Киберзараза. Вредоносное ПО

С тех пор, как появились компьютеры, человек пытается внедрить их во все сферы своей деятельности. Конечно, компьютер не знает усталости, он может трудиться сутками. Однако не все так безоблачно, как кажется на первый взгляд. Всегда есть другая сторона монеты. Компьютер может выполнить неправильную дозировку лекарства в больнице, и пациент умрет, может увеличить скорость машины, и человек не справится с управлением… Многие скажут: компьютер работает по алгоритму и не может от него отступить. Правильно, он не может сделать этого сам! Но ему могут приказать… Итак, киберзараза — все то, что заставляет системы работать неправильно — так, как надо другим. Попробуем разобраться, как же так получается. И решить, каким образом более или менее обезопасить себя и свои данные от вторжения злоумышленников или их программ.

Вредоносное ПО — это ПО, основной целью которого является: пагубное влияние на пользователя; нанесение ущерба его материальному положению, интеллектуальной и частной собственности: кража, хищение, несанкционированное изменение и уничтожение пользовательской информации (авт.). Вредоносные коды появились, пожалуй, одновременно с компьютерами. Как только люди научились писать программы, они сразу же разделились на тех, кто использует свое умение во благо, и наоборот. Невидимая война, о которой пользователь практически ничего не знает, идет десятки лет и будет идти вечно. Одни вирусы уходят, другие приходят. В пример можно привести бум полиморфик-вирусов, который начался примерно в начале 90-х годов с вируса под названием Chameleon. Какое-то время вирусописатели акцентировали внимание только на вирусах такого рода. Однако это вскоре прошло: в 1993 году численность этих вирусов резко спала, а после они практически исчезли. Сейчас встретить полиморфик-вирус редкость. Насчет того, когда появился первый вирус, бытует много версий. Многие утверждают, что он был создан в конце 60-х — начале 70-х годов. В то время функционировала военная сеть APRAnet — именно она и стала руслом, по которому растекся первый вирус. Хотя вирусом его можно было назвать с натяжкой, т.к. единственным из его вредоносных свойств было копирование своей копии на удаленную машину. Однако же оно было. Это было что-то вроде предка современных сетевых червей, ну и по тем временам было достаточно редким явлением=). Его название было Creeper, и работал он под операционной системой (тогда крайне популярной) Tenex. Обнаруживал он себя следующей надписью, отображающейся на мониторе: "I'M THE CREEPER: CATCH ME IF YOU CAN". Самое интересное — что для борьбы с этим вирусом был написан другой вирус под названием Reaper. Он выполнял некоторые функции, свойственные антивирусу: его запускали, и он распространялся по сети подобно Creeper'у, но, находя тело своей жертвы (напомню: его создали для борьбы с вирусом Creeper) уничтожал его.

Изготовление вредоносного ПО

Существует достаточно много способов изготовить вредоносный код, причем все они практически не похожи.
1. Написание программы с нуля.
2. Генерирование вредоносного кода с помощью специальных программ-генераторов.
3. Изменение программного кода готового вируса.
4. Появление вредоносных свойств вследствие ошибки в коде программы.

И если написание программы с чистого листа требует определенных навыков, то сгенерировать код может любой подросток. В настоящее время генераторы вирусов, троянов, червей и т.д. дошли до того, что имеют приятный графический интерфейс, и пользователь путем выбора определяет, какие свойства будет иметь его будущий вредоносный код.

Таким образом, это существенно поднимает уровень концентрации вирусов в Сети, ведь, сделав вирус "своими руками", юзер не останавливается — ему охота еще и заразить "своим" вирусом как можно больше машин. Тех, кто пишет вирус с нуля, сейчас очень мало, ведь пишут они, в основном, для какой-то конкретной цели, и все. Но если вдруг такой код начинает распространяться (по желанию его создателя или без такового), то в ход вступает пункт №3. Да, те кому лень заниматься "писаниной", берут образец, изменяют его код и выпускают в сеть… Именно поэтому появление нового вируса влечет за собой поток его модификаций. Естественно, особого умения тут не требуется — необходимо только некоторое знание языков программирования, и все. Ну и, наконец, последний — четвертый — пункт. Смешно, но именно это в большинстве случаев приводит к появлению вирусов. Скажем, студент университета (ну, иль любого другого учебного заведения) решил написать программку (естественно, во благо человечества), но невнимательно проверил ее код перед тем, как компилировать в исполняемый файл. И каково же было его удивление, когда после запуска она вместо того, чтобы проверить винчестер на наличие ошибок, отформатировала его. Вот таким образом любой, сам того не желая, может написать вредоносный код, поэтому следует внимательно проверять текст перед компиляцией.

Цели использования вредоносного ПО

Как правило очень часто причиной становятся финансы, однако есть и исключения. Человек может делать это для самоутверждения иль из спортивного интереса (такое встречается). Цели, преследуемые вирусописателями или распространителями вирусов:
. получение вознаграждения (как правило деньги);
. моральное удовлетворение;
. улучшение навыков.

Думаю, все слышали, как владелец какой-нибудь организации нанимает взломщика, чтобы тот уничтожил информацию конкурента или украл ее. Чаще всего это происходит именно так, но бывает, взломщик крадет не информацию, а деньги. Таким образом, за свои действия он получает вознаграждение. Давайте вспомним легендарного хакера по имени Кевин Митник. Он, по некоторым данным, занялся взломами, чтобы убежать из реального мира в киберпространство. Это у него получилось. Именно под этим и стоит подразумевать моральное удовлетворение. Хотя есть еще насколько вариантов — например, месть или зависть. Все это может побудить человека на противоправные действия. А если посмотреть на статистику, то можно сделать вывод, что именно месть и т.п. доминирует. Ну и "спортивный интерес". Повышение уровня знаний, навыков программирования, — все это приводит к тому, что надо пробовать писать вирусы. Однако в таких случаях вирус чаще всего прячется "в укромный уголок" и редко используется. Бывали случаи, когда вирус по ошибке попадал в сети и начинал распространяться. Вот еще один пример, когда "хочешь как лучше, а получается как всегда".

Пути распространения вредоносного ПО

А практически везде. Везде, где идет обмен информацией, могут быть вирусы. Приступим к рассмотрению путей конкретно:
. Интернет.
. Переносные устройства хранения информации.
. LAN.

Интернет. Думаю, вряд ли кого-нибудь тут удивлю, но все же. Итак, в свою очередь этот пункт делится на некоторые подпункты:
1. E-mail.
2. HTTP.
3. FTP.

В первом случае это рассылка. Прикрепленный файл несет в себе тело вируса. В тексте письма обычно используются приемы социальной инженерии и т.п. Однако чаще всего пользователь открывает аттачмент из любопытства. Ну, а дальше по накатанной: червяк (обычно) заражает машину и рассылает себя по адресам, найденным в записной книжке. По тексту письма легко догадаться, что она с "сюрпризом", поэтому обнаружение не составит труда. Очень часто используется социальный инжиниринг, но встречаются люди, на которых трудно воздействовать таким образом. Да и червь автоматически использует стандартный шаблон сообщения, в некоторых случаях несущий просто абсурдную информацию.

Протокол связи HTTP — тоже лазейка на компьютер. Как правило, на страницу устанавливают скрипт, который при обращении пользователя к данной странице выполняется и начинает грузить вредоносный код на машину. Это довольно старый способ — именно поэтому появление вирусов на компьютере многие сваливают на лазанье по небезопасным ресурсам сети.

FTP-протокол — это протокол загрузки файлов из сети. Тут вина лежит на пользователе. Он скачивает неизвестные файлы с сомнительных серверов, а потом, не проверяя их антивирусной программой, открывает — как следствие — заражение. Поэтому тут пользователь должен думать, прежде чем качать. Устройства хранения информации, в свою очередь, делятся на следующие:
1. Floppy.
2. Оптические накопители.
3. USB Flash Drive.
4. USB HDD.

Последнее время гуляют такие вирусы, которые распространяются только через флэш-накопители (ввиду их широкого распространения). Вирус заражает компьютер как только к нему подключают флэшку — делается все это дело обычно с помощью волшебного файла под именем autorun.inf. Вирус, заразив компьютер, ждет, пока к этому компьютеру подключат другую флэшку, после подключения автоматически копирует себя туда (обычно под видом скрытого файла), и все. Так что уже давно появились вирусы, которые целенаправленно распространяются через определенные виды устройств. Одним из самых широких каналов поступления вирусов являются пиратские диски с софтом. Стоят они копейки и зачастую напичканы разными программками сомнительного содержания. Конечно, никто после приведения этого факта не станет покупать только лицензионный софт, однако необходимо хотя бы сканировать диск перед установкой с него программ. Именно эта элементарная вещь и не соблюдается многими пользователями.

LAN (Local Area Network) — используемая многими локальная сеть. Собственно, тут могут быть то же, что и с сетью Интернет. Однако меняются причины, благодаря которым вы попали в список "обреченных". Если в Интернете вы случайный прохожий, попавший под обстрел, то в локалке, в основном, кто-то сильно хотел вас заразить. Отсюда следует, что среди друзей есть недруги…

Антивирусные корпорации

Появление компьютерных вирусов незамедлительно привело и к появлению охотников за ними. На территории СНГ действую два наиболее крупных соперника в этой области. Их продукты известны под следующими именами: Dr. Web и Antivirus Kaspersky. Естественно, присутствуют и иностранные компании, занимающиеся данного рода деятельностью. Работа по производству антивирусных программ и их дальнейшей поддержке достаточно кропотлива. Компании имеют по несколько представительств в разных странах мира — это позволяет своевременно реагировать на эпидемии.

Наличие крупной лаборатории позволяет ускорить процесс выработки обновлений сигнатурных баз. На самом деле написание антивирусной программы требует много времени даже для больших групп программистов. Каждая компания старается улучшить быстродействие движка и эффективность эвристики. Однако улучшить движок без потерь в надежности сложно, поэтому не стоит в штыки воспринимать медлительность работы сканера, конечно, если она в меру. Напоследок хочу еще раз заметить, что защиты на сто процентов просто не существует и, скорее всего, не будет существовать. Война производителей антивирусов и создателей вредоносного ПО будет продолжаться еще долгие годы.

P.S.: Вопросы и предложения вы можете размещать на форуме сайт или высылать мне на e-mal.

Евгений Кучук (Spider Agent), spideragent@tut.by


Компьютерная газета. Статья была опубликована в номере 07 за 2007 год в рубрике безопасность

©1997-2024 Компьютерная газета