Вирусы, шпионы и диалеры: кто, зачем и как
Вирусы, шпионы и диалеры: кто, зачем и как
Я думаю, что, если сегодня у любого школьника спросить, что такое лавсан, он не станет рассказывать вам о "синтетическом волокне, получаемом при помощи поликонденсации этиленгликоля и двухосновной кислоты ароматического ряда". Нет, его ответ будет вроде этого: "Lo-vesan, он же msblast, проникающий в операционную систему семейства Microsoft Windows NT, используя уязвимость в службе DCOM RPC Microsoft Windows". Я боюсь предположить, какие ассоциации будут через некоторое время со словом doom. Явно не только с одноименной игрой.
Как вы могли понять из названия и вступления, разговор сегодня пойдет о вирусах и иже с ними. Прежде чем перейти к ответам на вопросы, поставленные в названии, мне бы хотелось пройтись непосредственно по нашим сегодняшним "гостям". Здесь же будет дан ответ о том, как все это попадает на наши компьютеры.
Вирусы
Вирусы суть программы, несущие какие-то деструктивные последствия. Причем неважно, в чем они заключаются: здесь может быть все — от банальной замены разрешений файла и порчи его внутреннего содержания до нарушения работы Интернета и краха операционной системы. Также под вирусом подразумевают программу, не только несущую деструктивные функции, но и способную размножаться. Вот что сказано по этому поводу в одной умной книге: "Обязательным (необходимым) свойством компьютерного вируса является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению" ((с) Евгений Касперский. "Компьютерные вирусы"). Действительно, для того, чтобы выжить, вирусам необходимо размножаться, и это доказано такой наукой, как биология. Кстати, именно от тех самых биологических вирусов и произошло название компьютерных. И сами они вполне оправдали свое название: все вирусы просты и, тем не менее, несмотря на старания антивирусных компаний, затраты которых исчисляются огромными суммами, живут и процветают. За примерами далеко ходить не надо: возьмем хотя бы такой вирус, как I-Worm.Mydoom.b. Уж сколько раз говорили, что нельзя открывать вложенные файлы от неизвестных лиц, да и к посланиям от известных следует относиться с опаской, особенно если вы о таком не договаривались. К тому же, если текст письма будет содержать примерно следующее: "Зацени классную фотку моей девушки", то тут уж его сразу же необходимо отправлять в trash. Но если в приведенном выше примере текст еще имеет смысл, то содержание писем, зараженных mydoom'ом, довольно странное. Судите сами:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received. The message contains Unicode characters and has been sent as a binary attachment. The message contains MIME-encoded graphics and has been sent as a binary attachment. Mail transaction failed. Partial message is available.
Внутри письма содержится файл, имеющий 9 вариантов названия вложенного файла и 5 вариантов расширения. Ко мне на ящик приходило две вариации. Первая — zip-архив с якобы doc-файлом, а второй — это простой exe'шник с иконкой, замененной на иконку блокнота. Если во втором случае любой пользователь может заметить подвох, посмотрев на разрешение, то в первом сделать это уже сложнее. Именно на первый случай я склонен относить наибольшее количество заражений. Что делает данный вирус, я рассказывать не буду, т.к. про это уже много раз сказано в печатных изданиях и интернет-ресурсах. На примере Mydoom мы познакомились с первым способом распространения вирусов — через электронную почту.
Следующий способ рассмотрим на примере Worm.Win32.Lovesan (известного также как msblast). Чем же примечателен этот вирус, и почему заражение им приобрело массовый характер? Примечателен сей индивид тем, что в принципе никак не влияет на работоспособность системы в целом. Компьютер, зараженный им, просто не может нормально работать в Интернете. Через некоторое время выскакивает табличка с сообщением об ошибке RPC, после чего компьютер перезагружается. Как же происходит заражение? Данный вирус использует уязвимость в службе DCOM RPC в Microsoft Windows 2000/XP/2003 и попадает на компьютер пользователя через 135 порт определенного IP-адреса. Как же злоумышленник узнает именно ваш адрес? Да очень просто. Сейчас написано столько IP-сканеров, что даже дошкольнику нетрудно узнать IP-адреса и посмотреть открытые порты, через которые можно загрузить вирус на компьютер. Для наглядности продемонстрирую, как происходит заражение непосредственно вирусом Lovesan. Червь производит сканирование IP-адресов на предмет нахождения открытых и незащищенных портов. Процесс приведен на схеме:
20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1,8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1,8 секунды
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и продолжается в таком же духе и далее.
