просто видалити з оперативної пам'яті та завантажувального сектора, то неможливо буде правильно прочитати інформацію, записану в зашифрованих секторах диска.

Коли вірус зашифрує половину жорсткого диска, він відображає на екрані напис:

Dis is one half. Press any key to continue ...

Після цього вірус очікує, коли користувач натисне будь-яку клавішу і продовжує свою роботу

Вірус OneHalf використовує різні механізми для маскування. Він є стелс-вірусом і використовує під час поширення поліморфні алгоритми. Виявлення та видалення вірусу OneHalf – досить складне завдання, доступне далеко не всім антивірусним програмам.

Віруси-супутники

Як відомо, в операційних системах MS-DOS і Microsoft Windows різнихверсій існують три типи файлів, які користувач може запустити на виконання. Це командні чи пакетні файли BAT, а також можливі файли COM і EXE. При цьому в одному каталозі можуть одночасно знаходитися кілька файлів, що мають однакове ім'я, але різне розширення імені.

Коли користувач запускає програму і вводить її ім'я в системному запрошенні операційної системи, він зазвичай не вказує розширення файла. Який файл буде виконано, якщо в каталозі є кілька програм з однаковим ім'ям, але різним розширенням імені?

Виявляється, у цьому випадку запуститься файл COM. Якщо в поточному каталозі або каталогах, зазначених у змінного середовища PATH, існують тільки файли EXE та BAT, то виконуватиметься файл EXE.

Коли вірус-супутник заражає файл EXE або BAT, він створює в цьому ж каталозі ще один файл з таким самим ім'ям, але з розширенням імені COM. Вірус записує себе у цей COM-файл. Таким чином, при запуску програми першим отримає управління вірус-супутник, який може запустити цю програму, але вже під своїм контролем.

Віруси у пакетних файлах

Існує кілька вірусів, які здатні заражати пакетні файли BAT. Для цього ними використовується дуже витончений спосіб. Ми розглянемо його з прикладу вірусу BAT.Batman. При зараженні пакетного файлуу його початок вставляється текст наступного виду:

@ECHO OFF REM [...] copy %0 b.com>nul b.com del b.com rem [...]

У квадратних дужках [...] тут схематично показано розташування байт, що є процесорними інструкціями чи даними вірусу. Команда @ECHO OFF відключає виведення на екран назв команд, що виконуються. Рядок, що починається з команди REM, є коментарем і не інтерпретується.

Команда copy %0 b.com>nul копіює заражений командний файл у файл B.COM. Потім цей файл запускається та видаляється з диска командою del b.com.

Найцікавіше, що файл B.COM, створений вірусом, до байта збігається із зараженим командним файлом. Виявляється, якщо інтерпретувати перші два рядки зараженого BAT-файлу як програму, вона буде складатися з команд центрального процесора, які фактично нічого не роблять. Центральний процесор виконує ці команди, потім починає виконувати справжній код вірусу, записаний після оператора коментаря REM. Отримавши управління, вірус перехоплює переривання ОС та активізується.

У процесі поширення вірус слідкує за записом даних у файли. Якщо перший рядок, який записується у файл, містить команду @echo, тоді вірус вважає, що записується командний файлта заражає його.

Шифруються та поліморфні віруси

Щоб утруднити виявлення, деякі віруси шифрують свій код. Щоразу, коли вірус заражає нову програму, він зашифровує свій код, використовуючи новий ключ. В результаті два екземпляри такого вірусу можуть значно відрізнятися один від одного, навіть мати різну довжину. Шифрування коду вірусу значно ускладнює процес дослідження. Звичайні програми не зможуть дизасемблювати такий вірус.

Звичайно, вірус здатний працювати тільки в тому випадку, якщо код, що виконується, розшифрований. Коли запускається заражена програма (або починається завантаження із зараженого завантажувального запису BR) і вірус отримує управління, він має розшифрувати свій код.

Для того, щоб утруднити виявлення вірусу, для шифрування застосовуються не тільки різні ключі, а й різні процедури шифрування. Два екземпляри таких вірусів не мають жодної послідовності коду, що збігається. Такі віруси, які можуть змінювати свій код, отримали назву поліморфних вірусів.

