Holmogorov.ru

Блог
Валентина
Холмогорова

Антивирусный ликбез — чем опасны вредоносные программы?

Фантазия создателей вредоносных приложений поистине безгранична, однако все они так или иначе преследуют одну и ту же цель: тем или иным способом они стараются заработать с помощью незадачливых жертв денег. «Золотым веком» всевозможных программ-шуток, зачастую распространявшихся  аналогично современным вредоносным приложениям, можно назвать эпоху MS-DOS: собственно, в те прекрасные времена всевозможные розыгрыши и приколы зачастую являлись основной полезной нагрузкой большинства вирусов и троянцев. Существовали программы-вредители, переворачивавшие изображение на экране вверх ногами (чтобы не беспокоить системного администратора, некоторые жертвы этого троянца просто устанавливали монитор вверх тормашками и как ни в чем не бывало продолжали работать дальше), были вирусы, исполнявшие при помощи встроенного в дисковод электродвигателя незамысловатую мелодию «чижика-пыжика».

Помимо основного вредоносного функционала — неконтролируемого размножения и заражения файловых объектов, — вирусы нередко «развлекали» пользователей всевозможными «визуальными эффектами». Один троянец выводил на экран сообщение «Ошибка доступа к диску С: на диске обнаружена вода», после чего из встроенного в системный блок динамика звучала радостная весенняя капель. Несчастные жертвы вредоносных программ нередко наблюдали, как свеженабранный в текстовом редакторе доклад осыпается, подобно пожелтевшей листве, беспорядочной горкой символов, пытались поймать мышкой убегающую за границы экрана кнопку «Пуск» или заклеить скотчем поминутно открывающийся лоток оптического привода.

Таким образом, одним из главных стимулов для вирусописателей прошлого была скандальная слава. В наши дни создателями вредоносных программ движет, в основном, жажда наживы, и потому неожиданные «сюрпризы» в их творениях — это скорее редкое исключение, нежели правило. Да и сам формат вредоносных приложений подразумевает максимальную скрытность в инфицированной системе, помноженную на компактный размер файла. Чем же опасны современные вирусы  и троянцы? Давайте перечислим основные их вредоносные функции.

Шифрование файлов с требованием выкупа. Троянцы-шифровальщики, или, как их еще называют, энкодеры — одна из наиболее опасных компьютерных угроз по состоянию на осень 2014 года. Такие троянцы относятся к условной категории программ-вымогателей, которые в англоязычных странах принято называть термином ransomware. Появились энкодеры в 2009 году, и на момент написания этой книги специалистам компьютерной безопасности известно уже более 1600 их разновидностей. Запустившись на инфицированном компьютере, энкодеры зашифровывают хранящиеся на дисках файлы — документы, фотографии, музыку, видео, базы данных, делая их полностью нечитаемыми, после чего требуют у жертвы оплаты за расшифровку. Аппетиты у злоумышленников могут быть различными: вымогаемый ими выкуп может составлять эквивалент и нескольких десятков, и нескольких тысяч долларов. К сожалению, в некоторых случаях восстановить поврежденные данные бывает практически невозможно, даже несмотря на обещания злоумышленников. Даже оплата требуемого кибеопреступниками вознаграждения не дает никакой гарантии того, что поврежденные троянцем-энкодером файлы будут когда-либо расшифрованы. Подавляющее большинство троянцев данного типа ориентировано на устройства, работающие под управлением Microsoft Windows, но в 2014 году появились первые энкодеры и под Android. Не хотите навсегда потерять хранящуюся на вашем смартфоне адресную книгу, фотографии и музыку? Тогда пользуйтесь антивирусными программами!

энкодер

шифровальщик

Троянцы-блокировщики (или, как называют их разновидность для Windows, винлокеры), как и энкодеры, также относятся к категории вымогателей, но в отличие от первых они не шифруют файлы, а блокируют доступ к устройству, требуя денег за снятие блокировки. Первые случаи заражения вредоносными программами этого семейства были зафиксированы еще в конце 2007 года, а в период с ноября 2009 по февраль 2010 г. их распространение приняло буквально эпидемиологический характер. На экране компьютера появлялось блокирующее доступ к интерфейсу Windows окно с пугающим содержимым: оно могло демонстрировать непристойные изображения и сведения о том, что пользователь посещал сайты порнографического характера, либо обвинения в незаконной загрузке информации, защищенной авторским правом. При этом троянец предотвращал запуск других приложений, а также частично блокировал работу клавиатуры и мыши, не позволяя жертве убрать надоедливое окно. Чтобы получить доступ к функциям ОС, от жертвы требовалось заплатить выкуп через платежный терминал, пополнить баланс указанного мобильного телефона  или отправить платное SMS-сообщение. В последнее время пользователи научились эффективно бороться в подобными троянцами-вымогателями, и в 2014 году блокировщики переключились на владельцев устройства под управлением Android — они попросту отключают сенсорный дисплей или выводят перекрывающее доступ к системе окно с требованием выкупа, которое невозможно удалить с экрана никакими стандартными методами.