Для сканирования червь выбирает один из двух способов. Способ первый: сканирование случайного base address (A.B.C.D), где D равно 0, а A, B, C случайно выбраны из диапазона 1-255. Диапазон сканирования следующий: [1-255].[1-255].[1-255].0.
Способ второй: червь определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C больше 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его. Итак, второй способ распространения вирусов — через незащищенные порты компьютера, используя бреши в программном обеспечении.
Способ третий — через Интернет, когда вы скачиваете файлы (в желательном или нежелательном варианте). Опять же, объясню на примерах. Пример желательного. Вы скачиваете из Сети какой-нибудь новый прикол, или программу, или игру, а она заражена вирусом. После загрузки программа/игра/прикол запускается, и — вуаля — вы являетесь обладателем вируса. Что тут можно сказать? Будьте бдительны, регулярно обновляйте базы данных своего антивируса, проверяйте все программы антивирусом и не забывайте хотя бы основы компьютерной безопасности. Кто-то может сказать: "А зачем мне, например, проверять программы, которые не могли быть заражены вирусом?". Хочется спросить: "Это что ж за программы такие?" Любые программы могут быть заражены, особенно если скачиваются они с варезников или сайтов хакерских групп.
Теперь перейдем к нежелательной загрузке. Я бы выделил два вида такой загрузки. Первый: когда пользователь и не подозревает о том, что на его компьютер что-то загружается. Выполняется данная загрузка посредством выполнения скриптов. Второй вид нежелательной загрузки — это когда загружается не то, что надо. Приведу пример. В свое время один сайт с крэками непосредственно перед закачкой файла предлагал установить то "Free XXX bar", то "100% крэк Интернета". Если пользователь согласился с этим (а я уверен, что такие были, ибо еще помню вопрос месяца в "Виртуальных Радостях" про "стопроцентный крэк инета"), то происходила закачка трояна или вируса. Разница, в принципе, небольшая. Однако это еще не самое интересное: в случае отклонения такого заманчивого предложения выскакивала табличка с надписью приблизительно следующего содержания: "Site error" и кнопочкой ОК или Continue, по нажатию на которую закачка трояна все же происходила, правда, уже без ведома пользователя. И спасти от этого мог лишь файрволл.
Какие побочные эффекты, кроме основных деструктивных функций, могут нести с собой вирусы? Одно из "бесплатных приложений" — функция DOS (Denial of service) атаки на какие-либо сайты. В большинстве случаев жертвами становятся сайты антивирусных компаний, антиспамерские сайты и — как же без этого — сайт многострадальной компании Microsoft. Еще одним побочным эффектом является установка backdoor-компонента, вследствие чего злоумышленник получает полный контроль над компьютером пользователя. Чем это грозит, догадаться нетрудно.
Шпионы
В следующую группу входят программы-шпионы, сюда же можно отнести рекламные модули. Основным способом распространения программ данного вида является их установка в качестве компонента, зачастую неотделимого, в какую-либо программу. Кроме этого, есть нежелательная загрузка (описания см. выше) и загрузка отслеживающих cookies-файлов.
Что же делают данные индивидуумы? Начнем с общего для шпионов и рекламных модулей. Оба вида собирают информацию о пользователе и его компьютере, следят за его действиями, разновидность шпионов — reylogger'ы — еще и записывают все, что вы настучали на клавиатуре, в файл. Также отслеживается ваша активность в Интернете: что посещаете, где больше всего задерживаетесь, по каким ссылкам кликаете. После сбора данных вся информация отсылается хозяину. И тут пути шпионов и рекламных модулей расходятся. После сбора данных рекламными модулями информация чаще всего перепродается третьему лицу, которое внимательно ее изучает. После этого в лучшем случае составляется программа интернет-политики третьего лица типа: что предлагать, где вешать свою рекламу. Но это в лучшем случае, а в худшем — на ваш ящик просто начнут сыпаться мега/кило/тонны спам-писем.
Чем же отличаются шпионы? После изучения данных того же reylogger'а злоумышленник может узнать ваши личные строго конфиденциальные данные, которые впоследствии может использовать для шантажа. И такие случаи бывали. Кроме того, он может узнать пароли пользователя, а также найти слабые места в системе, с тем чтобы использовать все это для установки троянов и backdoor-компонентов. Чем это грозит, читайте выше.