Стелс-віруси

Стелс-віруси намагаються приховати свою присутність у комп'ютері. Вони мають резидентний модуль, який постійно перебуває в оперативній пам'яті комп'ютера. Цей модуль встановлюється в момент запуску зараженої програми або завантаження з диска, зараженого завантажувальним вірусом.

p align="justify"> Резидентний модуль вірусу перехоплює звернення до дискової підсистеми комп'ютера. Якщо операційна система або інша програма зчитує файл зараженої програми, то вірус підставляє справжній, незаражений файл програми. Для цього резидентний модуль вірусу може тимчасово видаляти вірус із зараженого файлу. Після закінчення роботи з файлом він заражається знову.

Завантажувальні стелс-віруси діють за такою самою схемою. Коли будь-яка програма зчитує дані із завантажувального сектора, замість зараженого сектора підставляється справжній завантажувальний сектор.

Маскування стелс-вірусів спрацьовує лише в тому випадку, якщо в оперативній пам'яті комп'ютера знаходиться резидентний модуль вірусу. Якщо комп'ютер завантажується з «чистої», не зараженої системної дискети, вірус не має шансів отримати управління і тому стелс-механізм не працює.

Макрокомандні віруси

Досі ми розповідали про віруси, що мешкають у виконуваних файлах програм і завантажувальних секторахдисків. Широке поширення пакету офісних програм Microsoft Officeвикликало лавиноподібну появу вірусів нового типу, що розповсюджуються не з програмами, а з файлами документів.

На перший погляд, це може здатися неможливим - справді, де сховатися вірусів у текстових документах Microsoft Word або в осередках електронних таблиць Microsoft Excel?

Однак насправді файли документів Microsoft Office можуть містити невеликі програми для обробки цих документів, складені мовою програмування Visual Basic for Applications. Це стосується не тільки документів Word і Excel, але й баз даних Access, а також файлів презентацій Power Point. Такі програми створюються з допомогою макрокоманд, тому віруси, що у офісних документах, називаються макрокомандними.

Як розповсюджуються макрокомандні віруси?

Разом із файлами документів. Користувачі обмінюються файлами через дискети, мережеві каталоги файл-серверів корпоративної інтрамережі, електронною поштою та іншими каналами. Щоб заразити комп'ютер макрокомандним вірусом, досить просто відкрити файл документа у відповідному офісному додатку – і справа зроблена!

Зараз макрокомандні віруси дуже поширені, чому значною мірою сприяє популярність Microsoft Office. Вони можуть завдати шкоди не менше, а в деяких випадках навіть більше, ніж «звичайні» віруси, що заражають здійсненні файли та завантажувальні сектори дисків та дискет. Найбільша небезпека макрокомандних вірусів, з погляду, у тому, що вони можуть змінювати заражені документи, залишаючись непоміченими тривалий час.

З дитинства ми чули, що добрі – це розвідники, вони працюють на наших. А погані – це шпигуни, це чужі – ті хлопці у чорних окулярах, у застебнутих на всі гудзики макінтошах та з пачкою доларів у кишені. Настало двадцять перше століття, і тепер зовсім не прогумовані плащі називають макінтошами, хоча шпигуни в них все одно заводяться… Зустріч сьогодні на арені: шпигунське ПЗ від «доброї» та «злої» (як подивитися, а?) сторін сили.

Розвідники: малвар для потреб уряду

Влітку 2012 року співробітники антивірусної лабораторіїКасперського виявили шкідливість, яка отримала назву Morcut. Його застосували до групи незалежних журналістів з Марокко, які висвітлювали події під час «арабської весни», їх комп'ютери заражали цілеспрямовано через сервіс електронної пошти.

У класифікації інших антивірусних компаній шкідливість має найменування Crisis (Symantec) та DaVinci (Dr.Web). У ході проведеного компанією Dr.Web розслідування було встановлено, що Morcut є компонентом системи віддаленого контролю DaVinci, яку розробляє та продає компанія Hacking Team.

DaVinci

Система DaVinci позиціонується розробником як СОРМ (система технічних засобівдля забезпечення функцій оперативно-розшукових заходів) для використання урядовими структурами та правоохоронними органами. Крім компанії Hacking Team, такі СОРМ розробляє низку інших компаній. Як правило, це комплекс програм, що складається з керуючого сервера та клієнта-агента. Агент непомітно для користувача встановлюється на комп'ютер і має такі функції:

  • пошук та формування списку файлів, що задовольняють заданим критеріям;
  • надсилання довільних файлів, у тому числі електронних документівна віддалений сервер;
  • перехоплення паролів від сервісів електронної пошти та соціальних мереж;
  • збір даних про відвідувані ресурси мережі Інтернет;
  • перехоплення потоку даних систем електронного голосового зв'язку (Skype);
  • перехоплення даних систем миттєвого обміну повідомленнями (ICQ);
  • збір інформації про контакти з мобільних телефонів, що підключаються до комп'ютера;
  • запис аудіо- та відеоінформації (за наявності підключених веб-камери та мікрофона).

