Хакерские утилиты и прочее вредоносное ПО
•утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
•программные библиотеки, разработанные для создания вредоносного ПО;
•хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
•«злые шутки», затрудняющие работу с компьютером;
•программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
•прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.
61
Дополнительные термины
•Снифферы (sniffers - нюхачи) - это программное обеспечение, которое позволяет просматривать содержимое сетевых пакетов, перехватывать трафик в сети и анализировать его.
•DoS (DDoS) - программы. DoS-программы реализуют атаку с одного компьютера с ведома пользователя. DDoS-программы (Distributed DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователя зараженного компьютера. Для этого DDoS-программа засылается любым способом на компьютер «жертв-посредников» и после запуска в зависимости от текущей даты или по команде от «хозяина» начинает DoS-атаку на указанный сервер в сети. (7 мая 1997 года был обнародован принцип самой, пожалуй, нашумевшей DOS-атаки под названием WinNuke. Ее жертвами становились Windows-системы. Автор метода поместил его описание и исходный текст программы в несколько news-конференций. Ввиду его крайней простоты практически каждый человек мог
вооружиться этим новейшим оружием. Очевидной первой жертвой стал www.microsoft.com. Данный сервер был выведен
из строя более двух суток. Microsoft.com прекратил
62
откликаться в пятницу вечером (9 мая) и только к обеду
Дополнительные термины
•Exploit, HackTool - взломщики удаленных компьютеров. Хакерские утилиты данного класса предназначены для проникновения в удаленные компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа «backdoor») или для внедрения во взломанную систему других вредоносных программ.
•Хакерские утилиты типа «exploit» при этом используют уязвимости в операционных системах или приложениях, установленных на атакуемом компьютере
63
Riskware
•К классу программ Riskware относятся легальные программы (некоторые из них свободно продаются и широко используются в легальных целях), которые, тем не менее, в руках злоумышленника способны причинить вред пользователю и его данным.
•Возьмем, например, программу удаленного администрирования WinVNC. Данная программа позволяет получать доступ к интерфейсу удаленного компьютера и используется для удаленного управления и наблюдения за удаленной машиной. Таким образом, данная программа является легальной, свободно распространяемой и необходимой в работе добропорядочных системных администраторов или других технических специалистов.
Adware
•Рекламное программное обеспечение (Adware, Advware,) предназначено для показа рекламных сообщений - чаще всего, в виде графических баннеров - и перенаправления поисковых запросов на рекламные веб-страницы.
•За исключением показов рекламы, подобные программы, как правило, никак не проявляют своего присутствия в системе - отсутствует значок в системном трее, нет упоминаний об установленных файлах в меню программ. Зачастую у Adware- программ нет процедуры деинсталляции.
•На компьютеры пользователей Adware попадает двумя способами:
•путем встраивания рекламных компонентов в бесплатное и условно-бесплатное программное обеспечение (freeware, shareware);
•путем несанкционированной установки рекламных компонентов при посещении пользователем «зараженных» веб-страниц.
65
которых размещены
вредоносные программы по данным лаборатории Касперского
66
TOP 10 угроз в интернете (2012г.)
67
Данные Symantec
•В прошлом году в антивирусные базы Symantec было добавлено почти 2,9 млн. сигнатур — на 71% больше, чем в предыдущем.
•Основным методом распространения вредоносных программ в отчетный период были загрузки с зараженных веб-страниц.
•Большинство наблюдаемых эксплойтов ориентированы на уязвимости IE-браузера и приложений для работы с документами в pdf-формате.
•По оценке Symantec, около половины заражений через Сеть в 2009 году происходило путем загрузки зловредных pdf-файлов. Для привлечения посетителей на зараженные ресурсы злоумышленники нередко используют социально- инженерные приемы и рассылку рекламного спама.
68
Угроза месяца (май 2012)
•Trojan.Matsnu.1 - троян написанный на языке Ассемблер, распространяющийся в виде заархивированных исполняемых файлов, вложенных в почтовые спам- сообщения с темой, в которой упоминается имя получателя. Если пользователь открывает архив и запускает содержащееся в нем приложение, троян шифрует обнаруженные на дисках файлы пользователя и демонстрирует на экране компьютера сообщение о блокировке системы либо о ее заражении трояном- кодировщиком. Злоумышленники просят пользователя не выключать компьютер во избежание потери данных. Для расшифровки файлов, вирусописатели предлагают воспользоваться одной из наиболее распространенных на территории Европы платежных систем.
69
•Одновременно с демонстрацией данного сообщения троян ожидает поступления команд от удаленного управляющего центра. Среди принимаемых Trojan.Matsnu.1 директив можно отметить следующие:
•убить систему (удалить все файлы на жестких дисках);
•загрузить с сайта злоумышленников указанную программу и запустить ее;
•загрузить и продемонстрировать другие изображения для диалогового окна;
•сохранить на диск, присланный исполняемый файл и запустить его в виде
фонового процесса;
•расшифровать файлы (ключ присылается с сайта злоумышленников вместе с командой);
•зашифровать файлы еще раз с использованием вновь сгенерированного ключа;
•обновить список управляющих серверов;
•обновить основной модуль трояна.
70
71