Винлокер

 

Банковские троянцы предназначены для кражи денег со счетов жертвы, пользующейся системами дистанционного банковского обслуживания — то есть, системами банк-клиент, или другими электронными платежными инструментами. Существуют банковские троянцы как для Windows, так и для Android, причем в последнем случае вредоносные приложения порой имитируют оформление настоящих банковских программ, либо передавая вводимые пользователем пароли злоумышленникам путем перехвата отправляемых на сервер данных, либо просто рисуя поверх настоящей формы для ввода пароля поддельную. Защититься от таких троянцев не поможет даже так называемая двухфакторная авторизация, подразумевающая получение подтверждающих одноразовых паролей по SMS — для обхода такой защиты многие банковские троянцы для Windows действуют в связке с вредоносными программами для Android. Как происходит мошенничество? Например, так: при обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва загружает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к своему счету. Для продолжения операции жертве предлагается загрузить на мобильный телефон специальное приложение, якобы созданное банком — на самом деле, внутри этой программы прячется троянец, а информация на экране компьютера была также сгенерирована вредоносной программой, уже заразившей Windows ранее. Ничего не подозревающая жертва скачивает на свой телефон троянца, который перехватывает и отправляет злоумышленникам все входящие SMS-сообщения с паролями. С их помощью злодеи в считанные минуты опустошают банковский счет жертвы подчистую. Благодаря подобной мошеннической схеме частное лицо может лишиться своих накоплений, а лично мне известны случаи, когда целые компании теряли со своих счетов многие сотни тысяч долларов.

Рекламные троянцы позволяют своим создателям зарабатывать за счет рекламодателей, заставляя пользователей просматривать во время путешествий по Интернету назойливые рекламные объявления, которые выпрыгивают на экран, как чертики из табакерки, в совершенно неожиданных местах и мешают нормальному просмотру веб-страниц.

рекламный троянец

 

Опасность таких троянцев заключается еще и в том, что рекламируют они, как правило, всевозможные финансовые пирамиды, «лохотроны», опасные для здоровья диеты, несертифицированные медицинские препараты и биологически-активные добавки, а также другие товары и услуги сомнительного толка.

Близко к троянцам-вымогателям по своим функциям находятся троянцы-мошенники, задача которых заключается в том, чтобы обманным путем заставить жертву подписаться на какую-нибудь платную псевдоуслугу. Например, однажды, пытаясь зайти в любимую социальную сеть, чтобы пообщаться с одноклассниками, или обратиться к поисковой системе с каким-нибудь животрепещущим запросом, пользователь обнаруживает на экране сообщение об ограничении доступа к запрашиваемому ресурсу с просьбой ввести в  соответствующее поле свой номер мобильного телефона и подтверждающий код, который придет в отправленном на этот номер SMS-сообщении.

троянец-мошенник

 

Обычно потенциальная жертва не задумываясь выполняет предложенные действия, поскольку входящие SMS у большинства операторов сотовой связи — бесплатные, и даже не подозревает о том, что сообщение в ее браузере было сгенерировано коварным троянцем, а указав в предложенной форме код, пользователь согласился с условиями платной подписки. Теперь с его мобильного счета будет ежедневно сниматься определенная денежная сумма, до тех пор, пока прозревший пользователь не отменит навязанную тайком услугу.

Про троянцев, рассылающих с инфицированного компьютера спам, или подключающих его к подпольной сети для атаки на веб-сайты, я уже рассказывал выше. В этом случае злоумышленники получают доход не непосредственно от владельца зараженного компьютера, а от заказчиков массированных атак или рекламных рассылок.

Троянцы-бэкдоры, предоставив злодеям доступ к зараженной машине, открывают перед ними возможность делать с данным устройством все, что угодно. В итоге инфицированный компьютер может быть использован в качестве промежуточного звена при атаке на какой-либо банковский или правительственный сервер, для хранения краденых паролей или детского порно, для организации на нем общедоступного ресурса с рецептами изготовления наркотиков, в общем, для чего угодно. Устройство, на котором работает бэкдор, своему номинальному владельцу больше не принадлежит.

Создатели троянцев-загрузчиков зарабатывают тем, что за деньги загружают на инфицированный компьютер другие вредоносные программы. Распространители вирусов платят им за «раздачу» ничего не подозревающим пользователям какого-то количества бэкдоров, банковских троянцев или энкодеров, после чего заказчики уже сами начнут зарабатывать на потенциальных жертвах. Вот почему после заражения троянцем-загрузчиком ваш компьютер очень быстро может превратиться в настоящий «зоопарк», кишащий всевозможной вредоносной «живностью».