За даними видання Wall Street Journal, низка європейських компаній постачала СОРМ на базі СПО з таким функціоналом до країн Близького Сходу, уряди яких використовували їх для боротьби з опозиційно налаштованими верствами населення.


Неурядова організація Privacy International (Великобританія), що займається виявленням фактів порушення прав людини, проводить постійний моніторинг міжнародного ринку СОРМ та веде перелік компаній – розробників рішень у цій сфері. Перелік складається на основі аналізу компаній – учасників спеціалізованої конференції ISS World (Intelligence Support Systems – системи забезпечення збору інформації). На цьому заході, який проводиться регулярно кілька разів на рік, зустрічаються потенційні покупці та розробники СОРМ. Ось деякі з компаній, що розробляють шкідливість під виглядом СОРМ.

FinFisher (finfisher.com), підрозділ Gamma International (Великобританія)

За деякими даними, після відставки Хосні Мубарака після подій 2011 року в Єгипті було знайдено документи (див. рис. 3, 4), що вказують на те, що компанія FinFisher надавала послуги зі спостереження за громадянами Єгипту за допомогою комплексу FinSpy. Факт купівлі п'ятимісячної ліцензії режиму Мубарака до Єгипту за 287 тисяч євро компанія заперечує. FinSpy здатний перехоплювати телефонні дзвінки Skype, красти паролі та записувати аудіовідеоінформацію. На комп'ютери користувачів FinSpy встановлюється так: електронною поштою надсилається повідомлення з посиланням на шкідливий сайт. Коли користувач відкриє посилання, йому запропонують оновити програмне забезпечення. Насправді замість оновлення буде встановлено зловред. Спосіб розповсюдження FinSpy через електронну пошту було відзначено влітку 2012 року щодо продемократичних активістів Бахрейну.



Hacking Team (hackingteam.it), Італія

Розробник системи віддаленого контролю DaVinci, яку позиціонують як засіб стеження, призначений для використання урядами та правоохоронними органами різних держав. Функціонал DaVinci аналогічний FinSpy – це перехоплення Skype, електронних листів, паролів, даних засобів миттєвих повідомлень (ICQ), а також запис аудіовідеоінформації. Клієнтська частина DaVinci здатна функціонувати як серед операційних систем сімейства Windows(версії XP, Vista, Seven), і серед операційних систем сімейства Mac OS (версії Snow Leopard, Lion). Ціна системи DaVinci приблизно становить близько 200 тисяч євро, в неї закладені зобов'язання постійно оновлювати та підтримувати продукт до того моменту, поки кінцевої мети атаки (отримання потрібної інформації) не буде досягнуто.

Area SpA (area.it), Італія

У листопаді 2011 року стало відомо, що співробітники цієї компанії встановили систему моніторингу для сирійського уряду, здатну перехоплювати, сканувати та зберігати практично всі повідомлення електронної пошти в країні. Через місяць після виявлення цього факту ЄС заборонив експорт технічних засобів спостереження до Сирії та їх обслуговування. Система була розгорнута на основі договору із сирійською телекомунікаційною компанією STE (Syrian Telecommunications Establishment), яка є основним оператором стаціонарного зв'язкуу Сирії. Для встановлення застосовувався спосіб, ефективний за наявності доступу до телекомунікаційних мереж (спецслужби держави та правоохоронні органи мають такий доступ), - заміна інформації. Наприклад, користувач під час пошуку інформації в google.com отримував посилання, що ведуть на шкідливий сайт, і заражався під виглядом установки компонентів браузера, необхідних для коректного відображення вмісту сайту.

Amesys (amesys.fr), підрозділ Bull SA, Франція

Журналісти Wall Street Journal в одному з центрів інтернет-моніторингу, що залишили прихильники Каддафі, в Тріполі (Лівія) виявили використання системи стеження компанії Amesys. За їхніми свідченнями, лівійська влада могла читати електронну пошту, отримувати паролі, читати миттєві повідомлення та складати карти зв'язків між людьми. Документи, викладені на ресурсі WikiLeaks, показали, що система, розгорнута Amesys, дозволяла стежити за дисидентами та опозиціонерами навіть за кордоном, наприклад, що живуть у Великій Британії.