Диалеры
Способы их проникновения не отличаются от вышеописанных. Поэтому сразу же перейдем к рассмотрению. Тут необходимо оговориться, что существуют вполне мирные диалеры, называемые в народе "звонилками". Эти программы используются с целью помочь пользователям dial-up'a дозвониться до провайдера и по возможности поддерживать с ним стабильную связь даже на старых или "модернизированных" линиях. Те же, о которых пойдет наш разговор, имеют другое название — боевые диалеры. Используя бреши в операционной системе, а иногда и по халатности или наивности пользователей (см. выше про 100% крэк Интернета) данные программы подменяют телефон провайдера телефоном оператора связи из какой-нибудь экзотической страны. Причем в большинстве случаев в окне набора номера остается старый добрый телефон провайдера. Еще диалеры прописывают в планировщике задание позвонить в заданное время. И хорошо если пользователь имеет привычку выключать модем или он у него внешний и орет так, что мама не горюй. А если модем тихонький да встроенный? Вот и я о том. И узнает бедолага о своем горе лишь по приходе ба-а-альшого такого счета за телефон.
Кто
Пришла пора рассказать о том, кто же пишет и запускает всю эту гадость в Сеть. Здесь я попытаюсь классифицировать те группы людей, которые занимаются этим неблаговидным делом. Здесь не будет сказано о так называемых "белых" хакерах. Объясню, почему. Данная разновидность не представляет опасности для общества и скорее несет ему пользу. Именно они чаще всего пишут вирусы-антивирусы для обезвреживания особо вредоносных особей. Почему вирусы? Эти программы распространяются по тому же механизму, что и вирусы. Почему анти-? Потому, что блокируют или удаляют определенный вид вируса с компьютера. Главным их отличием от вирусов является также самоликвидация после выполнения своей задачи и отсутствие каких-либо деструктивных функций. Примером может служить подобный вирус, появившийся в Сети через некоторое время после рецидива Lovesan'а. После загрузки вируса-антивируса Lovesan удалялся, а пользователю предлагалось загрузить обновления для Windows. "Белые" хакеры также находят бреши в программном обеспечении и компьютерных системах, после чего сообщают о найденных ошибках компаниям. Теперь перейдем непосредственно к нашей классификации.
Тип первый: "дети скриптов". Зовут себя не иначе как 37717 (00|_ HaCkeR-rr, читают журнал "Хакер", не знают ни одного языка программирования, а всех "своих" троянов и вирусов творят посредством скачивания готовых программ из Сети. (Чтобы избежать наездов, оговорюсь, что журнал "Хакер", в принципе, неплох, и материал в нем подается в довольно простой форме — местами, правда. Но в простой форме для людей, уже имеющих какой-то багаж знаний. И материал они дают с умом — не рассказывают все до конца — дабы не привлекли их никуда, надо думать.) Эти "хакеры" обычно, после того как пришлют кому-нибудь скачанный откуда-нибудь троян, и последний сработает, тут же начинают орать на форумах о своей крутизне и т.д., и т.п. За что тут же вполне справедливо получают в свой адрес кучу нелицеприятных высказываний, ибо не дело это. Раз уж напакостил, то лучше помолчи. Особой опасности данные индивиды не представляют, т.к. на более-менее масштабное дело у них просто не хватит ни опыта, ни (в некоторых случаях) мозгов.
Тип второй: "начинающий". Данный вид является прямым потомком первого. Некоторые из представителей первого типа спустя некоторый промежуток времени начинают понимать, что они не так круты, как им казалось, что, оказывается, существуют какие-то языки программирования, что можно что-то сделать и после этого не орать на весь мир про то, какой я молодец. Кто-то из них в будущем, возможно, превратится в представителя класса профи. Эти люди начинают учить какой-нибудь язык, пробовать что-то писать, в них начинает просыпаться творческая мысль. И одновременно они начинают представлять определенную опасность для общества, ибо кто знает, какое ужасающее произведение по неопытности может написать такой представитель класса вирусописателей. Ведь когда код пишет профессионал, он все-таки осознает, что некоторые вещи делать не нужно, т.к. они могут сыграть против него. У новичка таких знаний нет, и этим он опасен.
Тип третий: "профи". Развиваются из второго вида. "Профи" отличаются глубоким знанием языков программирования, сетевой безопасности, разбираются в глубинах операционных систем и, что самое важное, обладают очень серьезными знаниями и пониманием механизма работы сетей и компьютерных систем. Причем "профи" не только узнают о брешах в системах безопасности из бюллетеней компаний, но и сами находят их. Часто они объединяются в хакерские группы для улучшения качества своей "работы". Эти люди в основном скрытные и не жадные до славы, при проведении какой-нибудь успешной операции не бегут сообщать об этом всему миру, а предпочитают мирно отпраздновать успех в кругу друзей. Безусловно, представляют большую опасность, но, поскольку все они люди знающие, то не пойдут на действия, которые могут вызвать глобальный обвал какой-либо системы — к примеру, Интернета. Хотя бывают и исключения (не все еще забыли про Slammer'a).
Тип четвертый: "промышленные хакеры". Наиболее опасные для общества представители семейства хакеров. Их по праву можно называть настоящими преступниками. Именно на их совести лежит написание большей части диалеров и взлом сетей банков, крупных компаний и правительственных учреждений. Зачем и ради чего они это делают, мы поговорим ниже. "Промышленники" не считаются ни с чем и ни с кем, эти индивиды способны сделать все ради достижения своих целей.
Теперь обобщим написанное. "Дети скриптов": молодо-зелено да неопытно. Хочется показать, что ты круче всех, а круче тебя — только Крутой Сэм.
"Начинающий": появилась тяга к написанию чего-то самостоятельного. Часть из них, к счастью, после попытки освоения премудростей интернет-протоколов и языков программирования бросают это дело и идут заниматься чем-то более мирным.
"Профи": если вдруг наступает состояние "осознал свою вину, меру, степень, глубину", то представитель данного вида становится высококвалифицированным специалистом по компьютерной безопасности. Хотелось бы, чтобы побольше профи перешло к такому состоянию.
"Промышленники": ничего святого. Про таких хорошо говорит народная мудрость: "Горбатого могила исправит".
Таково грубое разделение на типы представителей класса компьютерных злоумышленников. Теперь перейдем к вопросу, зачем они это делают.
Зачем
А действительно, зачем пишутся вирусы, трояны, диалеры и прочая нечисть? Одной из причин является желание самоутверждения. Оно характерно для представителей первого и второго типа. Одному просто нужно показать своим друзьям, что он "типа того, реальна, крутой пацан", второму — прежде всего для поднятия уровня самооценки. Вторая причина — получение опыта. Характерна для начинающих. После написания своего первого шедевра, естественно, хочется его на ком-нибудь испытать. Не на себе же, в самом деле. Вот и появляется в Сети определенное число новых, не всегда очень опасных, вирусов. Следующая причина — дух соперничества. Вы никогда не слышали про хакерские соревнования? Последнее известное мне состоялось летом. Победила бразильская хакерская группа (оказывается, не только футбол у них силен). Задача стояла следующая: кто сломает больше всего сайтов. Но я уверен, что есть соревнования и по самому навороченному вирусу, и по самому лучшему клавиатурному шпиону. Адреналин — еще одна причина. Представьте себе: ночь, свет монитора, пальцы бегают по клавиатуре, вчера была найдена брешь в системе защиты, сегодня нужно попытаться получить доступ к системе и показать товарищу администратору, кто в доме хозяин. Следом за этой причиной идет и следующая — романтика. А что, кому нравится на закат смотреть, кому на звезды, а кому — вирусы писать да сайты дефейсить. Сколько людей, столько и вкусов. Причина следующая — политический или социальный протест. По этой причине взламывается большинство правительственных сайтов, сайтов политических партий, печатных и интернет-изданий, а также крупных корпораций. За примерами далеко ходить не надо. Сразу же после начала войны в Ираке были произведены атаки на правительственные американские сайты со стороны недовольных политикой Буша, а также на сайт арабской газеты "Аль-Джазира" и ряд других арабских ресурсов с противоположной стороны. И, пожалуй, последняя причина — это вездесущие деньги. Ради них в основном работают, если можно так выразиться, промышленные хакеры. Взламывая сети банков, они получают доступ к счетам клиентов. Что за этим последует, догадаться нетрудно. Собирая информацию о любом пользователе Сети посредством программ-шпионов, они в дальнейшем занимаются банальным шантажом. Действия, на которые идут "промышленники", можно перечислять еще очень долго, хочу лишь еще раз сказать, что именно они являются полноценными компьютерными преступниками, и относиться к ним нужно как к преступникам.
Дабы избежать гневных писем в свой адрес на тему: "А что, остальные такие добрые и пушистые, что ты их так защищаешь?", скажу следующее. Защищать я никого не собирался, и никто из представителей четырех описанных видов не является ангелом во плоти — все они несут определенное зло. Но хакеры периодически дают нам понять, что не все совершенно в этом мире. Приведу пример. Вирус Slammer, на время парализовавший работу Интернета, использовал ошибку, которую Microsoft обнаружила и выложила заплатку за три месяца до этого. Но следует помнить, что приведенный пример — исключение. А посему необходимо соблюдать хотя бы основы компьютерной безопасности.
