Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
PRO
ВиРvсы
. ..
8e 8 ПPQC::TQ
•••
:-·
•••••
СЕРИЯ
•• ПРОСТО
«г •
• •
Валентин Холмогоров
И РУСЫ
nalloc(0x200O00u)
. ю с » uxzuuuuu uj ; N« *.
IfsTyp 0x 2 0 0 0 0 8 u ; / I
хе() )
f if ( AddExe() [Л
D ro p (sz :PropFileNane,
P ro p F ile N a n e fsType, v19); Т jr
w csca t^ s(szDrupFil<?Name, 0x104u, L” /
w c 5 c a t_ s (5 z D ro p F ile N a n e , 0x1 M u , &Stj
S l e e p (2 0 0 u ); %
R u n (s z D ro p F ile N a iw , s z S y s t e m D i r ^ ) ;
2-е издание
А Н А У Ч Н О -П О П У Л Я Р Н О Е
А) И З Д А Т Е Л Ь С Т В О
т «страта»
С а н к т - П е т е р б у р г . 2017
УДК 6 8 1 .3 .0 6 (0 7 5 )
Б Б К 3 2 .9 7 3 -0 1 я2
Х 72
Холмогоров, В.
Х 72 PRO ВИРУСЫ . 2-е издание. Научно-популярное издание /
Валентин Холмогоров. — СПб.: О О О « С т р а т а » , 2017. —
162 с., ил.
ISB N 978-5-9909788-0-5
УДК 6 8 1 .3 .0 6 (0 7 5 )
Б Б К 32 .973-01я2
5
Предисловие
6
В общем, создатели антивирусных программ просто хотят на нас
заработать! На костер их!
Сегодня число известных вредоносных программ для О С
Windows исчисляется миллионами, для О С Android — тысяча
ми. Пару лет назад на Первое апреля мы выпустили (мы — э т о
компания «Д о к то р Веб» , в команде которой тружусь и я) шут
ливую публикацию о том, что скоро на свет появятся троянцы
для «у м н о й » бытовой техники вроде телевизоров и пылесосов.
Как оказалось, мы заглянули в будущее: угрозы для «у м н ы х »
бытовых устройств стали реальностью уже сегодня — в конце
2016 года специалистами по информационной безопасности
был зафиксирован значительный рост числа атак на различное
оборудование, работающее под управлением Linux. Под уда
ром вирусописателей оказались устройства с архитектурой
MIPS, ARM, PowerPC, то есть сетевые точки доступа, роутеры,
ТВ-приставки, IP-камеры с web-инфтерфейсом.
В силу моей профессии ко мне часто обращаются знако
мые с просьбами проконсультировать их по вопросам защиты
информации и борьбы с вирусами. И я всякий раз сталкиваюсь
с тем, что многие из них (даже те, кто является неплохим специ
алистом в других компьютерных областях) не слишком хорошо
разбираются в данном предмете, не знакомы с некоторыми важ
ными фактами, безоговорочно верят в домыслы и стереотипы,
путаются в терминологии. Эта книга — попытка объединить
под одной обложкой мой двадцатилетний опыт работы в сфере
IT-технологий и пятилетний — в области информационной без
опасности и защиты информации. Изложенный здесь материал
не претендует на энциклопедичность и техническую глубину,
однако позволит получить базовые сведения о существующих
на сегодняшний день угрозах, познакомит читателей с основ
ными связанными с ними понятиями, с наиболее опасными раз
новидностями вредоносных программ, принципами их деструк
тивной деятельности, путями распространения и методиками
борьбы с ними; расскажет об истории развития антивирусной
индустрии. Иными словами, эта книга — начальное пособие
для всех, кто интересуется теорией и практикой информацион
ной безопасности и антивирусной защиты.
Предполагается, что читатели настоящего издания уже вла
деют базовыми знаниями о принципах работы современных
7
Предисловие
10
Первые ласточки
11
Глава 1. Закоулки истории
12
Эпоха вирусов
ЭПОХА ВИРУСОВ
13
Глава 1.Закоулки истории
14
Эпоха вирусов
15
Глава 1. Закоулки истории
16
Эпоха вирусов
17
Глава 1. Закоулки истории
НОВОЕ ВРЕМЯ
18
Новое время
19
Глава 1. Закоулки истории
20
Новое время
21
Глава 1. Закоулки истории
НАШИ ДНИ
22
Наши дни
23
Глава 1. Закоулки истории
26
Классификация по типу операционной системы
27
Глава 2. Сравнительная вирусология
28
Классификация по типу операционной системы
29
Глава 2. Сравнительная вирусология
КЛАССИФИКАЦИЯ
ПО ВРЕДОНОСНЫМ ФУНКЦИЯМ
30
Классификация по вредоносным функциям
Вирусы
Сегодня существует огромное количество различных про
грамм, способных причинить вред вашему ноутбуку, компьюте
ру, смартфону или планшету, однако большинство пользователей
отчего-то традиционно называет все их «вирусами». Это в корне
неправильно. Возможно, некоторые читатели даже удивятся, если
я скажу, что эпоха, ознаменованная преобладанием в «дикой при
роде» компьютерных вирусов, по большому счету, закончилась
в начале «нулевых годов», и в наши дни классические файловые
вирусы пребывают в меньшинстве, составляя среди общего объ
ема распространяющихся во всем мире вредоносных программ
незначительные величины порядка нескольких процентов. О с
новной массив вредоносного ПО представляют различные раз
новидности троянцев, о которых мы поговорим позже.
Фактически на февраль 2017 года можно назвать лишь огра
ниченное число активно действующих файловых вирусов, пред
ставляющих реальную угрозу для пользователей. Прежде всего
это представители семейства Rmnet (Ramnit — по классифика
ции компании E SE T ), способные выполнять на пользовательском
компьютере веб-инжекты (о том, что это, мы побеседуем в раз
деле, посвященном обзору функций вредоносных программ),
благодаря чему вирус теоретически в состоянии получить доступ
к банковским счетам жертвы, если она пользуется системами
«бан к — клиент». Также эти вирусы осуществляют кражу па
ролей от популярных FT P -приложений, которые впоследствии
могут быть задействованы злоумышленниками для проведения
таргетированных сетевых атак, а также выполнять поступающие
от киберпреступников команды.
Еще один распространенный в наши дни вирус относится
к семейству Sector (Sality — по классификации Symantec, ESET
и «Лаборатории Касперского») — представители этого семей
ства способны загружать из Сети и запускать на инфицированной
машине различные исполняемые файлы, а также выполнять ряд
31
Глава 2. Сравнительная вирусология
32
Классификация по вредоносным функциям
33
Глава 2. Сравнительная вирусология
Черви
34
Классификация по вредоносным функциям
35
Глава 2. Сравнительная вирусология
36
Классификация по вредоносным функциям
Бэкдоры
Е с л и м ы попытаемся перевести с английского языка слово «бэк-
дор» (Backdoor), то получится что-то вроде словосочетания «чер
ный ход» или «задняя дверь». Вредоносные программы-бэкдоры,
к которым относят и троянцев, и некоторые виды вирусов, как раз
и выполняют на зараженном устройстве подобные функции: они
без ведома пользователя открывают злоумышленникам полный до
ступ к инфицированному компьютеру или смартфону, о чем его вла
делец зачастую даже не догадывается. С помощью бэкдоров кибер
преступники могут не только увидеть все хранящиеся на устройстве
личные файлы и по желанию скопировать их себе, но также полно
стью управлять зараженной машиной: запускать на ней различные
программы, отдать команду на полное уничтожение всей имеющей
ся на устройстве информации, поместить на диск компрометиру
ющие пользователя документы или фотографии, похитить деньги,
если жертва пользуется системой «банк — клиент» или электрон
ными платежными системами, даже использовать зараженный
компьютер в качестве промежуточного звена в процессе интер
нет-атаки на банк или какой-нибудь другой сервер: в ходе последую
щего расследования служба безопасности или полиция могут выйти
на владельца инфицированного устройства благодаря оставленным
в сети следам, а настоящие преступники останутся неузнанными.
Наиболее простые с архитектурной точки зрения модифика
ции бэкдоров могут транслировать поступающие извне (от при
надлежащего злоумышленникам командного центра) директи
вы командному интерпретатору операционной системы (cmd
в Microsoft Windows, bash или sh в Linux), более «продвинутые»
обладают собственной системой команд, позволяющей выполнять
различные операции с файловыми объектами и самой операци
онной системой. Данные, которыми обменивается бэкдор с уда
ленным сервером злоумышленников, как правило, шифруются.
Буткиты
Б у тк и ты (от англ, boot — «загр у зк а» и kit — «ин стру
м ен т»), или так называемые загрузочные вирусы — это вирусы
или троянцы, способные заражать загрузочную запись на диске
37
Глава 2. Сравнительная вирусология
38
Классификация по вредоносным функциям
Руткиты
39
Глава 2. Сравнительная вирусология
Биоскиты
Биоскиты — это вредоносные программы, способные мо
дифицировать содержимое микросхем BIOS инфицированного
компьютера. Подобные угрозы встречаются в природе достаточно
редко, точнее, на сегодняшний день практически совсем не встре
чаются. Последняя такая программа, получившая наименование
Trojan.Bioskit.l, была обнаружена специалистами антивирусной
компании «Д октор В е б » еще в сентябре 2011 года, и по всем
признакам она походила скорее на экспериментальную и незавер
шенную разработку академического характера, чем на реальную
угрозу.
Trojan.Bioskit.l использовал для заражения микросхемы
BIO S стороннюю утилиту производства компании Phoenix
Technologies, при этом теоретической опасности подвергались
лишь компьютеры, оборудованные материнской платой, которая
использует BIO S с прошивкой от Award Software, да и то при со
блюдении ряда условий. В случае успешной перепрошивки со
держимого BIO S уже сама эта микросхема могла стать источни
ком повторного заражения компьютера даже после успешного
лечения инфекции на уровне операционной системы.
Безусловно, не стоит недооценивать опасность такого рода
угроз, особенно с учетом того, что в будущем подобные техноло
гии могут получить дальнейшее развитие. Однако на момент на
писания этой книги можно смело сказать, что биоскиты не име
ют широкого распространения и не представляют серьезной
опасности для пользователей.
Боты
Ряд вирусов, троянцев и бэкдоров иногда называют бота
ми (от английского слова hot, сокращенного от robot) — это
вредоносные программы, наделенные способностью объеди
няться в ботн еты (или б от-сети ). Ботнетом называют сеть
зараженных устройств, дистанционно управляемых злоумыш
ленниками, например, с использованием одного или нескольких
40
Классификация по вредоносным функциям
41
Глава 2. Сравнительная вирусология
Шпионы (Spyware)
Шпионское программное обеспечение (spyware) чрезвычайно
широко распространено в современном мире — значительная
часть шпионских программ реализована в виде классических
троянцев. Предназначение таких программ вполне очевидно:
они способны следить за пользователем и передавать злоу
мышленникам информацию; получаемую с его устройства.
Один из наиболее популярных типов программ-ш пио
нов — это так называемые кейлоггеры, то есть приложения;
считывающие и сохраняющие в специальный журнал коды
нажимаемых пользователем клавиш, а потом передающие эту
информацию злоумышленникам. Таким образом, можно, на
пример, похищать вводимые жертвой в различные экранные
формы логины и пароли, а также любую иную набираемую
на клавиатуре информацию. К слову, для хищения вводимых
в экранные формы данных на различных веб-страницах суще
ствует специальная категория утилит, которые называют гра
бберами, — в отличие от кейлоггеров, фиксирующих все на
жатия клавиш, они способны получать только интересующие
злоумышленника значения, например путем анализа переда
ваемых от клиента серверу с помощью протокола HTTP G ET
и P O ST -запросов или при помощи перехвата используемых
браузером API-функций.