Шпигуни

Трояни, використані в ході кібератак в 2013 році, в основному вже не являли собою нічого надзвичайного. Якщо 2012 став для «Лабораторії Касперського» роком піару на темі hi-tech-кіберзброї, то в 2013 з'явився новий тренд - використання в цільових атаках широко поширених шкідливих програм, на противагу явно написаним командою професіоналів під конкретні цілі. І все частіше окремі ознаки вказують на таких можливих організаторів атак, як Китай та Північна Корея. Таким чином, можна говорити про так звані «західні» та «азіатські школи» написання троянів, які використовуються для проведення атак класу APT. Що характерно для «західної школи»?

  1. Вкладаються значні фінансові ресурси.
  2. Шкідливий код підписують цифровим підписом легальних контор, сертифікати для неї зазвичай крадуться зі зламаних серверів, що вимагає певної підготовчої роботи, людських ресурсів і в кінцевому підсумку пункту номер 1. Підпис дозволяє без проблем встановлювати драйвери для переходу в режим ядра, що дає можливість реалізовувати -функції, і навіть часом обходити захист антивірусних средств.
  3. Широко використовуються zero-day-вразливості для прихованого запуску та підвищення своїх привілеїв у системі, такі вразливості коштують чимало, тому знову дивися пункт 1.

З 2010 року були виявлені такі шкідливі програми з яскравим ярликом «кіберзброя» (див. рис. 2), у цій статті ми не будемо розписувати їх подвиги повністю - ми це вже робили раніше, - а просто пройдемося за їх найцікавішими особливостями.

Stuxnet

Виділяється на загальному тлі тим, що він поки що єдиний представник малварі, здатний фізично пошкодити деякі об'єкти підприємства. Тож до класу кіберзброї фактично можна віднести лише її. Що в ньому було ще цікавого – чотири zero-day-уразливості, поширення на USB не через тривіальний autorun.inf, а через вразливість обробки ярликів MS10-046. При автозавантаженні з флешки через шкідливий ярлик спрацьовував руткіт-компонент, після чого шкідливі компоненти Stuxnet, розміщені на USB flash, ставали невидні. Мав функції хробака, як у Conficker (MS08-067), а також метод розповсюдження через мережу через вразливість підсистеми друку (MS10-061). Драйвери було підписано вкраденими сертифікатами.

Duqu

Як контейнер для доставки використовувався документ Word(запуск через вразливість в обробці шрифтів MS11-087, zero-day), що адресно надсилається електронною поштою. Драйвери, як і у Stuxnet, були підписані, чим досі деякі антивірусні аналітики намагаються обґрунтувати зв'язок між Stuxnet та Duqu.

Flame

Цікавий тим, що підпис компонентів належить Microsoft, створений він шляхом підбору колізії MD5. Неможливо великий розмір вихідного коду, близько 20 Мб, використання великої кількості стороннього коду. Є модуль, який використовує Bluetooth для перехоплення інформації з мобільних пристроїв.

Gauss

Має модульну структуру, модулям присвоєно внутрішні імена знаменитих математиків, таких як Гедель, Гаус, Лагранж. Використовує знімний носійдля зберігання зібраної інформації прихованому файлі(це дозволяє інформації витікати через захисний периметр, де немає інтернету, на флешці). Містить плагіни, призначені для крадіжки та моніторингу даних, що пересилаються користувачами кількох ліванських банків – Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank та Credit Libanais.

MiniFlame

Сумежний з Flame проект. У ході аналізу командних серверів Flame було встановлено, що існували чотири різних типуклієнтів («шкідливих програм») під кодовими назвами SP, SPE, FL та IP. MiniFlame відповідає назві SPE, Flame, відповідно - FL. Шкідливості з назвами SP та IP так і не були виявлені in the wild.

Sputnik

Здатний красти дані з мобільних пристроїв, збирати інформацію з мережевого обладнання(Cisco) та файли з USB-дисків (включаючи раніше видалені файли, для чого використовує власну технологію відновлення файлів), красти поштові бази даних з локального сховища Outlook або віддаленого POP/IMAP-сервера, а також вилучати файли з локальних FTP-серверів в мережі.

MiniDuke

Написаний на асемблері, що в наш час уже викликає подив (мабуть, вербанули когось старої школи). Адреси командних серверів беруться із Twitter. Якщо з Twitter не зрослося, використовувався Google Search, щоб знайти зашифровані посилання до нових серверів керування.

Китайські кіберугруповання намагаються не відставати від прогресу, і, наприклад, такий троян, як Winnti, який використовується для атак на компанії, що займаються комп'ютерними онлайн-іграми, містить підписані драйвери.

Шпигуни азіатської школи

  • Липень 2012 – Madi;
  • серпень 2012 – Shamoon;
  • листопад 2012 - Narilam.

Всі вони написані на Delphi (lameware:)), код особливою технологічністю не блищить, про zero-day та підписи нічого й казати. В наявності використання паблік технологій і методів. Але тим не менш – вони працюють! До речі, трояни з деструктивними функціями на хвилі APT-атак знову входять у моду, Shamoon і Narilam якраз з-поміж них. Вони використовувалися, щоб паралізувати роботу окремих організацій шляхом знищення інформації на ЕОМ.

Проблеми термінології

Старі терміни типу «вірус», «хробак» та «троян» вже не повною мірою відповідають реаліям. Особливо прикро, що журналістам інтернет-видань глибоко фіолетово, ніж вірус відрізняється від трояна, і людині, хоч трохи розуміється на темі, ріжуть слух такі словосполучення, як «вірус stuxnet», «вірус kido» або «вірус carberp». Вкотре згадаємо основні поняття:

  • вірус - має функцію саморозповсюдження, заражає виконувані файли;
  • троян - немає функції самопоширення;
  • черв'як - має функцію саморозповсюдження, в класичному розумінні - через використання вразливостей сервісів ОС, доступних по мережі (хробак Морріса), трохи пізніше - через мило та флешки;
  • руткіт - використовує функції приховування ознак своєї присутності у системі.

Насправді багато зразки шкідливих речовин поєднують у собі кілька таких характеристик. У наш час мальвар можна класифікувати за якимись іншими критеріями. Спробуємо розібратися. Насамперед, будь-який малвар нашого часу насамперед комерційний проект. Різниця лише у вихідних фінансах та кінцевих цілях. Умовно можна виділити такі групи:

  • lameware - новомодний термін, що означає малвар, написану новачками чи дилетантами у цій справі (в побуті - ламерами). Часто користуються Delphi. Розробка, як правило, не вимагає жодних фінансових вкладень, щоправда, і дохід у відносному вираженні малий. Основний фактор, що спонукає до написання lameware, - потішити своє НСВ;
  • добротна комерційна малварь - шкідливість з «світовим» ім'ям, які мають кілька поколінь і ведуть свою історію протягом декількох років;
  • APT - шпигунські програми, поширення та функціонал яких характеризується точковою спрямованістю на конкретні цілі – компанії, організації.

Висновок

Інтернетизація, комп'ютеризація та інша глобалізація полегшили життя людей. І нам з тобою, і тим, що раніше мали стрибати з парашутом, перегризати колючий дріт, підслуховувати, підглядати, підривати і підкуповувати. Велику частку роботи цих міцних хлопців нині роблять талановиті програмісти за кумедні за мірками відповідних бюджетів мільйони доларів. Так, до речі, життя кримінальним особам, які раніше мали бігати з кольтом за поштовими диліжансами, полегшилося також. Будь уважний та обережний!

Насправді лікувати вірусиЦе не дуже складна операція, щоб платити фахівцям величезні гроші за цю роботу. Здійснити захист комп'ютера від вірусів, або ж у разі зараження повернути комп'ютер у «здоровий» стан, видаливши шкідливі програми, можна і самому, обравши хорошу антивірусну програму та дотримуючись деяких правил. Взяти хоча б два з найважливіших: Перше – регулярно оновлювати основи антивірусу. Друге – один раз на місяць повністю перевіряти комп'ютер на наявність вірусів.

Отже, з цим думаю відомо, що видалення шкідливих програм здійснюється за допомогою антивірусів. Вони бувають платні та безкоштовні, про безплатні способи я розповів у наступних статтях:

А тепер про те, що ж таке шкідлива програма чи інакше вірус?

Комп'ютерний вірус або шкідлива програма- це програма, основною метою якої є: заподіяння шкоди комп'ютеру, псування даних користувача, крадіжка або видалення особистої інформації, погіршення роботи комп'ютера та багато іншого.

На сьогоднішній день шкідливі програмиможна віднести до кількох типів їх впливу на комп'ютер.

  • Класичні віруси
  • троянські програми.
  • Шпигуни.
  • Руткіти.
  • Adware.

Розглянемо кожен тип шкідливих програм докладніше.

Класичні віруси– це шкідливі програми, якими може бути заражений комп'ютер, наприклад через інтернет. І суть таких вірусів полягає у саморозмноженні. Такі віруси копіюють самі себе, копіюють файли та папки, що знаходяться на зараженому комп'ютері. Роблять вони це з метою заразити дані, щоб у подальшому їхнє відновлення було неможливо. Цей вірус намагається пошкодити всі дані на комп'ютері, заносячи свій код у всі файли, починаючи з файлів системи і закінчуючи особистими даними користувача. Найчастіше порятунком на такому зараженому комп'ютері є .

Троянська програма- Це серйозний тип вірусів. Троянські програми пишуться зловмисниками під певну мету, наприклад, крадіжка інформації з комп'ютерів, або «відведення» паролів тощо.

Троян поділяється на дві частини. Перша частина, під назвою Сервер, зберігається у зловмисника, а друга – Клієнтська частина, що поширюється по всіх можливих куточках інтернету та інших місцях. Якщо клієнтська частина шкідливої ​​програми потрапляє на комп'ютер, цей ПК стає зараженим і троян починає замасковано відправляти зловмиснику з його сервер різні відомості.

Також троян може виконувати на запит сервера (зловмисника) різні операції на комп'ютері, красти паролі, заражати документи та файли шкідливим кодом.

Шпигуни, чимось схожі на троянські програми Але у них є головна відмінність і полягає в тому, що шпигуни не завдають шкоди файлам системи та користувача. Шпигунські програмипо-тихому влаштовуються на комп'ютері та шпигунят. Вони можуть красти паролі або навіть зберігати абсолютно все, що ви вводите з клавіатури.

Програма шпигун є найбільш інтелектуальним типом вірусів і може навіть відправляти файли з зараженого комп'ютера. Шпигун знає про зараженому ПК багато інформації: яка система встановлена, яким антивірусом ви користуєтеся, з якого браузера сидите в інтернеті, які програми встановлені на комп'ютері і так далі. Шпигун – одна з найнебезпечніших шкідливих програм.

Руткіти– це самі собою не віруси. Але руткіти це програми, які мають на меті приховати існування інших вірусів на комп'ютері. Наприклад, комп'ютер був заражений вірусом "шпигун" одночасно з руткітом. І руткіт намагатиметься приховати, від вашого антивірусу та операційної системи, шпигуна. Відповідно наявність руткітів на комп'ютері не менш небезпечна, тому що вони можуть досить добре працювати і довго приховувати від очей нашого антивірусу купу вірусів (шпигунів, троянів)!

Adware– це ще один тип шкідливого програмного забезпечення. Це менше небезпечна програма, І суть її крутити рекламу на вашому комп'ютері всілякими способами у різних місцях. Adware не завдає якоїсь шкоди і не заражає, не псує файли. Але від такого типу вірусів також треба захищатися.

Ось такі типи шкідливих програміснують. Для захисту комп'ютера від вірусів нам знадобиться добрий антивірус. Про те, що я розповів в іншій статті, а зараз продовжимо тему опису вірусів та схем захисту свого комп'ютера.

Раніше віруси не мали певної мети, вони писалися для інтересу і розробник не ставив певної мети. Зараз віруси є найскладнішими алгоритмами, суть яких найчастіше в крадіжці грошей і даних. Трояни найчастіше розраховані лише на те, щоб вкрасти паролі та інші важливі дані.

До речі, чи був атакований Ваш комп'ютер вірусами, можна відрізнити за деякими ознаками:

  • Програми працюють неправильно або перестають працювати.
  • Комп'ютер почав гальмувати, працювати повільно.
  • Деякі файли псуються, відмовляються відкриватися.

Дуже часто такі ознаки можуть стати ознакою зараження комп'ютера вірусамиале на щастя не завжди.

Слід звернути увагу, що найчастіше один конкретний вірус може заражати різні типифайлів. Тому навіть після лікування комп'ютера від сильної атаки вірусами найбільш правильним буде форматування розділів.