Андрей Радзевич
В статье использованы материалы Большой вирусной энциклопедии, viruslist.com
Я думаю, что, если сегодня у любого школьника спросить, что такое лавсан, он не станет рассказывать вам о "синтетическом волокне, получаемом при помощи поликонденсации этиленгликоля и двухосновной кислоты ароматического ряда". Нет, его ответ будет вроде этого: "Lo-vesan, он же msblast, проникающий в операционную систему семейства Microsoft Windows NT, используя уязвимость в службе DCOM RPC Microsoft Windows". Я боюсь предположить, какие ассоциации будут через некоторое время со словом doom. Явно не только с одноименной игрой.
Как вы могли понять из названия и вступления, разговор сегодня пойдет о вирусах и иже с ними. Прежде чем перейти к ответам на вопросы, поставленные в названии, мне бы хотелось пройтись непосредственно по нашим сегодняшним "гостям". Здесь же будет дан ответ о том, как все это попадает на наши компьютеры.
Вирусы
Вирусы суть программы, несущие какие-то деструктивные последствия. Причем неважно, в чем они заключаются: здесь может быть все — от банальной замены разрешений файла и порчи его внутреннего содержания до нарушения работы Интернета и краха операционной системы. Также под вирусом подразумевают программу, не только несущую деструктивные функции, но и способную размножаться. Вот что сказано по этому поводу в одной умной книге: "Обязательным (необходимым) свойством компьютерного вируса является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению" ((с) Евгений Касперский. "Компьютерные вирусы"). Действительно, для того, чтобы выжить, вирусам необходимо размножаться, и это доказано такой наукой, как биология. Кстати, именно от тех самых биологических вирусов и произошло название компьютерных. И сами они вполне оправдали свое название: все вирусы просты и, тем не менее, несмотря на старания антивирусных компаний, затраты которых исчисляются огромными суммами, живут и процветают. За примерами далеко ходить не надо: возьмем хотя бы такой вирус, как I-Worm.Mydoom.b. Уж сколько раз говорили, что нельзя открывать вложенные файлы от неизвестных лиц, да и к посланиям от известных следует относиться с опаской, особенно если вы о таком не договаривались. К тому же, если текст письма будет содержать примерно следующее: "Зацени классную фотку моей девушки", то тут уж его сразу же необходимо отправлять в trash. Но если в приведенном выше примере текст еще имеет смысл, то содержание писем, зараженных mydoom'ом, довольно странное. Судите сами:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received. The message contains Unicode characters and has been sent as a binary attachment. The message contains MIME-encoded graphics and has been sent as a binary attachment. Mail transaction failed. Partial message is available.
Внутри письма содержится файл, имеющий 9 вариантов названия вложенного файла и 5 вариантов расширения. Ко мне на ящик приходило две вариации. Первая — zip-архив с якобы doc-файлом, а второй — это простой exe'шник с иконкой, замененной на иконку блокнота. Если во втором случае любой пользователь может заметить подвох, посмотрев на разрешение, то в первом сделать это уже сложнее. Именно на первый случай я склонен относить наибольшее количество заражений. Что делает данный вирус, я рассказывать не буду, т.к. про это уже много раз сказано в печатных изданиях и интернет-ресурсах. На примере Mydoom мы познакомились с первым способом распространения вирусов — через электронную почту.
Следующий способ рассмотрим на примере Worm.Win32.Lovesan (известного также как msblast). Чем же примечателен этот вирус, и почему заражение им приобрело массовый характер? Примечателен сей индивид тем, что в принципе никак не влияет на работоспособность системы в целом. Компьютер, зараженный им, просто не может нормально работать в Интернете. Через некоторое время выскакивает табличка с сообщением об ошибке RPC, после чего компьютер перезагружается. Как же происходит заражение? Данный вирус использует уязвимость в службе DCOM RPC в Microsoft Windows 2000/XP/2003 и попадает на компьютер пользователя через 135 порт определенного IP-адреса. Как же злоумышленник узнает именно ваш адрес? Да очень просто. Сейчас написано столько IP-сканеров, что даже дошкольнику нетрудно узнать IP-адреса и посмотреть открытые порты, через которые можно загрузить вирус на компьютер. Для наглядности продемонстрирую, как происходит заражение непосредственно вирусом Lovesan. Червь производит сканирование IP-адресов на предмет нахождения открытых и незащищенных портов. Процесс приведен на схеме:
20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1,8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1,8 секунды
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и продолжается в таком же духе и далее.
Для сканирования червь выбирает один из двух способов. Способ первый: сканирование случайного base address (A.B.C.D), где D равно 0, а A, B, C случайно выбраны из диапазона 1-255. Диапазон сканирования следующий: [1-255].[1-255].[1-255].0.