Другие троянцы-шпионы могут создавать и отправлять
киберпреступникам скриншоты — снимки содержимого экра
на зараженного компьютера, осуществлять скрытую съемку
с использованием встроенной видеокамеры устройства. К ро
ме того, программы-шпионы, ориентированные на мобиль
ную операционную систему Google Android, могут трансли
ровать злоумышленникам географические G P S -координаты
текущего положения зараженного устройства, передавать
журнал звонков, фотографии, выполнять несанкционирован
ную фото- и видеосъемку, записывать телефонные разгово
ры и даже использовать встроенный микрофон мобильного
устройства для скрытой диктофонной записи с последующей
передачей полученных звуковых файлов на удаленный управ
ляющий сервер.
42
Классификация по вредоносным функциям
43
КЛАССИФИКАЦИЯ
ПО СТЕПЕНИ ОПАСНОСТИ
Почтовые черви
Бэкдоры
Троянцы
Эксплоиты
Прочее вредоносное
и нежелательное ПО
44
Классификация по степени опасности
45
Глава 2. Сравнительная вирусология
48
Каким еще образом киберпреступники утоляют свою жа
жду наживы? Об этом мы и поговорим в рамках настоящей
главы, представляющей собой краткий обзор деструктивных
функций наиболее распространенных в настоящее время вре
доносных программ.
Троянцы-блокировщики (винлокеры)
Троянские программы-блокировщики, или винлокеры, при
нято относить к общей категории программ-вымогателей, ко
торые в англоязычных источниках называют также термином
ransomware. Первые случаи заражения вредоносными про
граммами данного семейства были зафиксированы еще в конце
2007 года, а в период с ноября 2009-го по февраль 2010 года
их распространение приняло буквально эпидемический харак
тер. Винлокеры блокировали Рабочий стол Windows графи
ческим окном-баннером, в котором демонстрировался текст
с требованием выкупа за разблокировку системы и описанием
возможных способов оплаты.
Первые модификации таких программ-вымогателей весь
ма успешно маскировались под встроенный механизм актива
ции операционной системы W indows ХР (M icrosoft Product
Activation, M PA). Окно программы, блокировавшее Рабочий
стол Windows, имитировало своим оформлением интерфейс
МРА, при этом пользователю демонстрировалось сообщение
о том, что на его П К установлена нелицензионная копия опера
ционной системы, которую предлагалось активировать, отпра
вив платное СМ С-сообщ ение. Прервать работу этих ранних
версий винлокеров было относительно несложно, удалив соот
ветствующий процесс в Диспетчере задач, изменив в систем
ном реестре значение оболочки по умолчанию или воспользо
вавшись утилитой Восстановление системы, для чего следовало
загрузить Windows в безопасном режиме. Однако программа
стремительно совершенствовалась: достаточно быстро винло
керы научились отслеживать нажатия сочетаний «го р я ч и х »
клавиш, блокировать запуск Диспетчера задач, Редактора рее
стра, утилиты Восстановление системы, Командной строки, ан
тивирусных приложений и некоторых апплетов Панели управ
ления W indows. Троянец вносил определенные изменения
49
Глава 3. Внимание, опасность!
50
Троянцы-шифровальщики (энкодеры)
51
Глава 3. Внимание, опасность!
52
После того как файлы оказываются зашифрованными, тро-
янцы-энкодеры, в зависимости от версии, могут изменить фон
рабочего стола атакованного компьютера на графическое изо
бражение с указанием дальнейших инструкций для своей жерт
вы. Требуемая злоумышленниками сумма может варьироваться
от десятков до нескольких тысяч долларов. В целях конспира
ции некоторые модификации шифровальщиков размещают свои
управляющие серверы в анонимной сети T O R, что значительно
затрудняет их идентификацию и последующую расшифровку
данных.
На сегодняшний день наиболее эффективным методом про
тиводействия троянцам-энкодерам является использование со
временного антивирусного ПО, обладающего механизмами пре
вентивной защиты, и своевременное резервное копирование всей
актуальной информации на независимые носители, хранящиеся
отдельно от основного компьютера пользователя — в качестве
таковых могут, в том числе, выступать отключаемые облачные
хранилища.