Захиститись від вірусів, як я вже сказав вище, Вам допоможуть антивірусні програми. На сьогоднішній день антивірусні програми володіють функціями, яких вистачить, щоб відобразити практично всі шкідливі програми, які розповсюджуються в інтернеті. Але для максимальної захисту від вірусівважливу роль грає правильно підібрана та налаштована антивірусна програма для повної «бойової» працездатності. Я рекомендую Вам прочитати статтю про те, . Але якщо у Вас немає часу, то я прямо назву Вам найкращі антивірусні програми. На сьогоднішній день це:

  • Касперський
  • Avast
  • Dr.Web
  • NOD32

Думаю, є серед чого вибирати.

Удачі та відмінного Вам захисту від вірусів.

Шкідливі програми, трояни та загрози

Більшість комп'ютерів підключено до мережі (інтернет, локальна мережа), що спрощує поширення шкідливих програм (за російськими стандартами такі програми називаються "руйнівні програмні засоби", але, тому що це поняттямало поширене, в огляді використовуватиметься поняття "шкідливі програми"; на англійськоювони називаються Malware). До таких програм належать трояни (також відомі як троянські коні), віруси, черв'яки, шпигунське ПЗ, рекламне ПЗ, руткіти та інші види.

Ще одним плюсом і те, що MBAM рідко викликає будь-які конфлікти коїться з іншими утилітами захисту від шкідливого ПЗ.

Безкоштовний сканер троянів SUPERAntiSpyware

. Крім шпигунського ПЗ, ця програма сканує та видаляє інші види загроз, такі як: дозвонщики, клавіатурні шпигуни, черви, руткіти тощо.

Програма має три види сканування: швидке, повне або вибіркове сканування системи. Перед скануванням програма пропонує перевірити оновлення, щоб одразу захистити Вас від новітніх загроз. SAS має чорний список. Це список зі 100 прикладів різних DLL та EXE-файлів, яких не повинно бути на комп'ютері. При натисканні будь-якого з пунктів у списку, Ви отримаєте повний опис загрози.

Одна з важливих особливостейпрограми - це наявність Hi-Jack захисту, яка не дозволяє іншим програмам завершити роботу програми (за винятком Task Manager).

На жаль, безкоштовна версія цієї програми не підтримує захист у реальному часі, запуску сканування за розкладом та інших функцій.

Ще програми

Інші безкоштовні сканери троянів, що не увійшли до огляду:

  • Rising PC Doctor (недоступний, в інтернеті, можливо, ще можна знайти старі версії) - сканер троянів і шпигунського ПЗ. Пропонує можливість автоматичного захистувід низки троянів. Також пропонує наступні інструменти: управління автозавантаженням, менеджер процесів, менеджер сервісів, File Shredder (програма видалення файлів, без можливості їх відновлення) та інші.
  • FreeFixer - просканує вашу систему та допоможе видалити трояни та інші шкідливі програми. Але від користувача потрібно правильно інтерпретувати результати роботи програми. Особливу обережність необхідно проявляти при прийнятті рішення про видалення важливих файлів системи, так як це може пошкодити вашій системі. Однак, є форуми, на яких Ви можете проконсультуватися, якщо сумніваєтеся у вирішенні (посилання на форуми є на сайті).
  • Ashampoo Anti-Malware (На жаль, стала тріальною. Можливо, ранні версії ще можна знайти в інтернеті) - спочатку цей продукт був лише комерційним. Безкоштовна версія забезпечує захист у режимі реального часу, а також пропонує різноманітні інструменти оптимізації.

Посібник із швидкого вибору (посилання на завантаження сканерів троянів)

Emsisoft Anti-Malware

Сканує та видаляє трояни, черв'яки, віруси, шпигунське ПЗ, трекери, додзвонювачі тощо. Проста у використанні.
В безкоштовної версіїсильно обмежена. Відсутнє: автоматичне оновлення, захист файлів у реальному часі, сканування за розкладом тощо.
На жаль, стала тріальною. Можливо, ранні версії ще можна знайти в інтернеті
www.emsisoft(.)com

PC Tools ThreatFire

Проактивний захист від відомих та невідомих троянів, вірусів, черв'яків, шпигунського ПЗ, руткітів та інших шкідливих програм.
Автоматичне оновленняне надається, якщо Ви відмовилися від участі у спільноті ThreatFire"s. 4.10 версія не змінювалася з листопада 2011 року.


Завантаження...
Top