Способ второй: червь определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C больше 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его. Итак, второй способ распространения вирусов — через незащищенные порты компьютера, используя бреши в программном обеспечении.
Способ третий — через Интернет, когда вы скачиваете файлы (в желательном или нежелательном варианте). Опять же, объясню на примерах. Пример желательного. Вы скачиваете из Сети какой-нибудь новый прикол, или программу, или игру, а она заражена вирусом. После загрузки программа/игра/прикол запускается, и — вуаля — вы являетесь обладателем вируса. Что тут можно сказать? Будьте бдительны, регулярно обновляйте базы данных своего антивируса, проверяйте все программы антивирусом и не забывайте хотя бы основы компьютерной безопасности. Кто-то может сказать: "А зачем мне, например, проверять программы, которые не могли быть заражены вирусом?". Хочется спросить: "Это что ж за программы такие?" Любые программы могут быть заражены, особенно если скачиваются они с варезников или сайтов хакерских групп.
Теперь перейдем к нежелательной загрузке. Я бы выделил два вида такой загрузки. Первый: когда пользователь и не подозревает о том, что на его компьютер что-то загружается. Выполняется данная загрузка посредством выполнения скриптов. Второй вид нежелательной загрузки — это когда загружается не то, что надо. Приведу пример. В свое время один сайт с крэками непосредственно перед закачкой файла предлагал установить то "Free XXX bar", то "100% крэк Интернета". Если пользователь согласился с этим (а я уверен, что такие были, ибо еще помню вопрос месяца в "Виртуальных Радостях" про "стопроцентный крэк инета"), то происходила закачка трояна или вируса. Разница, в принципе, небольшая. Однако это еще не самое интересное: в случае отклонения такого заманчивого предложения выскакивала табличка с надписью приблизительно следующего содержания: "Site error" и кнопочкой ОК или Continue, по нажатию на которую закачка трояна все же происходила, правда, уже без ведома пользователя. И спасти от этого мог лишь файрволл.
Какие побочные эффекты, кроме основных деструктивных функций, могут нести с собой вирусы? Одно из "бесплатных приложений" — функция DOS (Denial of service) атаки на какие-либо сайты. В большинстве случаев жертвами становятся сайты антивирусных компаний, антиспамерские сайты и — как же без этого — сайт многострадальной компании Microsoft. Еще одним побочным эффектом является установка backdoor-компонента, вследствие чего злоумышленник получает полный контроль над компьютером пользователя. Чем это грозит, догадаться нетрудно.
Шпионы
В следующую группу входят программы-шпионы, сюда же можно отнести рекламные модули. Основным способом распространения программ данного вида является их установка в качестве компонента, зачастую неотделимого, в какую-либо программу. Кроме этого, есть нежелательная загрузка (описания см. выше) и загрузка отслеживающих cookies-файлов.
Что же делают данные индивидуумы? Начнем с общего для шпионов и рекламных модулей. Оба вида собирают информацию о пользователе и его компьютере, следят за его действиями, разновидность шпионов — reylogger'ы — еще и записывают все, что вы настучали на клавиатуре, в файл. Также отслеживается ваша активность в Интернете: что посещаете, где больше всего задерживаетесь, по каким ссылкам кликаете. После сбора данных вся информация отсылается хозяину. И тут пути шпионов и рекламных модулей расходятся. После сбора данных рекламными модулями информация чаще всего перепродается третьему лицу, которое внимательно ее изучает. После этого в лучшем случае составляется программа интернет-политики третьего лица типа: что предлагать, где вешать свою рекламу. Но это в лучшем случае, а в худшем — на ваш ящик просто начнут сыпаться мега/кило/тонны спам-писем.
Чем же отличаются шпионы? После изучения данных того же reylogger'а злоумышленник может узнать ваши личные строго конфиденциальные данные, которые впоследствии может использовать для шантажа. И такие случаи бывали. Кроме того, он может узнать пароли пользователя, а также найти слабые места в системе, с тем чтобы использовать все это для установки троянов и backdoor-компонентов. Чем это грозит, читайте выше.