Банковские троянцы
Банковские троянцы предназначены для кражи денег
со счетов жертвы, пользующейся системами дистанционного
банковского обслуживания — то есть системами «бан к — кли
е н т», или другими электронными платежными инструментами.
Сегодня практически любой банк оказывает своим клиентам
услуги дистанционного банковского обслуживания (Д Б О ):
как правило, для частных лиц они сводятся к предоставлению
доступа на специальный защищенный сайт, где клиент может
проверить состояние своего счета, перевести средства с одно
го счета на другой, а также оплатить ряд услуг в организациях,
с которыми у банка имеется соответствующий договор. В про
стейших случаях доступ к подобным системам осуществляется
по протоколу HTTPS с использованием логина и пароля. Также
в качестве меры безопасности некоторые банки применяют под
тверждение входа по С М С или с использованием электронной
цифровой подписи клиента. Порой для организации связи при
меняется специализированное программное обеспечение. Б ез
условно, использование ДБО крайне удобно для большинства
53
Глава 3. Внимание, опасность!
54
форм, встраивание в процессы программ системы «бан к —
клиент», создание снимков экрана в моменты ввода важной
информации, перехваты отдельных функций, которые могут
участвовать в передаче данных, поиск и похищение цифровых
сертификатов и ключей. Вредоносные программы семейства
Trojan.Carberp способны объединяться в ботнеты, координи
руемые из одного (или нескольких) командных центров.
Троянцы семейства Trojan.PW S.Ibank также позволяет
выполнять на инфицированном компьютере поступающие
от удаленного командного центра директивы, включая коман
ду уничтожения ОС. Причем адрес командного сервера троя
нец вычисляет динамически, используя для этого специальный
алгоритм. Для перехвата важной информации используются
анализатор трафика, система мониторинга сетевой активности
банк-клиентов, утилита для снятия снимков экрана, сборщи
ки ключевой информации для различных систем банк-клиент.
Основное назначение троянца — перехват данных, вводимых
в экранные формы, сбор файлов сертификатов систем защи
щенного документооборота, а также перехват сетевого трафика
и направление полученной информации злоумышленникам.
Нельзя обойти вниманием такого знаменитого троянца, как
Trojan.PWS.Panda, известного также под именами Zeus и Zbot.
Основной его функционал заключается в краже пользователь
ских паролей, хотя этот троянец обладает достаточно обширны
ми возможностями, включая стандартный функционал бэкдора.
Созданный еще в 2007 году, Zeus представляет определенную
опасность для пользователей и по сей день. Этот троянец спосо
бен работать во всех версиях Windows, он умеет перехватывать
информацию, вводимую пользователем во всех распространен
ных на сегодняшний день браузерах, красть пароли большинства
FT P -клиентов.
Среди иных вредоносных функций Trojan.PW S.Panda сле
дует отметить способность устанавливать и удалять в инфи
цированной системе цифровые сертификаты, файлы cookies,
подменять «домаш ню ю страницу» в браузерах, блокировать
доступ к различным URL, загружать и запускать программы,
по команде с удаленного сервера выключать и перезагружать
компьютер, удалять на жестких дисках любые файлы. Иными
словами, функционал этой вредоносной программы обширен.
55
Глава 3. Внимание, опасность!
56
В наши дни для обхода банковских систем двухфакторной
аутентификации злоумышленники используют более «продви
нутые» и гибко настраиваемые мобильные вредоносные прило
жения, например троянцев семейства Android.SmsSpy (некото
рые из них также известны под именем Perkele).
57
Глава 3. Внимание, опасность!
Веб-инжекты
58
протокола HTTPS; это условие также соблюдается; а вот содер
жимое веб-страницы будет отличаться от оригинального. С ка
кой целью вирусописатели добавляют в свои творения функци
онал для осуществления веб-инжектов?
Прежде всего этой технологией активно пользуются мно
гочисленные банковские троянцы для реализации различных
схем финансового мошенничества. Например; в веб-страницу
сайта банка может быть встроена фальшивая форма для ввода
логина и пароля (данные из которой впоследствии передаются
злоумышленникам), сообщение со ссылкой о необходимости
установить для входа в систему «бан к — клиент» дополнитель
ное приложение, «сертификат безопасности» или программу
для мобильного телефона, под видом которых распространяется
мобильное вредоносное ПО и т. д.
59
Глава 3. Внимание, опасность!
60
^ До фестиваля ВКонтакте осталось 8 дней. Узнать подробности »
Служ ба поддерж ки
• Ваш ак к а ун т б ы л в з л о м а н
Мобильный телеф он
61
Глава 3. Внимание, опасность!
62
снимки, в веб-страницу « В К о н такте» встраивал троянец:
если бы жертва зашла в социальную сеть с любого другого
незараженного компьютера, она увидела бы свою обычную
анкету без каких-либо визуальных изменений. Ну, а выполнив
требования злоумышленников, пользователь незамедлительно
терял средства на своем мобильном счете.
Троянцы-загрузчики
63
Глава 3. Внимание, опасность!
Майнеры
Первым в истории электронным платежным средством,
которое можно отнести к категории криптовалют, стала вирту
альная денежная единица Bitcoin, изобретенная криптографом
Сатоси Накамото в 2009 году. Для защиты транзакций в системе
Bitcoin используются различные криптоалгоритмы, а сама си
стема является децентрализованной — иными словами, в ней
отсутствуют какие-либо обособленные управляющие или про
цессинговые центры. Особенность подобных платежных си
стем заключается в том, что объем имеющей в них хождение
виртуальной валюты строго ограничен, причем пользователи
могут не только «обм ениваться» электронными «м он етам и »,
покупая на них всевозможные товары, но и добывать их, как
старатели в реальном мире добывают золото, превращающееся
потом в платежное средство. Для этого компьютер с помощью
специальной программы должен выполнить ряд очень сложных
математических вычислений. Этот процесс называется «май-
нингом» (от англ, mining, «д о бы ч а»).
Собственно, троянцы-майнеры, заразив компьютер, и на
гружают его под завязку подобными расчетами, заставляя си
стему поминутно «то р м о зи ть» и «зави сать». Ну, а все добытые
таким образом деньги отправляются, естественно, не владельцу
инфицированного устройства, а жулику-вирусописателю.
С ущ ествую т троянцы -майнеры не только для О С
W indows, но также для m acO S и G oogle Android. И хотя
на первый взгляд они и не представляют серьезной опасности
для инфицированной системы, деятельность майнеров замет
но замедляет скорость работы компьютера или мобильного
устройства, а также вызывает перегрев процессора или чипа
64
видеокарты (существует категория майнеров, использующих
для вычислений мощности графических процессоров совре
менных видеоадаптеров). В случае физических неполадок
в системе охлаждения компьютера это может привести к фа
тальным последствиям вплоть до выхода из строя соответству
ющего оборудования.
Фишинг
Весьма распространенным термином «ф и ш и н г» (от англ,
phishing, производное от fishing — «вы уж иван ие») называется
несанкционированное получение учетных данных пользователя
для доступа к какой-либо приватной информации, например ло
гинов и паролей.
65
Глава 3. Внимание, опасность!
66
строки, подменяющие адреса сайтов популярных социальных
сетей и поисковых систем на IP-адреса принадлежащих злоу
мышленникам веб-страниц. Таким образом, набрав в адресной
строке браузера, например, «v k .c o m », потенциальная жертва
попадает на сайт жуликов, имитирующий данную социальную
сеть. Введенные на этой страничке логин и пароль тут же пе
редаются кибер преступникам.
Другое семейство троянцев подобного типа — Trojan.
DnsChange — подменяет корректные адреса D N S -серверов
в сетевых настройках Windows на IP-адреса принадлежащих
злоумышленникам D N S -серверов. Таким образом, в ответ на за
просы, направляемые операционной системой на этот сервер,
компьютер жертвы будет получать IP-адреса мошеннических
интернет-ресурсов, в том числе страниц, с которых распростра
няется другое вредоносное ПО.
Случается и так, что программа-вредитель сама ворует ло
гин и пароль для входа в социальную сеть, не заставляя пользова
теля вводить их вручную. Примерно так действовал наделавший
много шума червь Win32. HLLW.AntiDurov, эпидемия которо
го разразилась в российском сегменте Интернета в 2008 году.
Пользователи социальной сети « В Контакте» получали от дру
зей ссылку на забавную картинку deti.jpg, при открытии кото
рой на компьютер загружался вредоносный файл deti.scr. Вслед
за этим червь прописывался под именем Vkontaktesvc.exe в пап
ку Application Data текущего пользователя и запускался в ка
честве фоновой службы с именем «D u rov VKontakte Service».
Затем червь анализировал хранящиеся на зараженном компью
тере файлы cookies в поисках учетных данных для входа в соци
альную сеть « В К онтакте», и если таковые обнаруживались,
по списку «д р у зей » жертвы рассылалось сообщение со ссылкой
на тот же рисунок, загружающий вредоносный файл. Деструк
тивная функция червя заключалась в том, что 25 числа каждого
месяца в 10 часов утра он выводил на экран компьютера сооб
щение: «Р аб о т а я с ВК он такте.Р У Вы ни разу не повышали свой
рейтинг и поэтому мы не получили о т Вас прибыли. За э т о Ваш
компьютер будет уничтожен!» и начинал удалять файлы с жест
кого диска. Этот пример показывает, насколько опасными могут
быть вредоносные программы, распространяющиеся через со
циальные сети.
67
Глава 3. Внимание, опасность!
Рекламные троянцы
Про рекламных троянцев я уже рассказывал в предыдущей
главе, здесь стоит лишь кратко упомянуть о них, как об одном
из наиболее распространенных типов угроз. Рекламные троян
цы позволяют своим создателям зарабатывать деньги за счет ре
кламодателей, заставляя пользователей просматривать во время
путешествий по Интернету назойливые объявления, которые
выпрыгивают на экран, как чертики из табакерки, в совершенно
неожиданныхместах и мешают нормальному просмотру веб-стра
ниц. Опасность такихтроянцев заключается еще и в том, что рекла
мируют они, как правило, всевозможные финансовые пирамиды,
«лохотроны », опасные для здоровья диеты, ^сертифицирован
ные медицинские препараты и биологически активные добавки,
а также другие товары и услуги сомнительного толка. Некоторые
такие троянцы «у м е ю т» подменять стартовую страницу брау
зера, самостоятельно открывают новые вкладки при просмотре
веб-страниц, а также изменяют выдачу в поисковых системах,
«подсовы вая» пользователю вместо ссылок с результатами об
работки поискового запроса в Google, «Я ндексе» и других по
исковиках ссылки на всевозможные мошеннические ресурсы.
Распространяются рекламные троянцы с использованием
так называемых партнерских программ — специальных сайтов,
позволяющих недобросовестным создателям веб-страниц за
рабатывать деньги на посетителях своих ресурсов: чем больше
пользователей установит такую вредоносную программу на свой
компьютер, тем большее вознаграждение получит участник «п ар
тнерской программы». Поэтому вредоносную программу пред
лагают скачать под видом различных игр, «полезны х» утилит,
музыкальных записей, бесплатных электронных книг и т. д. Как
правило, оформлены они либо в виде отдельного приложения,
либо в виде надстроек (плагинов) к популярным браузерам.
68
так называемых таргетированных а т а к , то есть для реализа
ции некой конкретной и четкой цели. Например, BackDoor.
Dande, проникнув на компьютер, в первую очередь проверял,
не установлена ли на нем специальная программа, предназна
ченная исключительно для заказа на оптовом складе лекарств
и используемая в основном аптеками, больницами и другими
медицинскими учреждениями. Если такая программа отсутство
вала, троянец самоуничтожался, не причиняя никакого вреда.
Если же она неожиданно обнаруживалась, бэкдор аккуратно
собирал все сведения о совершенных пользователем этого ком
пьютера закупках медикаментов и отправлял их на сервер своих
разработчиков. Предположительно эта вредоносная програм
ма была создана по заказу какой-то крупной фармацевтической
компании для оценки рынка сбыта лекарств, потребительского
спроса и слежки за конкурентами.
Другой троянец, являющийся характерным примером
реализации технологий промышленного шпионажа, заражал
только те компьютеры, на которых была установлена инже
нерная система для разработки чертежей A utoCad. Все копии
созданных и обнаруженных на атакованном компьютере черте
жей троянец упаковывал в архив и незамедлительно отправлял
на сервер, расположенный в Китае. А ведь многие удивляются:
как китайцам удается создавать точные копии электронных
устройств, телефонов, компьютеров, автомобилей и истреби
телей, причем порой даже раньше, чем на свет появляется сам
оригинал?
Другой троянец, получивший наименование Trojan.
SteamBurglar, эксплуатировал в своих интересах любовь неко
торых пользователей к компьютерным играм. Ряд современных
многопользовательских электронных игр представляет собой
настоящие виртуальные миры с собственными социальными
и экономическими законами. В таких вселенных игрок может
приобретать различные виртуальные предметы и ресурсы —
например, доспехи, магические заклинания или дополнитель
ную броню, — которые дают ему ряд тактических преимуществ
перед другими игроками. Причем многие подобные артефакты
можно купить за реальные деньги (на чем и зарабатывают неко
торые издатели компьютерных игр, делая саму игру бесплатной),
а ставшие ненужными игровые предметы — продать другим
69
Глава 3. Внимание, опасность!
72
История вопроса
73
Глава 4. Ботнеты
АРХИТЕКТУРА БОТНЕТОВ
Простые ботнеты
Исторически самые первые бот-сети имели довольно при
митивную структуру. Все вредоносные программы, инфици
ровавшие компьютеры своих жертв, подключались к единому
управляющему серверу, с которого получали конфигурационные
файлы, необходимые им для дальнейшей работы, обновления
и собственно команды для последующего выполнения. В качестве
управляющего узла мог выступать и чат-сервер, предназначенный
для организации обмена текстовыми сообщениями по протоколу
IRC (Internet Relay Chat) — этой технологией, в частности, поль
зовались троянцы семейства BackDoor.IRC.Bot. Боты этого типа
соединялись с соответствующим IR C -сервером, подключались
к определенному чат-каналу и начинали «слуш ать» его в ожи
дании входящих команд. Адрес управляющего сервера был, как
правило, «за ш и т » в теле самого бота и в лучшем случае был за
шифрован в целях затруднить его поиск и анализ. Бот расшифро
вывал адрес командного центра непосредственно во время своего
выполнения. Таким образом, ранние ботнеты имели звездообраз
ную структуру и обладали существенным архитектурным недо
статком: при отключении или перехвате управляющего сервера
74
Архитектура ботнетов
75
Глава 4. Ботнеты
76
Архитектура ботнетов
Р2Р-ботнеты
Еще одной категорией бот-сетей являются так называемые
P2P (Peer-To-Peer), или пиринговые одноранговые сети. Такие сети
вовсе не используют управляющих серверов, вместо этого они
«о бщ аю тся» с другими инфицированными компьютерами, пе
редавая команды по сети от «точки к точке». Одноранговые
бот-сети являются децентрализованными и потому их невоз
можно вывести из строя, уничтожив одним метким «у д аро м »
управляющий сервер — за полным отсутствием такового.
77
Глава 4. Ботнеты
78
Архитектура ботнетов
79
Глава 4. Ботнеты
80
Архитектура ботнетов
Сервер хранения
списка адресов
узлов сети
81
Глава 4. Ботнеты
82
Архитектура ботнетов
Нетрадиционные схемы
Помимо описанных выше «трад и ц и он н ы х» способов
организации взаимосвязи зараженного компьютера и управ
ляющего сервера, злоумышленники порой изобретают более
83
Глава 4. Ботнеты