Друзья, знакомые, да и просто читатели сайта часто задают мне одни и те же вопросы: а чем отличаются вирусы от троянцев? Что такое ботнеты? А как распространяются вредоносные программы? Можно ли заразить компьютер, просматривая видео в сети? А общаясь с друзьями в «Одноклассниках»? В этой небольшой серии заметок мне хотелось бы раскрыть основные термины, используемые специалистами по информационной безопасности, рассказать об отличиях различных типов вредоносных программ, способах их распространения и методах борьбы с ними: делаю я это с простой и очевидной целью — впоследствии можно будет просто давать ссылку на данную статью всем интересующимся. Итак, приступим.
Сегодня существует огромное количество различных программ, способных причинить вред вашему ноутбуку, компьютеру, смартфону или планшету, однако большинство пользователей отчего-то называет их все «вирусами». Как специалист по компьютерной безопасности могу сказать, что такой подход в корне неправилен: профессионалы делят вредоносные программы на несколько разновидностей исходя из их функциональных возможностей и архитектурных особенностей. Прежде всего, вредоносное ПО различается по типу операционных систем, в которых оно способно работать: больше всего таких программ создано для ОС семейства Microsoft Windows, на втором месте по числу существующих угроз стоит Google Android. Но это отнюдь не означает, что не существует троянцев для других системных платформ: есть вредоносные программы для ОС Linux, для Apple Mac OS, для различных мобильных систем вроде Blackberry. Просто их значительно меньше в количественном выражении.
Во-вторых, вредоносные программы делятся на классы по своим функциональным возможностям и предназначению. Так, пресловутые компьютерные вирусы обладают двумя важными отличительными чертами: во-первых, они имеют способность к саморепликации, то есть, умеют размножаться полностью самостоятельно, без участия человека, а во-вторых, могут заражать файловые объекты. Иными словами, вирус, попав на компьютер в виде вложения в сообщение электронной почты, через Интернет или, скажем, на инфицированной флешке, самостоятельно встраивается в различные программы. Таким образом ничего не подозревающая жертва, запустив на своем устройстве какую-либо программу или игру, которая всегда была абсолютно безобидной, неожиданно активизирует вместе с ней и вредоносный модуль, который начинает втайне от пользователя выполнять те или иные опасные функции.
Существуют вредоносные программы, которые также умеют самостоятельно распространяться, рассылая сами себя по электронной почте, или создавая свои копии на съемных дисках, флешках или картах памяти, но встраиваться в другие приложения они не умеют и действуют автономно. Такие программы называются червями. Черви опасны своей способностью к неконтролируемому распространению, поэтому потенциальная жертва может в течение долгого времени даже не подозревать о том, что ее компьютер инфицирован.
Самая многочисленная и распространенная категория компьютерных угроз — это троянские программы или троянцы. Название данной категории угроз восходит к знаменитой легенде про деревянного коня, которого ахейцы преподнесли в подарок жителям осажденной Трои — напомню, что ночью из огромной деревянной статуи вылезли прятавшиеся внутри воины и открыли ворота спящего города атакующей армии. Троянские программы действуют практически аналогичным образом: маскируясь под какое-нибудь полезное приложение — утилиту для просмотра видео, кодек, даже антивирус, или под безобидный на первый взгляд документ, присланный вам по электронной почте — например, счет, квитанцию о штрафе, или судебный исполнительный лист — троянец начинает свою вредоносную деятельность на зараженной машине. Выловить вредителя не так-то просто, особенно с учетом того, что многие троянские программы умеют «прятаться» в недрах операционной системы и даже хитроумно обходить некоторые типы антивирусной защиты.
Если перевести с английского языка слово «бэкдор», то у нас получится что-то вроде словосочетания «черный ход» или «задняя дверь». Вредоносные программы-бэкдоры как раз и выполняют на зараженном устройстве подобные функции: они без вашего ведома открывают злоумышленникам полный доступ к инфицированному компьютеру или смартфону, о чем вы можете даже не догадываться. С помощью бэкдоров киберпреступники могут не только увидеть все ваши личные файлы и по желанию скопировать их себе, но также полностью управлять вашей машиной: запускать на ней различные программы, отдать команду на полное уничтожение всей хранящейся на устройстве информации, поместить на диск компрометирующие вас документы или фотографии, похитить ваши деньги, если вы пользуетесь системой «банк-клиент» или электронными платежными системами, даже использовать ваш компьютер в качестве промежуточного звена в процессе интернет-атаки на банк или какой-нибудь другой сервер: в ходе последующего расследования служба безопасности или полиция выйдут на вас благодаря следам, оставленным в сети вашим устройством, а настоящие преступники останутся неузнанными.
Программы-шпионы могут похищать любую хранящуюся на вашем компьютере информацию, пересылать злоумышленникам скриншоты — снимки содержимого вашего экрана, фиксировать нажатия клавиш на клавиатуре компьютера, переправить преступникам содержимое вашей почтовой или SMS-переписки, передать им пароли от ваших электронных почтовых ящиков и учетных записей в социальных сетях. Кроме того, счастливые обладатели смартфонов и планшетов на Android рискуют еще больше: троянцы-шпионы могут транслировать своим создателям координаты ваших перемещений благодаря встроенному в устройство GPS-приемнику, втайне включать микрофон и записывать все происходящее вокруг, снимать встроенной камерой вас, вашу квартиру или офис, включать режим полного прослушивания ваших телефонных разговоров.
Руткитами специалисты по информационной безопасности обычно называют вредоносные приложения, умеющие скрывать свое присутствие в зараженной операционной системе, а также активно противодействовать попыткам их поиска или удаления. Кроме того, некоторые руткиты специально разработаны с целью скрывать на инфицированном компьютере деятельность других вредоносных программ. В подобной ситуации несколько опасных приложений действуют как бы в связке: одно из них «обеспечивает прикрытие», а второе — реализует свой вредоносный функционал.
Существуют также буткиты (от англ. boot — «загрузка») — это вирусы или троянцы, способные заражать загрузочную запись на диске компьютера, благодаря чему они запускаются либо раньше операционной системы, либо одновременно с ней, но перед загрузкой средств антивирусной защиты. Из этого логически вытекает основная сложность борьбы с буткитами — поскольку они стартуют еще на этапе загрузки компьютера, буткиты перехватывают некоторые функции управления операционной системой, и, как следствие, могут парализовать запуск и нормальную работу антивирусных программ, а также блокировать попытки «вылечить» устройство. При неудачном удалении такой угрозы может произойти повреждение логической структуры диска, благодаря чему система и вовсе перестанет загружаться, а сложное электронное устройство превратится в кирпич. Этим они и опасны.
Ряд вирусов, троянцев и бэкдоров иногда называют ботами (от английского слова bot, сокращенного от robot) — это вредоносные программы, наделенные способностью объединяться в ботнеты (или бот-сети), то есть, связанные между собой сети зараженных устройств, способных обмениваться информацией и дистанционно управляемых злоумышленниками, например, с использованием одного или нескольких командных серверов. Для чего киберпреступники создают ботнеты? В частности, для централизованной атаки на различные серверы Интернета: скажем, если к какому-нибудь веб-сайту по команде одновременно обратится несколько сотен тысяч компьютеров, при этом они станут посылать ему запросы с интервалом в несколько микросекунд, у сервера попросту не останется ресурсов для обслуживания других клиентов, и он откажется работать под такой неожиданно возросшей нагрузкой. Подобным способом некоторые не слишком разборчивые в средствах владельцы коммерческих сайтов иногда «устраняют» своих конкурентов, а киберпреступники получают прибыль, продавая подобные услуги на подпольных форумах. Другой пример — массовая рассылка спама: «подцепив» где-нибудь троянскую программу, входящую в спаммерскую бот-сеть, ваш ПК может стать одним из миллиона компьютеров, рассылающих по электронной почте рекламу виагры или сайтов для взрослых.
Помимо перечисленных выше категорий вредоносных программ существуют так называемые макровирусы — вредоносные исполняемые сценарии, встраиваемые злоумышленниками в документы Microsoft Office и срабатывающие при открытии их в Word или Excel, потенциально-опасные и нежелательные программы, сами по себе не несущие вредоносного потенциала, но при определенных обстоятельствах способные доставить пользователю кучу ненужных проблем. В частности, к такой категории относятся приложения класса Adware — утилиты, которые, возможно, и несут какую-то полезную нагрузку, но при этом пихают во все просматриваемые пользователем веб-страницы назойливую рекламу.
Среди нежелательных программ можно отдельно отметить приложения семейства Fakealert: если перевести с английского это наименование получится что-то вроде «ложного предупреждения». К этой категории относятся всевозможные поддельные антивирусы, утилиты для оптимизации системного реестра, «ускорения» Интернета и «лечения» компьютера. Выполнив «проверку» вашего устройства, они обнаруживают различные угрозы и неполадки, за устранение которых требуют оплаты. Разумеется, на самом деле никакой проверки не выполняется, а все выявленные таким приложением проблемы и неисправности существуют только в буйной фантазии разработчиков этой программы.
Итак, с основными категориями вредоносного ПО мы разобрались, а в следующий раз поговорим об опасности, которую оно представляет для конечных пользователей.