Диалеры
Способы их проникновения не отличаются от вышеописанных. Поэтому сразу же перейдем к рассмотрению. Тут необходимо оговориться, что существуют вполне мирные диалеры, называемые в народе "звонилками". Эти программы используются с целью помочь пользователям dial-up'a дозвониться до провайдера и по возможности поддерживать с ним стабильную связь даже на старых или "модернизированных" линиях. Те же, о которых пойдет наш разговор, имеют другое название — боевые диалеры. Используя бреши в операционной системе, а иногда и по халатности или наивности пользователей (см. выше про 100% крэк Интернета) данные программы подменяют телефон провайдера телефоном оператора связи из какой-нибудь экзотической страны. Причем в большинстве случаев в окне набора номера остается старый добрый телефон провайдера. Еще диалеры прописывают в планировщике задание позвонить в заданное время. И хорошо если пользователь имеет привычку выключать модем или он у него внешний и орет так, что мама не горюй. А если модем тихонький да встроенный? Вот и я о том. И узнает бедолага о своем горе лишь по приходе ба-а-альшого такого счета за телефон.
Кто
Пришла пора рассказать о том, кто же пишет и запускает всю эту гадость в Сеть. Здесь я попытаюсь классифицировать те группы людей, которые занимаются этим неблаговидным делом. Здесь не будет сказано о так называемых "белых" хакерах. Объясню, почему. Данная разновидность не представляет опасности для общества и скорее несет ему пользу. Именно они чаще всего пишут вирусы-антивирусы для обезвреживания особо вредоносных особей. Почему вирусы? Эти программы распространяются по тому же механизму, что и вирусы. Почему анти-? Потому, что блокируют или удаляют определенный вид вируса с компьютера. Главным их отличием от вирусов является также самоликвидация после выполнения своей задачи и отсутствие каких-либо деструктивных функций. Примером может служить подобный вирус, появившийся в Сети через некоторое время после рецидива Lovesan'а. После загрузки вируса-антивируса Lovesan удалялся, а пользователю предлагалось загрузить обновления для Windows. "Белые" хакеры также находят бреши в программном обеспечении и компьютерных системах, после чего сообщают о найденных ошибках компаниям. Теперь перейдем непосредственно к нашей классификации.
Тип первый: "дети скриптов". Зовут себя не иначе как 37717 (00|_ HaCkeR-rr, читают журнал "Хакер", не знают ни одного языка программирования, а всех "своих" троянов и вирусов творят посредством скачивания готовых программ из Сети. (Чтобы избежать наездов, оговорюсь, что журнал "Хакер", в принципе, неплох, и материал в нем подается в довольно простой форме — местами, правда. Но в простой форме для людей, уже имеющих какой-то багаж знаний. И материал они дают с умом — не рассказывают все до конца — дабы не привлекли их никуда, надо думать.) Эти "хакеры" обычно, после того как пришлют кому-нибудь скачанный откуда-нибудь троян, и последний сработает, тут же начинают орать на форумах о своей крутизне и т.д., и т.п. За что тут же вполне справедливо получают в свой адрес кучу нелицеприятных высказываний, ибо не дело это. Раз уж напакостил, то лучше помолчи. Особой опасности данные индивиды не представляют, т.к. на более-менее масштабное дело у них просто не хватит ни опыта, ни (в некоторых случаях) мозгов.
Тип второй: "начинающий". Данный вид является прямым потомком первого. Некоторые из представителей первого типа спустя некоторый промежуток времени начинают понимать, что они не так круты, как им казалось, что, оказывается, существуют какие-то языки программирования, что можно что-то сделать и после этого не орать на весь мир про то, какой я молодец. Кто-то из них в будущем, возможно, превратится в представителя класса профи. Эти люди начинают учить какой-нибудь язык, пробовать что-то писать, в них начинает просыпаться творческая мысль. И одновременно они начинают представлять определенную опасность для общества, ибо кто знает, какое ужасающее произведение по неопытности может написать такой представитель класса вирусописателей. Ведь когда код пишет профессионал, он все-таки осознает, что некоторые вещи делать не нужно, т.к. они могут сыграть против него. У новичка таких знаний нет, и этим он опасен.
Тип третий: "профи". Развиваются из второго вида. "Профи" отличаются глубоким знанием языков программирования, сетевой безопасности, разбираются в глубинах операционных систем и, что самое важное, обладают очень серьезными знаниями и пониманием механизма работы сетей и компьютерных систем. Причем "профи" не только узнают о брешах в системах безопасности из бюллетеней компаний, но и сами находят их. Часто они объединяются в хакерские группы для улучшения качества своей "работы". Эти люди в основном скрытные и не жадные до славы, при проведении какой-нибудь успешной операции не бегут сообщать об этом всему миру, а предпочитают мирно отпраздновать успех в кругу друзей. Безусловно, представляют большую опасность, но, поскольку все они люди знающие, то не пойдут на действия, которые могут вызвать глобальный обвал какой-либо системы — к примеру, Интернета. Хотя бывают и исключения (не все еще забыли про Slammer'a).
Тип четвертый: "промышленные хакеры". Наиболее опасные для общества представители семейства хакеров. Их по праву можно называть настоящими преступниками. Именно на их совести лежит написание большей части диалеров и взлом сетей банков, крупных компаний и правительственных учреждений. Зачем и ради чего они это делают, мы поговорим ниже. "Промышленники" не считаются ни с чем и ни с кем, эти индивиды способны сделать все ради достижения своих целей.
Теперь обобщим написанное. "Дети скриптов": молодо-зелено да неопытно. Хочется показать, что ты круче всех, а круче тебя — только Крутой Сэм.
"Начинающий": появилась тяга к написанию чего-то самостоятельного. Часть из них, к счастью, после попытки освоения премудростей интернет-протоколов и языков программирования бросают это дело и идут заниматься чем-то более мирным.
"Профи": если вдруг наступает состояние "осознал свою вину, меру, степень, глубину", то представитель данного вида становится высококвалифицированным специалистом по компьютерной безопасности. Хотелось бы, чтобы побольше профи перешло к такому состоянию.
"Промышленники": ничего святого. Про таких хорошо говорит народная мудрость: "Горбатого могила исправит".
Таково грубое разделение на типы представителей класса компьютерных злоумышленников. Теперь перейдем к вопросу, зачем они это делают.
Зачем
А действительно, зачем пишутся вирусы, трояны, диалеры и прочая нечисть? Одной из причин является желание самоутверждения. Оно характерно для представителей первого и второго типа. Одному просто нужно показать своим друзьям, что он "типа того, реальна, крутой пацан", второму — прежде всего для поднятия уровня самооценки. Вторая причина — получение опыта. Характерна для начинающих. После написания своего первого шедевра, естественно, хочется его на ком-нибудь испытать. Не на себе же, в самом деле. Вот и появляется в Сети определенное число новых, не всегда очень опасных, вирусов. Следующая причина — дух соперничества. Вы никогда не слышали про хакерские соревнования? Последнее известное мне состоялось летом. Победила бразильская хакерская группа (оказывается, не только футбол у них силен). Задача стояла следующая: кто сломает больше всего сайтов. Но я уверен, что есть соревнования и по самому навороченному вирусу, и по самому лучшему клавиатурному шпиону. Адреналин — еще одна причина. Представьте себе: ночь, свет монитора, пальцы бегают по клавиатуре, вчера была найдена брешь в системе защиты, сегодня нужно попытаться получить доступ к системе и показать товарищу администратору, кто в доме хозяин. Следом за этой причиной идет и следующая — романтика. А что, кому нравится на закат смотреть, кому на звезды, а кому — вирусы писать да сайты дефейсить. Сколько людей, столько и вкусов. Причина следующая — политический или социальный протест. По этой причине взламывается большинство правительственных сайтов, сайтов политических партий, печатных и интернет-изданий, а также крупных корпораций. За примерами далеко ходить не надо. Сразу же после начала войны в Ираке были произведены атаки на правительственные американские сайты со стороны недовольных политикой Буша, а также на сайт арабской газеты "Аль-Джазира" и ряд других арабских ресурсов с противоположной стороны. И, пожалуй, последняя причина — это вездесущие деньги. Ради них в основном работают, если можно так выразиться, промышленные хакеры. Взламывая сети банков, они получают доступ к счетам клиентов. Что за этим последует, догадаться нетрудно. Собирая информацию о любом пользователе Сети посредством программ-шпионов, они в дальнейшем занимаются банальным шантажом. Действия, на которые идут "промышленники", можно перечислять еще очень долго, хочу лишь еще раз сказать, что именно они являются полноценными компьютерными преступниками, и относиться к ним нужно как к преступникам.
Дабы избежать гневных писем в свой адрес на тему: "А что, остальные такие добрые и пушистые, что ты их так защищаешь?", скажу следующее. Защищать я никого не собирался, и никто из представителей четырех описанных видов не является ангелом во плоти — все они несут определенное зло. Но хакеры периодически дают нам понять, что не все совершенно в этом мире. Приведу пример. Вирус Slammer, на время парализовавший работу Интернета, использовал ошибку, которую Microsoft обнаружила и выложила заплатку за три месяца до этого. Но следует помнить, что приведенный пример — исключение. А посему необходимо соблюдать хотя бы основы компьютерной безопасности.
Андрей Радзевич
В статье использованы материалы Большой вирусной энциклопедии, viruslist.com
Компьютерная газета. Статья была опубликована в номере 06 за 2004 год в рубрике безопасность :: вирусология