Віруси. Їх види та різновиди

Конспект лекції: Основні види шкідливого програмного забезпечення

Термінологічний базис

Бекдор програми – які надають віддалений доступ до комп’ютера для зловмисників.

Хробаки – окремий вид шкідливих програм, головною задачею яких є розмноження серед комп’ютерів в мережі.

Адваре – рекламні модулі.

Дропери – по суті, це програми, які встановлюють троянські програми на комп’ютери користувачів.

Даунлоадери – маленькі троянські програми, у яких є усього одна функція – завантажити велику троянську програму.

термін – malware, malicious software. Однак у вжитку укорінилась загальна назва «вірус», як синонім до шкідливих програм, це є поняттям слова вірус у широкому сенсі.

З огляду на це часто виникає плутанина, наприклад користувачі дивуються: Антивірус знайшов троянську програму, чому він її не лікує?  Але не можна вилікувати те, що спочатку не було зараженим. Троянська програма з самого початку створювалась такою – її можна лише видалити.  І лише після цього система буде чистою. Або, наприклад, якщо було знайдено мережевого хробака – його також потрібно лише видалити і не потрібно лікувати, адже він не «хворіє». 

Якщо ж звичайна програма була заражена вірусом, тоді її можна вилікувати. Але такі випадки зараз практично не зустрічаються. У 95% випадків до користувачів потрапляють шкідливі програми відмінні від вірусів, вони потребують не лікування, а видалення. Також в деяких випадках потрібно видалити сліди перебування у системі шкідливих програм, наприклад, записи у реєстрі.

Основні види «вірусів»

Розглянемо більше детально основні види шкідливого програмного забезпечення.

Троянська програма – це програма, яка має приховані функції. Така назва виникла тому що перші програми цього типу потрапляли на комп’ютери під виглядом корисних програм, які користувачі завантажували і запускали власноруч. Зараз такий варіант розповсюдження також присутній, часто користувачі самі запускають подібні програми, намагаючись завантажити зламані неліцензійні версії програмного забезпечення чи програми для генерації зламаних серійних ключів. Як наслідок, під видом кейгенів та кряків троянські програми досить часто потрапляють на комп’ютери, ласих до використання неліцензійного програмного забезпечення, користувачів.

Хробак – це програма, яка розмножується, від одного комп’ютера до іншого. Механізми можуть бути дуже різними: електронна пошта, локальна мережа чи USB-накопичувач. Так, хробак може скопіювати свої файли на флешку та створити відповідний файл автозавантаження і як тільки ви під’єднаєте флешку до комп’ютера, на ньому одразу ж активізується хробак. При цьому слід зазначити, що хробаки що розповсюджуються через пошту чи через флешки, практично ні в чому не відрізняються, вони лише використовують різні шляхи поширення.

Бекдор – програма «чорний хід», зазвичай шкідливі програми цього типу дають зловмиснику віддалений доступ та можливість керування комп’ютером користувача. Методи їх дії бувають різними, наприклад така програма може відкрити мережевий порт, за допомогою якого зловмисник отримає повний доступ до ураженого комп’ютера: зможе надсилати різні команди, запускати інші програми.

Дропер – це по суті інсталятор троянської програми. Для чого їх створили? Оскільки троянська програма це багатокомпонентний елемент, який потребує щоб в системі були встановлені певні драйвери та інші компоненти, то цю задачу виконує дропер. Після того як дропер було активовано в системі, він встановлює всі частини троянської програми та активує її.  

Завантажувальник – це по-суті троянська програма, мета якої – завантажити з мережі Інтернет іншу троянську програму. Здавалося б, чим завантажувальники відрізняються від троянських програм? Певні відмінності є. Зокрема, характерна риса таких програм – вони дуже маленького розміру (кілька десятків кілобайт), а отже можуть завантажитись і активізуватись дуже швидко. І вже після вкорінення в системі, даунлоадер завантажує основну троянську програму. При цьому може бути завантажений, як дропер, так і окремі компоненти троянця, які будуть методично інсталюватись на комп’ютер. Отже, якщо у вас на комп’ютері був знайдений завантажувальник, то варто шукати і інші троянські програми.

Діалери – це програми-дзвонилки, вони були дуже популярні, у часи активного використання модемів і телефонних ліній. Тоді був дуже хороший бізнес з використанням платних номерів, після дзвінків на які з рахунку користувачів знімались кошти. І якщо, наприклад, комп’ютер на території України був заражений такою програмою, то він власноручно телефонував на номери, наприклад, в США чи Бразилії. Сучасні модифікації діалерів використовують дещо інші механізми, зокрема, це можуть бути дзвінки через Skype, відкриття певних спеціалізованих сайтів.

Руткіт – це спеціальний вид троянських програм, головна мета якого – максимально глибоко інсталюватись у систему, щоб його було якомога важче знайти і видалити. Як правило, руткіти містять драйвери операційних систем і працюють на досить низькому рівні. Руткіти використовуються для маскування всіх інших компонентів троянця від детектування. Тобто руткіт у системі призваний приховати роботу інших компонентів трояна. Головна проблема в тому, що руткіти дуже важко знайти і ще важче видалити з системи. Далеко не кожна антивірусна програма може з цим впоратись.

Рекламний модуль – адваре програми, мабуть найменш небезпечні з усіх шкідливих програм, але через дуже широку розповсюдженість і просто величезну зухвалість їх авторів в останній час вони стали досить неприємними. Як можна здогадатись із назви цього типу шкідників, задача рекламного модуля – показати вам рекламу. Це може відбуватись у різних проявах, наприклад у вас можуть самостійно відкриватись певні сторінки у браузері, які ви не відкривали – це будуть сайти з дивною рекламою або просто сайти, які ви не збирались відвідувати. Тобто зловмисники таким чином підвищують відвідуваність певного сайту або провокують Вас подивитись певну інформацію. Також рекламні модулі можуть показувати різні банери чи навіть вставляти банери на той сайт, де їх не було, або ж підмінювати рекламні повідомлення на сайтах. Наприклад якщо ви шукаєте певну інформацію у гугл, то видача пошукового запиту містить 2 категорії – безкоштовні пошукові запити та рекламні повідомлення, так рекламні модулі можуть підміняти одні рекламні повідомлення на інші і в результаті ви будете бачити не ту інформацію яку запитували, а те, що хоче вам показати власник рекламного модуля. Даний механізм підміни пошукових видач отримав назву «чорного SEO».

Які ж основні джерела зараження ПК та мобільних пристроїв?

По суті, якщо говорити загалом, найголовнішим джерелом вірусів буде той канал, який забезпечує для нас максимальний обмін інформацією Вашого ПК з іншими. Тож, без сумніву, головним джерелом зараження є глобальна мережа Інтернет.

На жаль віруси існують практично для всіх каналів зв’язку і зловмисники охоче використовують ті, якими більш активно користуємось ми. Зараз найбільше користувачі використовують веб-сайти та електронну пошту.  Існують віруси, які розповсюджуються через Skype, icq інші месенджери. У свій час існували популярні віруси для RRS клієнтів, однак вони використовуються не так широко.  А от браузерами для відвідування сайтів користуються всі без виключення і як наслідок це джерело є найбільш популярним.

Другим по популярності джерелом зараження є електронна пошта. На початку 2000них років практично всі загрози шли саме з електронної пошти. Зараз об’єм заражень через е-мейли не на стільки високий, однак все ж зустрічаються масові розсилки, в яких користувачі отримують листи, які маскуються під звичайну пошту від знайомих чи колег. І наприклад якщо вірус заразив комп’ютер Вашого знайомого і від нього пише вам листа, то вірогідність того що ви відкриєте цього листа дуже висока. Часто відбуваються масові СПАМ-розсилки, які маскують під повідомлення від банків, і взагалі під певну корисну інформацію: фото, архіви, які Вам пропонують подивитись. Звичайно ж після відкриття такого файлу нічого корисного для вас крім зараження Вашого ПК не відбудеться.

Третім за популярністю способом зараження ПК є змінні накопичувачі, перш за все це флеш диски та USB-накопичувачі. Згадаймо, що перші комп’ютерні віруси взагалі почали свою історію саме з змінних накопичувачів, тільки тоді це були дискети – гнучкі магнітні диски. Як інколи зазначається, історія розвивається по спіралі і сьогодні, як і 30 років тому ми переносимо один одному віруси трояни та хробаки через флеш-накопичувачі. Різниця лише у тому, що старі віруси не завжди могли запускатись автоматично і чекали коли користувачі  самі запустять певну програму з диску, сучасні ж віруси можуть запускатись автоматично одразу після підключення флешки до комп’ютера.

Історія комп’ютерних вірусів в Україні

Поговоримо про історію комп’ютерних вірусів в Україні.

Якщо говорити про перші комп’ютерні віруси на території України, то потрібно згадати часи, коли ще у Радянському Союзі з’явились перші IBM-PCсумісні комп’ютери. Можливо існували індивідуальні розробки шкідливих програми і для більш ранніх електронно-обчислювальних машин, які існували в СРСР, однак про них нам достеменно не відомо, оскільки вони не були поширеними і не зустрічались у дикому вигляді, тобто на комп’ютерах реальних користувачів. Якщо ці програми і були, то лише на рівні наукових розробок. Серйозні ж віруси з’явились у СРСР, у тому числі і на території України, у 1988 році. Коли IBM-PC сумісні комп’ютери масово хлинули на радянський ринок, а також почали створюватись їх радянські аналоги, наприклад ЄС-1840 ІСКРА-1030 і НЕЙРОН, тим не менше на цих системах вже були віруси, які у той час були досить простими. Їх задача була в тому щоб просто розмножуватись, робили вони це за допомогою дискет, які використовували користувачі для обміну документами, програмами чи іграми.

Взагалі перший комп’ютерний вірус, який з’явився у Радянській Україні і взагалі у СРСР було детектовано у серпні 1988 року. Він називався C-648. У той час існувала єдина класифікація вірусів і віруси категорії C – заражали *.сом файли. Це особливий формат виконувальних файлів MS-DOS, а 648 – це розмір вірусу 648 байт. Як правило при заражені файлу, віруси збільшували його довжину на свій розмір. Часто вірусам давали унікальні назви, так цей вірус називали Venna (Відень), або Віденський вірус, через орієнтовне місце його розробки.  Далі з’явились інші віруси, одним із найбільш активних був RS-1701, у цього вірусу був дуже цікавий ефект – опадання букв на екрані монітора. І той і інший вірус були створені у Європі, а дуже багато вірусів у той час створювалось у Болгарії. У 1988-1989 роках почали розроблятись і перші засоби боротьби з вірусами, різноманітні програми по типу Вірус Д1,  СЄРУМ та  інші, які не мали системного характеру , вони боролись лише з конкретними вірусами, однак оскільки їх було не дуже багато, то такий спосіб був досить ефективним. Тобто в середньому антивірусна програма тих часів містила у собі антивірусні бази для детектування 30-100 вірусів. Більш просунуті могли виявити 300 вірусів, тобто рахунок йшов на одиниці, десятки чи сотні, однак аж ніяк не сотні тисяч чи мільйони загроз як зараз.

Важливо відмітити цікаву особливість: у радянському союзі зростало багато цікавих до всього нового людей, які дуже любили створювати щось нове і знаходити практичне застосування свої навичок. А оскільки ІТ-галузь у радянському союзі була розвинута дуже слабко, то навички програмування було ніде застосувати і самореалізуватися такі молоді люди можливості не мали. Саме тому з’явилась дуже велика і потужна радянська школа створення вірусів, і мабуть, більша частина якої була присутня в Україні, зокрема у Києві та Харкові. Було створено дуже багато технологічно нових вірусів з новими можливостями. Так, на початку 90-х років двадцятого сторіччя хакери з території СНГ писали чи не найбільше вірусних загроз у світі.  

Зараз, на жаль, Україна являє собою у певному сенсі «Дикий Захід», де дуже багато чого можна зробити і дуже невелика вірогідність покарання за вчинені злодіяння. Завдяки цьому в Україні створюється дуже багато шкідливого ПЗ. Наші хакери прославляють Україну у всьому світі в негативному сенсі, ми часто на слуху, велика кількість шкідливого ПЗ створюється або ж управляється з України. Як правило, такі атаки проводяться кібер-угрупованнями на громадян і компанії за межами України, але інколи орієнтовані і на користувачів у нашій країні.

Ситуація із розповсюдженням загроз у нашій країні є дуже сумною. І це пов’язано із певною низкою причин. По перше, щоб ефективно захищатись від шкідливого ПЗ потрібно користуватись різними засобами інформаційної безпеки: оновленими версіями програмного забезпечення, ліцензійним ПЗ, яке поступає із довірених джерел, напряму від розробників. У нас в країні з цим досить складно, практично відсутня культура використання ліцензійного ПЗ, фактично на дуже великій кількості ПК встановлені піратські операційні системи, зокрема Windows XP, яка не оновлюється, а значить не усуваються вразливості в самій операційній системі, що дозволяє вірусам дуже легко самостійно потрапляти на комп’ютери і довго залишатись непоміченими. Нездатність населення купувати дороге антивірусне ПЗ чи інші програми для інформаційного захисту призводить до того, що багато комп’ютерів виявляються просто не захищеними.

По статистиці антивірусної лабораторії Zillya! близько 25-35% комп’ютерів в Україні заражені вірусами, тобто мова йде не просто про комп’ютери які стикалися з вірусами, на які шкідливе ПЗ намагалось проникнути, а саме про зараженість.

Які саме види загроз найчастіше загрожують українцям?

За масовістю – найбільш розповсюдженими є рекламні модулі. Для цього типу шкідливого ПЗ дуже важко провести межу між шкідливим і безпечним програмним забезпеченням. Різноманітні тул бари, програми, які проникають в браузери і збирають статистику про вас, підмінюють результати пошукових видач, показують додаткову рекламу. Найчастіше вони заявляють, що є легальними програмами і створені для: прискорення роботи ПК, Інтернету, збереження паролей чи блокування реклами і багато інших видів діяльності. У зв’язку з цим не має однозначного трактування антивірусними компаніями чи є програма шкідливою чи ні. І якщо ви спробуєте перевірити подібну програму за допомогою багатоядерного он-лайн сканеру, наприклад VirusTotal, до якого зараз підключено 57 різних антивірусів, то переконаєтесь що з 57 – тільки 20 скажуть, що програма є рекламним модулем, інші 37 промовчать – показуючи, що програма нешкідлива.  Чи це означає, що погано спрацювали лабораторії 37-ми вендорів, які не додали програму в бази, чи інші 20 вендорів помилились і у них відбулось хибне спрацювання. Насправді, тут мова йде про політику детектування. Про ту вузьку грань поганого і хорошого, яка встановлюється розробниками антивірусів.

На другому місці за популярністю є троянські програмі, які направлені на крадіжку інформації, вимагання грошей з користувачів. Найпопулярнішими є програмі які крадуть доступи до електронних гаманців чи кредитних карт, при чому дані можуть крастись як у домашніх користувачів, так і у організацій, коли крадуться доступи до клієнт банків і одразу ці гроші переводяться на підставні рахунки.

На початку 2015 року небувалої активності набули програми-криптувальники, які шифрують дані і вимагають викуп для розблокування. А ще два роки тому популярними були блокувальними комп’ютерів, які лише блокували і могли досить легко бути нейтралізовані.  На жаль для шифрувальників використовують криптостійкі алгоритми і гарантувати розшифрування ніхто не може.

Варто згадати що досить значно поширеними все ще є файлові віруси, за останній рік найпоширенішим був virus.sality, який інфікує багато файлів на комп’ютері і здатен переміщуватись через USB-накопичувачі і достатньо хитро протидіяти виявленню його в системі. Хочу ще раз нагадати, що від файлових вірусів систему можна вилікувати, а троянські програми чи рекламні модулі потрібно просто видаляти з комп’ютеру.

Кібершпигунство

Окремою історією з комп’ютерними вірусами є кібершпигунство. Електронно-обчислювальні системи використовуються не тільки домашніми користувачами, але й бізнесом та органами влади, при цьому у них використовуються такі ж самі IBM-PC сумісні комп’ютери в основному з операційною системою Windows і схожим програмним забезпеченням. Нажаль, більшість комп’ютерів у державних органах також можуть бути атаковані загрозами для домашніх користувачів. У зв’язку з цим ми спостерігаємо багато заражень і втрат саме конфіденційної державної інформації, а інколи навіть секретної. Троянські програми, які проникають в державні органи можуть не тільки красти інформацію, але й проводи різноманітні диверсії. Так у світовій практиці відомі випадки заражень важливих стратегічних об’єктів, які були виведені з ладу чи була змінена їх робота.

Наприклад, дуже гучний скандал відбувся у 2010 році. Це зараження троянською програмою секретного режимного об’єкту. Мова йде про зараження комп’ютера на заводі по збагаченню ураном в Натанзі, Іран. Дана троянська програма впливала на обладнання і перепрограмувала контролери компанії Siemens, які управляли центрифугами реактору для збагачення урану. Вони змінювали швидкість руху центрифуг і порушували сам процес ядерного синтезу. Троянська програма мала дуже багато сучасних новацій та розробок  і змогла проіснувати непомітною декілька місяців і в результаті порушила процес збагачення.  Використаний за цей проміжок часу уран було просто зіпсовано. Це була дуже серйозна атака на ядерну програму Ірану і, по даним експертів, ядерна програма країни була відкинута назад на декілька років.

В Україні подібний інцидент відбувся у травні 2014 року під час президентських виборів Ряд серверів ЦВК, були заражені троянськими програмами, які змінювали роботу системи і створювали набори файлів, які модифікували вигляд офіційної сторінки результатів виборів, чим намагались спровокувати політичний конфлікт чи поставити під сумнів реальні результати виборів. Зараження систем відбулось по класичній схемі троянізації, ніяких суперскладних програм не використовували. Просто відбулось зараження певних комп’ютерів, потім шкідливе ПЗ перейшло на інші комп’ютери на яких відбувалась постановка троянських задач в середині операційної системи. На одному з серверів у планувальник була поставлена задача створити на диску два файли з конкретним вмістом, що мало призвести до модифікації офіційного сайту.

Хто проводить кібератаки?

Громадськість завжди цікавить запитання хто написав програму? Хто стоїть за кібератакою? І т.д.

На жаль у кіберсвіті  існує дуже багато анонімності. По певних деталях в коді вірусу, характеристиками в виконуваних фалах, як правило, можна зробити певні висновки, на якій мові розмовляють хакери, що пишуть код, яких стиль чи методи програмування використовувався. Можливо створена програма схожа на ту, яку виявили раніше, а вже про попередню відомо хто і де її створив.  Теоретично якщо правильно налаштовано мережеве обладнання можна запротоколювати джерело атаки на систему, однак на практиці виявити це не завжди є можливим. І тому не дивно що не вдалося одразу виявити винних у атаці на ЦВК.

То ж, сподіваюсь, зараз слова мережевий хробак чи троянська програма не є для вас чимось дивним і не зрозумілим. Ви знаєте класичні загрози і розумієте звідки можна очікувати їх атаку. У наступній лекції ми поговоримо про те, як змінились загрози інформаційної безпеки у сьогоденні та розглянемо одну з найголовніших загроз інформаційної безпеки - соціальну інженерію!

Конспект лекції "Історія комп'ютерних вірусів": 

Сьогодні ми поговоримо про історію комп’ютерних вірусів. Ви дізнаєтесь, як з’явились перші комп’ютерні віруси, хто і навіщо їх створив, якими вони були і як змінювались з плином часу. Також Ви зрозумієте чому саме Ваш комп’ютер цікавий зловмисникам, на чому заробляють автори комп’ютерних вірусів. В кінці лекції ми зупинимось на портреті сучасного хакера, а також дамо відповідь на класичне питання: чи пишуть антивірусні компанії віруси?

Історія комп’ютерних вірусів

Власне, як і у всьому прогресивному, всі новітні речі спочатку вигадують талановиті люди, письменники-фантасти та вчені-теоретики – так сталося і з комп’ютерними вірусами.

Вперше про комп’ютерні віруси почали говорити ще у кінці 40х років ХХ століття. Так відомий вчений Джон фон Нейман, читав серію лекцій «Теорія організації складних автоматів» у Нью-Йоркському університеті, у якій мова йшла про автомати чи машини, які зможуть самостійно копіюватись.  У подальшому віруси досить часто розглядались у книгах та фільмах в основному з точки зору наукової фантастики. При цьому комп’ютерним вірусам часто надавались певні містичні можливості. Люди вважали, що комп’ютерні віруси матимуть штучних інтелект, зможуть захопити світ та контролювати машини самостійно.

У другій половині минулого століття вчені активно експериментували з вірусами, але це були виключно лабораторні досліди. 

Перший вірус у «дикому» середовищі, тобто на комп’ютері реальних користувачів був створений для ПК компанії Apple лише у 1981 році. І зробив це  15-річний юнак, який не переслідував жодної корисливої мети. Нічого поганого вірус не робив, він лише виводив на екран зображення, про те, що комп’ютер заражений вірусом Ель-клоно.

Перші віруси для IBM PC-сумісних комп’ютерів, тобто тих, які ми використовуємо у повсякденному житті, крім Apple-сумісних, створили у 1987 році у Пакистані двоє братів-програмістів, які навіть вказали свої імена, адресу та телефон в коді вірусу. Вони зробили це для того щоб визначити рівень піратства в їх країні, тобто просто хотіли виміряти на скільки часто їх програми будуть копіюватись з одного комп’ютера на інший. Важливо відмітити, що тоді це був абсолютно безневинний вид діяльності.

Далі за ідею створення комп’ютерних вірусів вже більш активно вхопилась молодь, цих підлітків прийнято називати – кіберпанками. Їм поступово стало не цікаво писати прості віруси, хотілось себе проявити, стати відомими і так з’явились перші деструктивні комп’ютерні віруси – головною метою яких було повне знищення інформації на комп’ютері. Саме цей тип вірусів дуже сильно налякав світову спільноту і фактично спонукав до створення антивірусної галузі як такої.

У 1987 році почались перші серйозні епідемії. Наприклад, вірус «Єрусалим», який отримав назву міста, в якому його було знайдено. Цей вірус кожну п’ятницю 13-го числа видаляв всі файли, які можуть бути запущені на комп’ютерах користувачів, а оскільки Інтернету тоді не було, то і нізвідки було завантажити нові файли. Епідемія була настільки серйозна, що у багатьох компаніях було заборонено вмикати комп’ютери в п’ятницю 13-го числа.

Далі віруси поступово розвивались, з’явились віруси практично для всіх існуючих операційних систем. Є віруси для Unix, Linux, Windows, Android, MacOS, Symbian, iOS та інших.  Практично під усі типи операційних систем, які дають можливість встановлення додаткового програмного забезпечення, існують віруси. З’явились перші поліморфні віруси, тобто віруси, які можуть змінювати свій код після зараження нового файлу, шифровані віруси, з появою мереж, з’явились взагалі нові види шкідливих програм: мережеві хробаки, троянські програми, завантажувальники, руткіти, але про них ми поговоримо детальніше дещо пізніше.

З появою операційної системи Windows 95, розробники цієї ОС заявляли, що для неї взагалі не можливо створити віруси і вона буде найбільш захищеною. Але вже через 3 місяці керівництву Microsoft показали, що вони досить сильно поспішили з такими гучними заявами.

Варто згадати декілька найбільш гучних випадків заражень у світовій історії.

У 1995 році почалась епідемія вірусу «Чорнобиль», інша його назва –WinChih. Чому Чорнобиль і чому він так запам’ятався нам?  Цей вірус був небезпечний тим, що кожний рік 26 квітня знищував дані BIOS - це первинна операційна система, на кожному комп’ютері,і фактично виводив з ладу комп’ютер. Здавалось, що створили вірус який може фізично зламати комп’ютер.  Але все таки фізично комп’ютер не ламався, просто процедура відновлення BIOS у той час була досить коштовною і інколи простіше було придбати нову материнську платну ніж відновлювати стару.

Знову ж, цікавим є той факт, що автор вірусу був знайдений. Ним виявився мешканець Південної Кореї, він навіть зізнався у скоєному, але оскільки в Південній Кореї на той час не було відповідного законодавства і постраждалих від вірусу в самій Кореї, то автор вірусу не поніс ніякого покарання.

Вже у кінці 90-х років американські компанії активно використовували електронну пошту як основний засіб документообігу. У 1999 році була поширена епідемія мережевого хробака «Меліса», який розповсюджувався по електронній пошті, заражаючи комп’ютери, при чому сам по собі він не запускався і не завдавав шкоди комп’ютеру. Він просто сам пересилався на всі адреси, із книги контактів.  Практично користувачам надходив лист від знайомого з повідомленням: «Ой подивись, який цікавий файл». У разі запуску файлу активувався сам вірус і розсилав далі подібні повідомлення. Тобто, по суті, перші віруси запускали самі користувачі. При тому що сам хробак не виконував шкідливих функцій безпосередньо на комп’ютерах – масовість розсилок створила дуже серйозне навантаження на корпоративні поштові сервери.  Як наслідок, ряд компаній були просто паралізовані, оскільки документообіг було заблоковано.

Виходили нові операційні системи і створення вірусів для них було і є досить серйозним викликом для зловмисників. Так, існувала думка, що не існує вірусів для операційної системи Linux та Unix, але вірусів для них також було написано досить багато. У 2000 році почалась епідемія вірусу RedLove для операційної системи Linux. Найбільш важливим тут було те, що вірус використовував для зараження вразливість в самій операційній системі і міг вільно розповсюджуватись між комп’ютерами в мережі, а оскільки користувачі Linux не користуються антивірусами, то  боротись з епідемією довелося близько року і зараженими виявились сотні тисяч комп’ютерів.

У різні часи було багато міфів про комп’ютерні віруси. Ще коли я був студентом і монітори були з електронно-променевими трубками,  існував міф, що існує вірус який може звести промені в центр екрану, пропалити екран та вбити людину, яка сидить перед монітором. Також був міф, що існують віруси, які можуть знищити жорсткі диски, спалити процесор та оперативну пам’ять комп’ютера і так далі. Як правило всі містифікації ідуть навколо можливості комп’ютера впливати на оточуючий світ. Навіть була думка, що існують віруси, які можуть показати на екрані таку кольорову гаму, яка  могла б вбити користувача, або принаймні звести його з розуму. Насправді все це – містифікація. Ніякими такими можливостями віруси не володіють.

Ще одна містифікація, яку приписують вірусам – це можливість розмножуватись у фантастичних умовах, мало не поклавши заражену флешку біля комп’ютера. Але ми маємо розуміти, що вірус це програма і він підпорядкований усім правилам, які властиві комп’ютерним програмам.

Хоча в реальному світі користувачу доволі складно розібратись де може бути вірус, а де – ні. Наприклад, ще 10 років тому панувала думка, що у файлах зображень, вірусів бути не може.  І якщо Вам надійшло зображення, і ви його відкриєте, то заразитись Ви не зможете. Але вже через декілька років була знайдена вразливість в ряді форматів графічних файлів, яка дозволяла при відкритті картинки певними переглядачами запускати так званий шел-код  вірусу, який активував троянську програму, що встановлювалась на комп’ютер.

То ж якщо зараз, відкривши певний формат документу заразитись вірусом не можна, це не означає що це не може стати можливим вже через тиждень.  І якщо Ви не професіонал, який слідкує за останніми новинами в галузі, краще виходити з того, що будь-яка Ваша дія, направлена на відкриття документу чи запуск певної програми, підключення зовнішнього накопичувача, будь-яке посилання, яке Ви можете відкрити з комп’ютера чи мобільного пристрою теоретично може призвести до зараження Вашого комп’ютеру.

Тому, Вам потрібно уникати таких дій у випадку отримання вами сумнівної інформації, з підозрілих джерел. Ще раз наголошую, що Вам варто звертати увагу на те від кого ви отримуєте файли і за яких умов. Інколи краще перепитати у друга в Skype чи дійсно він відправляв вам цей файл чи посилання.

Чим саме Ви та Ваш комп’ютер цікавий зловмисникам?

Розглянемо більш детально чим саме Ви та Ваш комп’ютер цікавий зловмисникам?

Більшість користувачів вважають, що якщо у них немає якоїсь вкрай важливої інформації, то комп’ютерні віруси для них не несуть значної загрози і максимум що може від них вимагатись це перевстановити Windows у разі потреби. Але це дуже неправильна думка і зараз ми розглянемо детально це питання.

Навіть якщо Ви не виконуєте фінансові операції на комп’ютері, смартфоні чи планшеті, кожен з Вас має певну чуттєву конфіденційну інформацію, будь-то електронна пошта чи акаунт соціальних мереж і, отримавши доступ до них, зловмисники зможуть атакувати Ваших рідних, знайомих, а вже в них можуть бути отримані дані кредитних карток чи он-лайн банкінгу, які зможуть вкрасти зловмисники. З Вашого комп’ютера можуть розсилати СПАМ, він може бути частиною системи, яка здійснює атаки на сайти. У 2014 році ми часто чули новини про те, що на сервери державних установ України здійснюються DDos-атаки і саме Ваш незахищений комп’ютер може брати в цьому участь без вашого відома! Фактично не захищаючи свій комп’ютер ми стаємо співучасниками кіберзлочинів в глобальній мережі. 

Зупинимось більш детально на конкретних персональних загрозах саме для Вас. Практично будь-яка інформація цікава зловмисникам! Як вже зазначалось, найпростішим варіантом є викрадення паролів та логінів доступу до електронної пошти чи соціальних мереж, але інколи ми не розуміємо, що зловмисникам цікава практично будь-яка інформація. Наприклад звичайного згадування в facebook про те, що Ви збираєтесь у відпустку вже достатньо, щоб знати коли можна буде пограбувати Вашу квартиру.  І дуже часто органи внутрішніх справ рекомендують не показувати свої плани для широкого кола користувачів в соціальних мережах. Також зловмисники можуть знати коли ви отримаєте заробітну платню, щоб пограбувати Вас на вулиці. За допомогою зараженого комп’ютера за Вами можуть просто банально стежити.

Але звичайно ж головна мета зловмисників це – фінансові дані, тобто, якщо ви розраховуєтесь в мережі карткою, маєте електронний гаманець платіжної системи чи використовуєте інтерне-банкінг, то саме ця інформація є найбільш ласим шматочком для кіберзлочинців. Цій проблемі ми присвятимо окрему лекцію.

Бот-нет

Найпоширенішим видом кіберзлочинів є створення бот-мереж, та використання їх зловмисниками на власних розсуд. Що таке бот–мережа? Є велика група троянських програм, які інфікуючи Ваш комп’ютер роблять з нього бота, тобто «машину-зомбі», яка буде виконувати накази зловмисників. Таких заражених комп’ютерів можуть бути десятки та сотні тисяч або навіть мільйони. І всі вони звертаються в один командний центр за отриманням інструкцій. Така сукупність заражених комп’ютерів і називається бот-нетом. У разі потреби вони можуть виконати одну команду, отже, вони працюють як одна армія.

Найпопулярнішою дією бот-нетів зараз є DDoS-атака, мета якої – відмова обслуговування сервером. В Інтернет існує безліч сайтів. Якщо потрібно на певний проміжок часу вивести якийсь з ладу, використовують DDoS-атаки. Зловмисники дають команду всьому бот-нету зайти на певний сайт одночасно, відповідно сервери не готові до таких навантажень. Наприклад, стандартне навантаження на сайт 1000 відвідувань у день, а тут раптово сайт відвідують 50,000 умовних користувачів лише за хвилину. Реальний користувач, який дійсно хоче зайти на сайт – не зможе цього зробити, адже сайт просто не буде працювати – це і називається DDoS-атакою на сайт. Такі види атак дуже популярні у нас в країні серед інтернет-магазинів особливо на новорічні свята, а також використовуються для блокування сайтів державних органів влади: Президента, МВС, інших державних установ тощо.

Тобто якщо на Вашому комп’ютері встановлена така програма-бот, то Ви і Ваш ПК стаєте співучасником цієї атаки. Вам це нібито не зашкоджує, але це схоже на ситуацію, коли людина хвора на туберкульоз вільно користується громадським транспортом, вона вже хвора, а на оточуючих їй байдуже.  Аналогічно і тут: Ваш комп’ютер – це плацдарм для атаки на інші ресурси.

Інший спосіб використання бот-нетів – це розсилка СПАМу, який вже всім набрид і, мабуть, кожен думав чому б не закрити просто сервери, які займаються розсилкою спаму. Відповідь дуже проста - немає єдиного вузла для розсилки спаму. Є бот-нет на 10 000 ПК, і щоб розіслати мільйон повідомлень, просто кожен комп’ютер розсилає 100 повідомлень. І в результаті по 100 з кожного можна розіслати мільйон листів дуже швидко, в результаті володарі бот-нетів постійно отримують заявки на розсилку СПАМу і при цьому наші заражені комп’ютери і виступають засобом розсилки.

Бот-нети також можуть виконувати і інші дії, зокрема збирати інформацію про Вас, і якщо потрібно дозавантажувати додаткові шкідливі програми на Вам комп’ютер.

Здирники

Мабуть, багато з Вас стикались з програмами «здирниками», які блокують роботу комп’ютера і вимагають сплатити певну суму на електронний гаманець, начебто за відвідування заборонених чи порнографічних сайтів. Часто такі програми маскуються під повідомлення від органів внутрішніх справ. Запам’ятайте – це шкідливі програми і навіть якщо ви сплатите кошти ніхто не буде розблоковувати Ваш ПК, адже в момент передачі коду розблокування зловмисника можуть спіймати і йому набагато простіше просто забрати гроші. У разі виникнення подібної ситуації - одразу зверніться у сервісний центр.

Шифрувальники

Однак, програми здирники, є набагато меншою загрозою у порівнянні з програмами шифрувальниками, які проникаючи на комп’ютер починають поступово шифрувати всі данні, а потім вимагають кошти за розшифрування. І в цьому випадку ризик повної втрати інформації є дуже високим, адже рівень шифрування є високим і жодна антивірусна компанія чи компанія з відновлення даних не зможе гарантувати відновлення інформації. До того ж, навіть у разі сплати коштів ніхто не буде Вам висилати код розблокування. У нашій практиці був випадок, коли професійних фотограф втратив дуже багато знімків через подібну шкідливу програму.

Сучасний хакер.

Поговоримо про сучасних хакерів? Хто вони такі і що собою уявляють.

Не варто розглядати сучасних хакерів та кіберзлочинців як одинаків – це дуже добре організовані злочинні угрупування, зі своїм бізнес-планом, розподіленою відповідальністю. Є люди які займаються фінансами, приймають платежі за роботу, є розробники, психологи,  керівники. Це добре організовані команди, які розуміють психологію користувачів, можуть написати шкідливу програму будь-якого рівня складності. Вони розуміють коли потрібно запустити шкідливу програму, як її можна розіслати, як заразити максимальну кількість користувачів. Часто автори вірусів кооперуються з іншими зловмисниками, наприклад тими, що зламують сайти.

Так, існує думка, що найбільша ймовірність заразитись троянською програмою є на сайті із порнографічним змістом, однака насправді це не зовсім так, адже бізнес контент для дорослих є досить прибутковим і власникам таких сайтів просто не потрібно підставляти себе заражаючи власні сайти.

Найбільш реальна ймовірність заразитись троянською програмою зараз існує на звичайному для нас сайті, який просто спеціально зламується і буквально за декілька годин, поки власники ресурсу усунуть проблему, відбувається зараження десятків чи сотень тисяч відвідувачів.

Тож розуміємо, що хакери це дуже добре організовані злочинні угрупування які добре розуміють психологію користувачів і використовують широкий набір методів для того, щоб заразити найбільш широку аудиторію.

Спростуємо відомий міф: Чи пишуть антивірусні компанії віруси?

Існує доволі розповсюджена думка, про те що антивірусні компанії пишуть віруси. Насправді це не так, наприклад в Антивірусну лабораторію Zillya! щодня приходить на аналіз близько 100 тисяч зразків нових потенційно шкідливих програм, і близько 60% з них є дійсно шкідливими. Лише уявіть – щодня потрібно створити близько 60,000 нових записів у антивірусних базах. Тобто існує величезний потік роботи по обробці нових видів загроз, вдосконаленню методів їх діагностики і у антивірусних компаній просто немає потреби у створенні додаткових шкідливих програм. Як ми вже говорили, створенням вірусів займаються багато добре організованих злочинних угруповань.

То ж тепер Ви дізналися, як і чому з’явились перші комп’ютерні віруси, розумієте чим саме Ваш комп’ютер цікавий зловмисникам, ким є сучасних хакер і які основні способи заробітку для нього. У даній лекції Ви почули можливо незнайомі терміни, як то троянська програма, мережевий хробак, руткіт. Власне, у наступній лекції ми розглянемо різні види шкідливих програм, особливості їх функціонування, що дасть Вам можливість краще розуміти можливості захисту від них.