Многие троянцы способны красть на зараженных устройствах конфиденциальную информацию, такую как логины и пароли для доступа к электронной почте, социальным сетям, номера кредитных банковских карт, сведения из адресной книги. Всю добытую информацию злоумышленники потом продают за неплохие деньги: адреса электронной почты востребованы у спамеров, получив доступ к социальным сетям, мошенники смогут отправлять от вашего имени вашим же друзьям рекламные ссылки и просьбы пополнить счет мобильного телефона, с помощью ворованного номера банковской карты можно купить какой-нибудь товар в интернет-магазине, а изображение паспорта пригодится для оформления небольшого потребительского кредита или открытия на ваше имя счета, на котором будут аккумулироваться деньги от продажи порнографии (причем узнаете вы об этом, только когда к вам домой нагрянет с обыском полиция). Не думайте, что хранящиеся на вашем устройстве файлы, документы и фотографии никому не нужны: на любой товар найдется свой покупатель.

С появлением на свет различных криптовалют, подобных электронной денежной единице bitcoin, в Интернете расплодились так называемые троянцы-майнеры (от англ. mining, «добыча»). Особенность подобных платежных систем заключается в том, что объем имеющей в них хождение виртуальной валюты строго ограничен, причем пользователи могут не только «обмениваться» электронными «монетами», покупая на них всевозможные товары, но и добывать их, как старатели в реальном мире добывают золото, превращающееся потом в платежное средство. Для этого компьютер с помощью специальной программы должен выполнить ряд очень сложных математических вычислений. Собственно, троянцы-майнеры, заразив ПК, и нагружали его под завязку подобными расчетами, заставляя систему поминутно «тормозить» и «зависать». Ну, а все добытые таким образом деньги отправлялись, естественно, не владельцу инфицированного устройства, а жулику-вирусописателю.

Существуют вредоносные программы, использующие и вовсе экзотические способы извлечения дохода. Например, Trojan.Mayachok.18831 менял анкету пользователя в социальных сетях, размещая там непристойные картинки и добавляя в его список интересов всевозможные экстремальные увлечения вроде нетрадиционного и группового секса, а когда перепуганная и обескураженная жертва пыталась вернуть свою анкету в первозданный вид, троянец блокировал такую возможность с требованием заплатить за эту услугу небольшую сумму денег:

 

Другой троянец, получивший наименование Trojan.SteamBurglar.1, эксплуатировал в своих интересах любовь некоторых пользователей к компьютерным играм. Ряд современных многопользовательских электронных игр представляет собой настоящие виртуальные миры с собственными социальными и экономическими законами. В таких вселенных игрок может приобретать различные виртуальные предметы и ресурсы — например, доспехи, магические заклинания или дополнительную броню, — которые дают ему ряд тактических преимуществ перед другими игроками. Причем многие такие артефакты можно купить за реальные деньги  (на чем и зарабатывают некоторые издатели компьютерных игр, делая саму игру бесплатной), а ставшие ненужными игровые предметы — продать другим пользователям. Этим и прославился Trojan.SteamBurglar.1: он воровал у незадачливых игроков различные ценные виртуальные предметы и тут же продавал их на специализированных интернет-площадках за вполне реальные доллары, которые переводил на счет своих создателей. Чем не бизнес?

Наконец, существуют узкоспециализированные вредоносные программы, созданные для осуществления так называемых таргетированных атак, то есть, для реализации некой конкретной и четкой цели. Например, BackDoor.Dande, проникнув на компьютер, в первую очередь проверял, не установлена ли на нем специальная программа, предназначенная исключительно для заказа на оптовом складе лекарств, и используемая, в основном, аптеками, больницами и другими медицинскими учреждениями. Если такая программа отсутствовала, троянец самоуничтожался, не причиняя никакого вреда. Если же она неожиданно обнаруживалась, бэкдор аккуратно собирал все сведения о совершенных пользователем этого компьютера закупках медикаментов, и отправлял их на сервер своих разработчиков. Предположительно эта вредоносная программа была создана по заказу какой-то крупной фармацевтической компании для оценки рынка сбыта лекарств, потребительского спроса и слежки за конкурентами. Другой троянец, являющийся характерным примером реализации технологий промышленного шпионажа, заражал только компьютеры, на которых была установлена инженерная программа для разработки чертежей AutoCad. Все копии созданных и обнаруженных на атакованном компьютере чертежей троянец упаковывал в архив и незамедлительно отправлял на сервер, расположенный в Китае. А ведь многие удивляются: как китайцам удается создавать точные копии электронных устройств, телефонов, компьютеров, автомобилей и истребителей, причем порой даже раньше, чем на свет появляется сам оригинал?

Поделиться: