Характерные признаки заражения компьютера вредоносным ПО

Профилактика вирусных заболеваний ПК

Трудно найти пользователя ПК, который никогда не слышал о компьютерных вирусах. Это одна из самых широко известных проблем. Однако она же, наверное, самая запутанная и мифологизированная. Часто даже ИТ-специалисты высказывают крайне противоречивые мнения о компьютерных вирусах. Цель данной статьи — осветить часто задаваемые вопросы о вредоносных программах и организации многоуровневой защиты от них. Как снизить вероятность заражения? Чтобы ответить на этот вопрос, нужно сначала разобраться, от чего же мы хотим себя защитить.

История

Сейчас трудно сказать, когда появились первые компьютерные вирусы, поскольку само понятие компьютерного вируса достаточно размытое. В быту вирусами часто называют любую программу, мешающую работать. В словарях и энциклопедиях вирусом называют программу или часть программы, способную к самокопированию в другие программы или на другие компьютеры. С этой точки зрения, вирусом не является «самоперемещающаяся» программа, удаляющая предыдущую копию после запуска новой (и, таким образом, не размножающаяся). Однако если такая программа перед перемещением будет удалять нужные файлы с диска, то с точки зрения пользователя она — типичный вирус. Её никто не звал, а она пришла, всё испортила и пошла портить дальше. Мы не будем разводить здесь терминологические дискуссии. Считайте, что в этой статье вирусом называется любая зловредная программа.

Если верить Истории компьютерных вирусов на Википедии, то первые самовоспроизводящиеся программы создавали ещё на границе 50-60-х годов прошлого века. Правда, делали это из академического интереса — моделировали на компьютере жизнь организмов. В конце 70-х появляются зловредные программы, которые под видом полезных выкладывались на «электронные доски объявлений» (BBS), но после запуска уничтожали данные пользователей. И вот, в начале 80-х, появились первые «бесспорные» со всех точек зрения вирусы — они размножались и мешали работать. В 1984 году выходит статья Фреда Коэна «Компьютерные вирусы — теория и эксперименты» (Fred Cohen. Computer Viruses — Theory and Experiments), в которой и введён термин «компьютерный вирус».

В том же 1984 году появляются первые антивирусные программы — Check4Bomb и Bombsqad. Check4Bomb искала подозрительные участки в загрузочном модуле (вывод текстовых сообщений, команды записи на диск и т. п.) Такой поиск сейчас принято называть «эвристическим». Он основывается на опытных знаниях о вирусах и понимании того, как должна «правильно» работать ОС. К примеру, вирус Elk Cloner 1981 года показывал стишок при загрузке DOS на ПК Apple II. А зачем вообще загрузчику DOS показывать пользователю длинные сообщения? Вторая программа — Bombsqad — перехватывала операции записи и форматирования, выполняемые через BIOS в обход ОС. Такое наблюдение за работой других программ в реальном времени сейчас называют антивирусным монитором. В 1985 году Том Нефф начал распространять по BBS список опасных заражённых программ («грязная дюжина»). Это — прообраз сигнатурной защиты, то есть поиска заранее известных зловредных программ.

С тех пор идёт непрестанная гонка вооружений: кто-то придумывает всё более изощрённые вирусы, другие разрабатывают более совершенные антивирусы. Гонка вооружений всегда приводит к крупным затратам и быстрому прогрессу участников. Сегодня большинство вирусов и антивирусов являются сложнейшими программными комплексами, в которые вложены тысячи человеко-часов высококлассных программистов. Интересующиеся могут сами поискать в интернете штаты ведущих производителей антивирусных программ и сравнить их со штатом, к примеру, ближайшего завода. Закончится ли когда-нибудь эта гонка? О полной победе над вирусами неоднократно сообщали многие уважаемые специалисты. В 1988 году Питер Нортон назвал компьютерные вирусы несуществующей угрозой, чем-то вроде «городской легенды». В 1995 году Билл Гейтс заявил на пресс-конференции, что выход Windows 95 покончил с вирусной угрозой. Недавно Стив Джобс заверил, что iPhone полностью защищен от вредоносных программ. Увы. Компьютерные вирусы — часть прогресса. Пока идёт прогресс, будут появляться и новые вирусы. Поэтому мы переходим от исторического экскурса к насущным проблемам.

Кто пишет вирусы

Один из распространённых мифов состоит в том, что вирусы пишут сами производители антивирусных программ, чтобы потом продавать свои продукты. Я не буду даже пытаться бороться с этим мифом, так как конспирология обладает всеми признаками религии. А победить религию можно только другой религией. Рационально мыслящим людям же стоит посмотреть Хронологию компьютерных вирусов и червей на Википедии. Авторы многих вирусов известны поимённо, некоторые из них за вирусописательство оказались в местах не столь отдалённых. Назначено вознаграждение за информацию о некоторых лицах, причастных к созданию вирусов. Справедливо сказать, что производители антивирусов иногда «перегревают» интерес к теме, но не более того.

Сложно ли сделать компьютерный вирус? Смотря какой. В самовоспроизведении программы нет принципиальной сложности. Все первые вирусы были написаны одиночками-энтузиастами, часто студентами. Даже сейчас можно создать вирус вообще без специальных средств разработки, с помощью одной только командной строки Windows (см. Bat-вирус). Вот только распространяться по сети он вряд ли будет. С 80-х годов прошлого века ОС существенно поумнели и теперь обладают многоуровневой системой защиты. Они просто не позволят процессу, запущенному рядовым пользователем, менять системные настройки ПК, тем более настройки другого ПК по сети. Подобные простейшие вирусы могут жить только при попустительстве системных администраторов, давших всем полные права на любые действия. Поэтому первый ключевой элемент антивирусной защиты — разграничение прав.

Положим, права разграничены. Тогда вирус должен найти пробел в системе безопасности, обойти защиту. Это уже задача принципиально иного уровня. Все массовые современные ОС написаны большими коллективами с высококлассными кадрами, с многоуровневой системой тестирования и поиска ошибок. Чтобы найти уязвимость, нужны не менее квалифицированные специалисты и не меньшие затраты на организацию работы. Следовательно, в разработку вируса необходимо вложить большие деньги. Если кто-то вкладывает деньги, то либо ему их девать некуда (см. конспирология), либо он хочет получить прибыль. Давайте рассмотрим, какие коммерческие цели преследуют компьютерные вирусы и к каким последствиям они приводят. Поскольку разных зловредных программ сейчас очень много, то для упрощения изложения мы условно разделим вирусы на две группы. Первая — вирусы с изначально записанным вредоносным алгоритмом, не требующие удалённого управления со стороны своего автора. Назовём их автономными. Вторая — вирусы, позволяющие автору удалённо запускать произвольный вредоносный код. Таким образом, автор вируса получает в своё распоряжение целую сеть подконтрольных компьютеров, которую называют «ботнет».

Автономные вирусы

  1. Вымогательство (Ransomware). Такие вирусы блокируют работу ПК (или мешают другим образом) и просят пользователя заплатить за снятие блокировки. Ещё в 1989 году появился вирус AIDS, который шифровал имена файлов на диске C: и просил за расшифровку перевести $189 на счёт в Панаме. Автора AIDS вскоре арестовали при обналичивании чека, однако желающие лёгких денег не переводятся. Сегодня массово распространено вымогательство через блокировку рабочего стола Windows. Чтобы её снять, пользователю предлагается отправить платную SMS на указанный номер. В простейшем случае такой вирус безобиден — вы теряете время на разблокировку по стандартной инструкции (есть на многих сайтах, к примеру у Касперского, у Dr.Web, у ESET). А вот в случае с шифровкой данных заражение может привести к их полной потере.
  2. Воровство данных. В первую очередь производителям вирусов интересны учётные данные — пароли, номера кошельков платёжных систем и тому подобное. Первые вирусы, ворующие пароли доступа в интернет, зафиксированы ещё в 1997 году. Сейчас существует много способов такого воровства, к примеру:
    1. Запустить программу, следящую за действиями пользователя (spyware) — в том числе, за нажимаемыми клавишами (кейлогеры), снимками экрана, посещаемыми сайтами и т. п.
    2. Подложить пользователю вместо настоящей страницы ввода учётных данных поддельную, которая потом отправит пароль «куда следует» (фишинг).
    3. Подложить клиент-серверной программе вместо настоящего сервера поддельный, который извлечёт пароли из передаваемого трафика. Чаще всего для этого изменяются настройки DNS сетевого подключения или содержимое файла hosts. В результате ОС по имени настоящего сервера получит IP-адрес сервера мошенников и отправит ему логин и пароль.
    4. Перенаправить весь веб-трафик на сервера мошенников. Для этого изменяются настройки шлюза или прокси по умолчанию.
    5. Найти и извлечь пароли, которые сохранены в различных прикладных программах. У вас бывало, к примеру, что после замены одной программы обмена сообщениями на другую та автоматом находит и импортирует настройки старой — учётную запись, список контактов? Удобно? Вирусам тоже.

    Ботнеты

    1. Рассылка спама. Ещё в 1864 году зафиксирована первая массовая рассылка рекламных телеграмм. Компьютеров тогда ещё не было, термина «спам» тоже. Слово SPAM появилось в 1937 году и обозначало мясные консервы (то ли SPiced hAM, то ли Shoulder of Pork and hAM, версии расходятся). Выпуск SPAM сопровождался агрессивной рекламой, а во время Второй мировой войны он стал одним из немногих мясных продуктов, более-менее доступных жителям США и Великобритании. В 1970 году британская комик-группа Монти Пайтон высмеяла вездесущие надоедливые консервы SPAM в своём телешоу, и имя SPAM стало нарицательным. В 90-х годах это название закрепилось за нежелательными рекламными рассылками в компьютерных сетях. Сейчас спам составляет порядка 80-85% всех писем электронной почты. И провайдеры, и хостеры, и рядовые пользователи стараются автоматически отсеивать (фильтровать) спам. Спамеры, в свою очередь, стремятся затруднить такую фильтрацию. В частности, им выгодно посылать спам с большого количества разных ПК, а не с одних и тех же серверов, которые (как и C&C-сервера) легко можно заблокировать. Поэтому, рассылка спама — распространённая работа ботнетов.
    2. Вывод из строя интернет-сервисов DDoS-атакой. DoS — аббревиатура от Denial of Service, то есть «Отказ в обслуживании». Злоумышленник отправляет на сервера выбранной жертвы (веб-сайта, электронной почты, платёжной системы и т. п.) большое число запросов-паразитов. Если плотность их потока (т. е. количество запросов в единицу времени) приблизится или превысит порог производительности серверов, то полезные запросы просто не смогут дойти по назначению. Это аналогично тому, как если бы бабушка пришла на почту, а там уже очередь из молодых наглых хулиганов, долго болтающих с симпатичной сотрудницей по ту сторону окошка. Понятно, бабушка свою посылку отправит нескоро. Поскольку производительность современных серверов и, тем более, датацентров значительно превышает производительность рядовых ПК, то для успешной атаки нужно одновременно слать паразитные запросы с большого числа ПК. Это и есть DDoS (от английского Distributed DoS) — распределённая DoS-атака. Это как если бы на почте хулиганы не в очереди стояли, а лезли бы и через дверь, и через все окна, и даже из подсобки. Тут у бабушки вообще шансов нет. Понятно, что для организации DDoS удобно использовать ботнет. Сначала злоумышленник может, оставаясь незамеченным, набрать критическую массу компьютеров-зомби. Затем модулям ботнета отдаётся команда начала атаки в заданное время. Когда сайт (или сервер электронной почты или любая другая служба) подверглась успешной DDoS-атаке, то его владелец получает простой и потери денег. Если атакованная служба из-за перегрузки вдобавок поведёт себя некорректно — выдаст страницу ошибки с системной информацией, станет неправильно проверять логины и пароли и т. п., — то возможны и далеко идущие последствия.
    3. Подбор паролей. Самый универсальный способ узнать чужой пароль — просто подобрать его, перепробовав все возможные варианты. Если никакой дополнительной информации о пароле нет (ни его длины, ни его отдельных частей и т. п.), то придётся перебрать все возможные комбинации букв, цифр и специальных символов. Чтобы прочувствовать масштаб задачи, попросите коллегу загадать двухбуквенный пароль и попробуйте отгадать его. Подбор же длинного пароля (8-10 символов) требует колоссального количества попыток. Поэтому такую атаку принято называть «грубой силой» (brute-force attack). Чтобы применить грубую силу, её сначала нужно иметь. Чем больше ПК параллельно пробуют пароли, тем в среднем быстрее они найдут нужный. Поэтому мошенники выносят подбор в ботнеты.
    4. Анонимный доступ для других злоумышленников. В вестернах злодей выходит к герою грудь на грудь, револьвер на револьвер. Жизненный опыт подсказывает, что реальные преступления обычно совершаются из-за чужой спины, а лучше из-за тёмного угла. Киберпреступления — аналогично. Поэтому когда нужно сделать «грязную работу» — перевести деньги со взломанного счёта или даже просто опубликовать компромат, то лучше поручить это «ПК-зомби». Ещё лучше, чтобы команду на это действие «зомби» получил от другого «зомби», а тот — от третьего и так далее, пока следы заказчика не потеряются. Есть и открытые системы анонимного доступа в сеть — к примеру, TOR. Однако известность TOR приводит и к целенаправленной борьбе против него. Доступ к некоторым сайтам закрыт с IP-адресов серверов TOR. Поэтому для преступников гораздо привлекательней использовать до поры до времени неизвестный ботнет.
    5. Хостинг преступных сервисов. Выше я упоминал про фишинг и перенаправление траффика на сервера мошенников. Если бы сервера постоянно были одни и те же, то их бы нашли и заблокировали. Поэтому преступникам выгодно создавать их средствами ботнета.
    6. Накрутка рейтингов. «ПК-зомби» имитирует заходы пользователей на определённые сайты, голосует там или просматривает рекламу и т. п.

    Во всех перечисленных случаях пользователь заражённого ПК получает огромный объём сетевого траффика. Бывает, что полезные интернет-приложения просто не могут через него «пробиться», и пользователь после заражения жалуется на медленную работу интернета. Иногда в качестве ответной меры провайдер ограничивает доступ в сеть таким ПК. В частности, наша компания сталкивалась с блокировкой отправки любой электронной почты с заражённых ПК. Проблема решается звонком в техподдержку провайдера после излечения от вирусов.

    Компьютерный вирус среди других современных опасностей

    Нетрудно заметить, что перечисленные цели — воровство, вымогательство, вредительство — могут быть достигнуты и без привлечения высокооплачиваемых компьютерных специалистов. Поэтому чтобы точнее очертить круг вирусной угрозы, давайте проанализируем достоинства и недостатки этого вида криминального бизнеса.

    Цена создания вируса высока. Если требуется украсть один пароль, то обычно это проще сделать «традиционным» путём — к примеру, шантажом знающего пароль человека. Некоторым кажется, что написание вредоносной программы — это чистая работа, а шантаж — грязная уголовщина. Спешу расстроить: оба варианта являются уголовно-наказуемыми. Но об этом позже. В целом, безопасность системы можно сравнить с водой в дырявой бочке. Неважно, какого размера и формы отверстия сверху — вода вытечет по уровню самого нижнего отверстия. Поэтому не следует делать из компьютерной безопасности самоцель, бесконечно совершенствуя её и забыв про всё остальное. Нужно обеспечить равномерную защиту, достаточную именно для вашего конкретного случая.

    Достоинством вируса является возможность многократного применения и глобального охвата. К примеру, вызнать шантажом пароли у 1000 разных человек крайне затруднительно. Для этого нужно создать спецслужбу государственного масштаба. А заразить 1000 ПК вирусом — рядовое, в общем-то, событие. Сразу встаёт другой вопрос: а что ценного есть на 1000 случайно попавшихся ПК? На многих — ничего. На других ценную информацию нужно ещё суметь найти. Именно поэтому так популярны блокировщики рабочего стола, спам и DDoS-боты — они приносят пользу хозяевам после заражения любого ПК. Если же вирус, к примеру, ворует деньги из одной заданной банковской системы, то охват его заражения должен быть максимально широким, иначе он может просто не попасть на ПК, пользователи которых работают с данной системой и имеют солидные суммы на счетах. Если нужен вирус под атаку одного единственного предприятия, то цена данного предприятия должна перекрывать все расходы на создание вируса (смотри выше про Stuxnet и Иран). Поэтому я бы не стал ожидать, что кто-то что-то напишет специально для блокирования кассового ПК на районной автомойке. Скорее, найдут в интернете готовый вирус и принесут на флешке.

    Каковы риски создания вируса? Как и у любого криминального бизнеса — ответственность перед законом, возможность «мести» пострадавшей стороны, конкуренция других преступников. В УК РФ есть глава 28 «Преступления в сфере компьютерной информации». Там есть статья 273 — создание, использование и распространение вредоносных компьютерных программ. В зависимости от тяжести содеянного, наказание может меняться от принудительных работ до лишения свободы на семь лет. Да-да, семь лет реальной тюрьмы, с реальной камерой и реальными соседями-уголовниками в ней за написание особо удачного вируса. Кому-то покажется, что статья — фикция, и по ней никого не осуждают. Однако факты говорят об обратном. К примеру, житель Воронежа, распространявший уже упоминавшийся вирус CIH, получил 2 года условно. Вроде и не страшно, и в то же время клеймо на всю жизнь — серьёзный работодатель такого сотрудника не возьмёт.

    Сложно ли найти автора или распространителя вирусов? Тут важно понимать, что компьютерные преступления могут быть раскрыты вовсе не компьютерными методами. Пусть, к примеру, какой-то аноним украл или испортил ценную информацию Икс. К потерпевшему приезжает следователь и начинает задавать простые вопросы: кто знал про Икс, кто бывал возле Икс в последнее время, с кем дружили, с кем враждовали, кому ещё может понадобиться Икс и т. д. и т. п. В это время оперативник подтягивает заранее завербованную агентуру и спрашивает у неё: что слышно среди жуликов, где сейчас лица, ранее попадавшиеся на аналогичных преступлениях и т. д. и т. п. Поэтому если аноним хоть с кем-то в своей жизни общался (а он общался), то и вероятность его поимки ненулевая. Нетрудно понять, что чем специфичней объект атаки — тем проще искать преступника обычными полицейскими методами. Кто знает, кому выгоден вирус, поразивший миллионы ПК по всему миру? Зато если вирус поразит одно единственное учреждение, из которого недавно «по-плохому» уволили сотрудника, то этого сотрудника сразу возьмут в разработку.

    Таким образом, видно два пути «рентабельного» вирусного бизнеса. Первый путь — разработка специального вируса для атаки на важный объект, к которому закрыты другие подступы. Значение цели и возможность удалённого воздействия на неё компенсируют затраты на разработку и риск вычисления заказчика. Второй путь — создание вируса для массового рынка, поражающего рядовые ПК через типовые уязвимости. Именно от таких вирусов нужно строить защиту подавляющему большинству пользователей.

    Жизнь массового вируса на примере Kido

    В качестве примера массового вируса рассмотрим Kido, он же Conficker. На пике эпидемии им было заражено, по разным оценкам, от 9 до 15 миллионов компьютеров. По оценкам Microsoft, с середины 2010 года до середины 2011 года количество заражённых ПК стабильно держалось в районе 1,7 миллиона. Известно несколько версий Kido, работа которых отличается друг от друга. Все они интересны сложным алгоритмом поведения, включающим в себя многие передовые вирусные технологии. Поэтому анализ Kido позволит точнее определить, от чего же нам в итоге нужно защищаться.

    • По сети через уязвимость в протоколе RPC системы Windows. Уязвимость закрыта обновлениями, но, к сожалению, не все их себе поставили.
    • По сети через общие папки, к которым Kido подбирает пароль из списка наиболее популярных.
    • Через автозапуск со сменных носителей.

    После заражения вирус регулярно проверяет наличие новой версии и, когда она появляется, устанавливает её. В конечном итоге, Kido загружает спам-модуль, т. е. Kido работает по принципу ботнета.

    • Блокировка доступа к сайтам известных производителей антивирусов и сайту Windows Update.
    • Отключение службы Windows Update.
    • Отключение возможности загрузки в безопасном режиме.
    • Ежесекундный поиск и выключение известных антивирусных и диагностических программ.

    Во второй части статьи мы подробнее рассмотрим технические аспекты защиты от таких «продвинутых» массовых вирусов. Несмотря на сложный характер работы, общие черты этого вируса типовые. Поэтому и рецепты защиты будут типовые, применимые ко всем ПК.

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector