sonyps4.ru

Как сделать троянский вирус шпион. Вирусы шпионы! Вирус-шпион на службе у серых кардиналов

Вирусы шпионы!

Spyware - это бич нынешнего века. Многие миллионы компьютеров в мире инфицированы этими вредоносными программами- шпионами, и многие этого не замечают.

Шпионы не только вредят безопасности вашей информации, но также заметно снижают скорость Вашего компьютера. Когда Вы загружаете один из пакетов программ со шпионами, то эта программа автоматически устанавливается на вашем компьютере вне зависимости от вашего желания. Иногда, при инсталляции шпион просит Вас установить программное обеспечение спонсора. При установке шпионская программа стремиться установиться в системный реестр вашего компьютера и находится в нём до тех пор, пока вы полностью не удалите её оттуда.

Шпион, пожирая потенциал компьютера, снижает работоспособность центрального процессора и памяти. В результате этого, ваш ПК снижает скорость работы или даже совсем перестает отвечать на запросы. Шпион не исчезнет сам по себе, а только будет вызывать все большую задержку, потому что Spyware продолжит собирать сведения Вашего компьютера. Существует три основных способа разрушения вашей системы программами- шпионами:

1. Есть шпионы, которые постоянно отслеживают все ваши покупки. Если вы используете свою кредитную карту, Вы можете в итоге не досчитаться своих финансов, программа - шпион узнает номер вашей кредитной карты, и даст возможность использовать её для покупок другими людьми. Вы можете об этом не узнать, пока не обнаружите нехватку денег.

2. Хакеры (те, кто за кулисами) смогут получить доступ к вашему компьютеру и информации о нём. Они смогут узнать, какие клавиши вы используете в режиме реального времени, проникнуть в ваш компьютер, изменить настройки браузера, инсталлировать свои программы без вашего согласия. Кроме того, шпионы также могут собирать информацию об электронных адресах, паролях и даже номерах кредитных карт. Но эту проблему можно решить, но только просмотрите и внимательно изучите все имеющиеся программы по удалению шпионов, отзывы к ним, потому что некоторые из них могут причинить больше вреда, чем пользы.

3. Программы - шпионы могут находить информацию о ваших адресах электронной почты. Если это произойдет, то вы столкнетесь с множеством проблем, одна из которых, Вас просто завалят рекламными письмами.

Если даже Вы простой пользователь, есть несколько способов, которые Вы можете легко сделать, чтобы быстро и надёжно увеличить скорость работы Вашего компьютера. Первый и самый доступный метод, который Вы должны обязательно сделать, заключается в дефрагментации дисков. "Мастер дефрагментации" на Вашем компьютере поможет её провести. Вы, возможно, хотели бы сделать это быстро, однако, это может занять много времени. Процесс не следует прерывать. При регулярной работе уже на следующую проверку уйдет меньше времени.

Второй путь заключается в установке и применению хорошей программы по уничтожению программ-шпионов. Например, хорошо разбирается с ними Spyware Doctor.

Далее можно программно в браузерах снизить период сохранения посещаемых страниц, если Вам это не нужно с одного месяца, как стоит по умолчанию до 1-2-х дней или на удаление их сразу после выхода со странички сайта.

Когда Вы деактивируете свой рабочий стол, станет меньше нагрузка на оперативную память. А разницы в дизайне и работе не почувствуете.

Убедитесь, что у Вас стоит хорошая антивирусная программа, используйте её постоянно. Если Вы удаляете вирусы и препятствуете их распространению, то этим Вы заметно ускоряете работу компьютера.

Как только выполните эти простые правила, Вы будете поражены, насколько быстрее заработал компьютер, и сколько места на диске освободилось.

Специалисты «Лаборатории Касперского» обнаружили вредоносную программу для мобильных устройств на платформе Android, обладающую целым спектром технических возможностей. Сотрудники компании подчеркнули, что некоторые из функций троянского вируса (зловреда) были выявлены впервые.

«Большинство троянов похожи друг на друга: пробравшись на устройства, они воруют платёжные данные его владельца, добывают для злоумышленников криптовалюту или шифруют данные, чтобы потребовать выкуп. Но иногда встречаются экземпляры, чьи возможности заставляют вспомнить голливудские фильмы про шпионов», — говорится в посвящённом вирусу сообщении «Лаборатории Касперского».

Там рассказали, что обнаруженная вредоносная программа Skygofree обладает 48 различными функциями, в том числе и уникальными, которые специалисты компании прежде не встречали у зловредов.

Например, троян Skygofree может отслеживать местоположение заражённого устройства и включать запись звука в тот момент, когда его владелец находится в определённом месте.

«Ещё один интересный приём, который освоил Skygofree, — незаметно подключать заражённый смартфон или планшет к Wi-Fi-сетям, находящимся под полным контролем злоумышленников. Даже если владелец устройства вообще отключил Wi-Fi на устройстве», — рассказали в «Лаборатории Касперского».

Это позволяет не только анализировать трафик жертвы, но и считывать вводимые пользователем логины, пароли или номера карт. Также зловред может следить за работой целого ряда мессенджеров, включая Facebook Messenger, WhatsApp, Skype и Viber, собирая их текстовые сообщения.

«Наконец, Skygofree может скрытно включить фронтальную камеру и сделать снимок, когда пользователь разблокирует устройство», — добавили эксперты.

  • Reuters
  • Robert Galbraith

Специалисты компании обнаружили Skygofree в начале октября 2017 года, однако в ходе изучения зловреда выяснилось, что первоначальные версии этой программы были созданы ещё в конце 2014 года. С тех пор функциональность трояна существенно увеличилась и программа приобрела некоторые уникальные способности.

По данным «Лаборатории Касперского», Skygofree распространялся на интернет-страницах, имитирующих сайты мобильных операторов и посвящённых оптимизации скорости мобильного интернета.

Согласно данным компании, атаке вируса подверглись лишь несколько пользователей, причём исключительно в Италии.

Также в ходе исследования зловреда были обнаружены несколько шпионских инструментов для Windows, однако применялась ли программа для атаки на эту операционную систему, пока неизвестно.

«Он не атакует сотни тысяч пользователей»

RT поговорил с антивирусным экспертом «Лаборатории Касперского» Виктором Чебышевым, который рассказал некоторые подробности о новом вирусе. По его словам, Skygofree удавалось долгое время оставаться незаметным, поскольку этот шпион-троянец использует недокументированные возможности системы и повышает свои привилегии таким образом, что все его действия «остаются за кадром».

«Он находится почти на уровне системы, и все возможности, которые он реализует, они для пользователя абсолютно прозрачны. То есть пользователь не видит никакой активности, не слышит никаких действий, просто остаётся в неведении», — пояснил Чебышев.

Собеседник RT уточнил, что создать подобную программу очень непросто, поэтому над ней, скорее всего, работала целая команда профессионалов высокого уровня, разбирающихся во всех особенностях операционной системы Android.

По словам антивирусного эксперта, ещё одна особенность вируса, позволившая ему действовать незамеченным, — это узкая направленность, заточенность Skygofree под атаку конкретного пользователя.

«Это шпион, который ориентирован не на массовый сегмент. Он не атакует сотни тысяч пользователей, выжимая из них по чуть-чуть. Это шпионское приложение, которое атакует конкретных людей», — рассказал Чебышев.

«Его создают так, чтобы он был невидим и для жертвы, и для всех остальных вокруг. Плюс у него есть механизмы зачистки следов, которые уничтожают его после того, как он отработал», — добавил эксперт.

  • Виктор Чебышев: это шпион, который не ориентирован на массовый сегмент

Он уточнил, что целью шпионского вируса стали устройства на платформе Android, поскольку именно эта система позволяет устанавливать приложения из сторонних источников, а не только с официального магазина приложений Google Play. Тем не менее уязвимыми для подобных зловредных программ могут стать не только Android-устройства.

«В других ОС такая возможность отсутствует, все приложения устанавливаются из одного централизованного источника, который модерируется. И вероятность заражения, таким образом, минимальна. Однако она не исключена», — пояснил эксперт.

«Это целая команда, можно сказать, организованная преступная группировка. Ресурсы серьёзные», — отметил Чебышев.

Эксперт уточнил, что основной целью раскрытого троянца никогда не была атака на широкие массы людей. Программа рассчитана именно на шпионаж, слежку за конкретным человеком, в устройства которого она «подсаживается». По его словам, спектр применения этой программы может простираться от промышленного шпионажа до слежки за госслужащими.

«Основная задача этого троянца — понимание того, что происходит с жертвой, вокруг неё, что она делает, куда она ходит, с кем разговаривает, с какими документами она взаимодействует... Он умеет снимать видеокамерой, снимать фотографии, записывать разговоры в конкретной ситуации», — рассказал сотрудник «Лаборатории Касперского».

  • Виктор Чебышев: этот троян следит за конкретными людьми

Антивирусный эксперт уточнил, что сразу после обнаружения вируса компания обеспечила своим клиентам защиту. Говоря об угрозе обычным пользователям по всему миру, Чебышев отметил, что они никогда не были целью зловреда, но призвал не расслабляться.

«Если говорить про масс-рынок, про нас с вами, то атака, скорее всего, нам не грозила с самого начала. Атакуют конкретных лиц. Тем не менее (массовую атаку. — RT ) не стоит списывать со счетов: то, что реализовано в этом троянце, может быть растиражировано, оно может быть распространено на огромное число пользователей», — подчеркнул собеседник RT.

Говоря о способах противостояния вирусной угрозе, эксперт призвал всех пользователей в первую очередь не устанавливать приложения из сторонних источников. Кроме того, он посоветовал потребителям обезопасить свои мобильные устройства, установив хорошее защитное решение, которое не позволит пройти по вредоносной ссылке и заблокирует установку вирусного приложения.

«Обязательно нужно применять меры личной гигиены своего девайса. Потому что не ровён час атакуют вас, и тогда всё будет печально. С защитным решением же всё будет хорошо», — подытожил Чебышев.

Вирусы, шпионы и диалеры: кто, зачем и как

Я думаю, что, если сегодня у любого школьника спросить, что такое лавсан, он не станет рассказывать вам о "синтетическом волокне, получаемом при помощи поликонденсации этиленгликоля и двухосновной кислоты ароматического ряда". Нет, его ответ будет вроде этого: "Lo-vesan, он же msblast, проникающий в операционную систему семейства Microsoft Windows NT, используя уязвимость в службе DCOM RPC Microsoft Windows". Я боюсь предположить, какие ассоциации будут через некоторое время со словом doom. Явно не только с одноименной игрой.

Как вы могли понять из названия и вступления, разговор сегодня пойдет о вирусах и иже с ними. Прежде чем перейти к ответам на вопросы, поставленные в названии, мне бы хотелось пройтись непосредственно по нашим сегодняшним "гостям". Здесь же будет дан ответ о том, как все это попадает на наши компьютеры.

Вирусы
 Вирусы суть программы, несущие какие-то деструктивные последствия. Причем неважно, в чем они заключаются: здесь может быть все - от банальной замены разрешений файла и порчи его внутреннего содержания до нарушения работы Интернета и краха операционной системы. Также под вирусом подразумевают программу, не только несущую деструктивные функции, но и способную размножаться. Вот что сказано по этому поводу в одной умной книге: "Обязательным (необходимым) свойством компьютерного вируса является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению" ((с) Евгений Касперский. "Компьютерные вирусы"). Действительно, для того, чтобы выжить, вирусам необходимо размножаться, и это доказано такой наукой, как биология. Кстати, именно от тех самых биологических вирусов и произошло название компьютерных. И сами они вполне оправдали свое название: все вирусы просты и, тем не менее, несмотря на старания антивирусных компаний, затраты которых исчисляются огромными суммами, живут и процветают. За примерами далеко ходить не надо: возьмем хотя бы такой вирус, как I-Worm.Mydoom.b. Уж сколько раз говорили, что нельзя открывать вложенные файлы от неизвестных лиц, да и к посланиям от известных следует относиться с опаской, особенно если вы о таком не договаривались. К тому же, если текст письма будет содержать примерно следующее: "Зацени классную фотку моей девушки", то тут уж его сразу же необходимо отправлять в trash. Но если в приведенном выше примере текст еще имеет смысл, то содержание писем, зараженных mydoom"ом, довольно странное. Судите сами:

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received. The message contains Unicode characters and has been sent as a binary attachment. The message contains MIME-encoded graphics and has been sent as a binary attachment. Mail transaction failed. Partial message is available.

Внутри письма содержится файл, имеющий 9 вариантов названия вложенного файла и 5 вариантов расширения. Ко мне на ящик приходило две вариации. Первая - zip-архив с якобы doc-файлом, а второй - это простой exe"шник с иконкой, замененной на иконку блокнота. Если во втором случае любой пользователь может заметить подвох, посмотрев на разрешение, то в первом сделать это уже сложнее. Именно на первый случай я склонен относить наибольшее количество заражений. Что делает данный вирус, я рассказывать не буду, т.к. про это уже много раз сказано в печатных изданиях и интернет-ресурсах. На примере Mydoom мы познакомились с первым способом распространения вирусов - через электронную почту.

Следующий способ рассмотрим на примере Worm.Win32.Lovesan (известного также как msblast). Чем же примечателен этот вирус, и почему заражение им приобрело массовый характер? Примечателен сей индивид тем, что в принципе никак не влияет на работоспособность системы в целом. Компьютер, зараженный им, просто не может нормально работать в Интернете. Через некоторое время выскакивает табличка с сообщением об ошибке RPC, после чего компьютер перезагружается. Как же происходит заражение? Данный вирус использует уязвимость в службе DCOM RPC в Microsoft Windows 2000/XP/2003 и попадает на компьютер пользователя через 135 порт определенного IP-адреса. Как же злоумышленник узнает именно ваш адрес? Да очень просто. Сейчас написано столько IP-сканеров, что даже дошкольнику нетрудно узнать IP-адреса и посмотреть открытые порты, через которые можно загрузить вирус на компьютер. Для наглядности продемонстрирую, как происходит заражение непосредственно вирусом Lovesan. Червь производит сканирование IP-адресов на предмет нахождения открытых и незащищенных портов. Процесс приведен на схеме:

20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1,8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1,8 секунды
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и продолжается в таком же духе и далее.

Для сканирования червь выбирает один из двух способов. Способ первый: сканирование случайного base address (A.B.C.D), где D равно 0, а A, B, C случайно выбраны из диапазона 1-255. Диапазон сканирования следующий: ...0.
Способ второй: червь определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C больше 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его. Итак, второй способ распространения вирусов - через незащищенные порты компьютера, используя бреши в программном обеспечении.
Способ третий - через Интернет, когда вы скачиваете файлы (в желательном или нежелательном варианте). Опять же, объясню на примерах. Пример желательного. Вы скачиваете из Сети какой-нибудь новый прикол, или программу, или игру, а она заражена вирусом. После загрузки программа/игра/прикол запускается, и - вуаля - вы являетесь обладателем вируса. Что тут можно сказать? Будьте бдительны, регулярно обновляйте базы данных своего антивируса, проверяйте все программы антивирусом и не забывайте хотя бы основы компьютерной безопасности. Кто-то может сказать: "А зачем мне, например, проверять программы, которые не могли быть заражены вирусом?". Хочется спросить: "Это что ж за программы такие?" Любые программы могут быть заражены, особенно если скачиваются они с варезников или сайтов хакерских групп.

Теперь перейдем к нежелательной загрузке. Я бы выделил два вида такой загрузки. Первый: когда пользователь и не подозревает о том, что на его компьютер что-то загружается. Выполняется данная загрузка посредством выполнения скриптов. Второй вид нежелательной загрузки - это когда загружается не то, что надо. Приведу пример. В свое время один сайт с крэками непосредственно перед закачкой файла предлагал установить то "Free XXX bar", то "100% крэк Интернета". Если пользователь согласился с этим (а я уверен, что такие были, ибо еще помню вопрос месяца в "Виртуальных Радостях" про "стопроцентный крэк инета"), то происходила закачка трояна или вируса. Разница, в принципе, небольшая. Однако это еще не самое интересное: в случае отклонения такого заманчивого предложения выскакивала табличка с надписью приблизительно следующего содержания: "Site error" и кнопочкой ОК или Continue, по нажатию на которую закачка трояна все же происходила, правда, уже без ведома пользователя. И спасти от этого мог лишь файрволл.
Какие побочные эффекты, кроме основных деструктивных функций, могут нести с собой вирусы? Одно из "бесплатных приложений" - функция DOS (Denial of service) атаки на какие-либо сайты. В большинстве случаев жертвами становятся сайты антивирусных компаний, антиспамерские сайты и - как же без этого - сайт многострадальной компании Microsoft. Еще одним побочным эффектом является установка backdoor-компонента, вследствие чего злоумышленник получает полный контроль над компьютером пользователя. Чем это грозит, догадаться нетрудно.

Шпионы
 В следующую группу входят программы-шпионы, сюда же можно отнести рекламные модули. Основным способом распространения программ данного вида является их установка в качестве компонента, зачастую неотделимого, в какую-либо программу. Кроме этого, есть нежелательная загрузка (описания см. выше) и загрузка отслеживающих cookies-файлов.
Что же делают данные индивидуумы? Начнем с общего для шпионов и рекламных модулей. Оба вида собирают информацию о пользователе и его компьютере, следят за его действиями, разновидность шпионов - reylogger"ы - еще и записывают все, что вы настучали на клавиатуре, в файл. Также отслеживается ваша активность в Интернете: что посещаете, где больше всего задерживаетесь, по каким ссылкам кликаете. После сбора данных вся информация отсылается хозяину. И тут пути шпионов и рекламных модулей расходятся. После сбора данных рекламными модулями информация чаще всего перепродается третьему лицу, которое внимательно ее изучает. После этого в лучшем случае составляется программа интернет-политики третьего лица типа: что предлагать, где вешать свою рекламу. Но это в лучшем случае, а в худшем - на ваш ящик просто начнут сыпаться мега/кило/тонны спам-писем.

Чем же отличаются шпионы? После изучения данных того же reylogger"а злоумышленник может узнать ваши личные строго конфиденциальные данные, которые впоследствии может использовать для шантажа. И такие случаи бывали. Кроме того, он может узнать пароли пользователя, а также найти слабые места в системе, с тем чтобы использовать все это для установки троянов и backdoor-компонентов. Чем это грозит, читайте выше.

Диалеры
 Способы их проникновения не отличаются от вышеописанных. Поэтому сразу же перейдем к рассмотрению. Тут необходимо оговориться, что существуют вполне мирные диалеры, называемые в народе "звонилками". Эти программы используются с целью помочь пользователям dial-up"a дозвониться до провайдера и по возможности поддерживать с ним стабильную связь даже на старых или "модернизированных" линиях. Те же, о которых пойдет наш разговор, имеют другое название - боевые диалеры. Используя бреши в операционной системе, а иногда и по халатности или наивности пользователей (см. выше про 100% крэк Интернета) данные программы подменяют телефон провайдера телефоном оператора связи из какой-нибудь экзотической страны. Причем в большинстве случаев в окне набора номера остается старый добрый телефон провайдера. Еще диалеры прописывают в планировщике задание позвонить в заданное время. И хорошо если пользователь имеет привычку выключать модем или он у него внешний и орет так, что мама не горюй. А если модем тихонький да встроенный? Вот и я о том. И узнает бедолага о своем горе лишь по приходе ба-а-альшого такого счета за телефон.

Кто
 Пришла пора рассказать о том, кто же пишет и запускает всю эту гадость в Сеть. Здесь я попытаюсь классифицировать те группы людей, которые занимаются этим неблаговидным делом. Здесь не будет сказано о так называемых "белых" хакерах. Объясню, почему. Данная разновидность не представляет опасности для общества и скорее несет ему пользу. Именно они чаще всего пишут вирусы-антивирусы для обезвреживания особо вредоносных особей. Почему вирусы? Эти программы распространяются по тому же механизму, что и вирусы. Почему анти-? Потому, что блокируют или удаляют определенный вид вируса с компьютера. Главным их отличием от вирусов является также самоликвидация после выполнения своей задачи и отсутствие каких-либо деструктивных функций. Примером может служить подобный вирус, появившийся в Сети через некоторое время после рецидива Lovesan"а. После загрузки вируса-антивируса Lovesan удалялся, а пользователю предлагалось загрузить обновления для Windows. "Белые" хакеры также находят бреши в программном обеспечении и компьютерных системах, после чего сообщают о найденных ошибках компаниям. Теперь перейдем непосредственно к нашей классификации.

Тип первый: "дети скриптов". Зовут себя не иначе как 37717 (00|_ HaCkeR-rr, читают журнал "Хакер", не знают ни одного языка программирования, а всех "своих" троянов и вирусов творят посредством скачивания готовых программ из Сети. (Чтобы избежать наездов, оговорюсь, что журнал "Хакер", в принципе, неплох, и материал в нем подается в довольно простой форме - местами, правда. Но в простой форме для людей, уже имеющих какой-то багаж знаний. И материал они дают с умом - не рассказывают все до конца - дабы не привлекли их никуда, надо думать.) Эти "хакеры" обычно, после того как пришлют кому-нибудь скачанный откуда-нибудь троян, и последний сработает, тут же начинают орать на форумах о своей крутизне и т.д., и т.п. За что тут же вполне справедливо получают в свой адрес кучу нелицеприятных высказываний, ибо не дело это. Раз уж напакостил, то лучше помолчи. Особой опасности данные индивиды не представляют, т.к. на более-менее масштабное дело у них просто не хватит ни опыта, ни (в некоторых случаях) мозгов.

Тип второй: "начинающий". Данный вид является прямым потомком первого. Некоторые из представителей первого типа спустя некоторый промежуток времени начинают понимать, что они не так круты, как им казалось, что, оказывается, существуют какие-то языки программирования, что можно что-то сделать и после этого не орать на весь мир про то, какой я молодец. Кто-то из них в будущем, возможно, превратится в представителя класса профи. Эти люди начинают учить какой-нибудь язык, пробовать что-то писать, в них начинает просыпаться творческая мысль. И одновременно они начинают представлять определенную опасность для общества, ибо кто знает, какое ужасающее произведение по неопытности может написать такой представитель класса вирусописателей. Ведь когда код пишет профессионал, он все-таки осознает, что некоторые вещи делать не нужно, т.к. они могут сыграть против него. У новичка таких знаний нет, и этим он опасен.

Тип третий: "профи". Развиваются из второго вида. "Профи" отличаются глубоким знанием языков программирования, сетевой безопасности, разбираются в глубинах операционных систем и, что самое важное, обладают очень серьезными знаниями и пониманием механизма работы сетей и компьютерных систем. Причем "профи" не только узнают о брешах в системах безопасности из бюллетеней компаний, но и сами находят их. Часто они объединяются в хакерские группы для улучшения качества своей "работы". Эти люди в основном скрытные и не жадные до славы, при проведении какой-нибудь успешной операции не бегут сообщать об этом всему миру, а предпочитают мирно отпраздновать успех в кругу друзей. Безусловно, представляют большую опасность, но, поскольку все они люди знающие, то не пойдут на действия, которые могут вызвать глобальный обвал какой-либо системы - к примеру, Интернета. Хотя бывают и исключения (не все еще забыли про Slammer"a).

Тип четвертый: "промышленные хакеры". Наиболее опасные для общества представители семейства хакеров. Их по праву можно называть настоящими преступниками. Именно на их совести лежит написание большей части диалеров и взлом сетей банков, крупных компаний и правительственных учреждений. Зачем и ради чего они это делают, мы поговорим ниже. "Промышленники" не считаются ни с чем и ни с кем, эти индивиды способны сделать все ради достижения своих целей.

Теперь обобщим написанное. "Дети скриптов": молодо-зелено да неопытно. Хочется показать, что ты круче всех, а круче тебя - только Крутой Сэм.
"Начинающий": появилась тяга к написанию чего-то самостоятельного. Часть из них, к счастью, после попытки освоения премудростей интернет-протоколов и языков программирования бросают это дело и идут заниматься чем-то более мирным.
"Профи": если вдруг наступает состояние "осознал свою вину, меру, степень, глубину", то представитель данного вида становится высококвалифицированным специалистом по компьютерной безопасности. Хотелось бы, чтобы побольше профи перешло к такому состоянию.
"Промышленники": ничего святого. Про таких хорошо говорит народная мудрость: "Горбатого могила исправит".
Таково грубое разделение на типы представителей класса компьютерных злоумышленников. Теперь перейдем к вопросу, зачем они это делают.

Зачем
 А действительно, зачем пишутся вирусы, трояны, диалеры и прочая нечисть? Одной из причин является желание самоутверждения. Оно характерно для представителей первого и второго типа. Одному просто нужно показать своим друзьям, что он "типа того, реальна, крутой пацан", второму - прежде всего для поднятия уровня самооценки. Вторая причина - получение опыта. Характерна для начинающих. После написания своего первого шедевра, естественно, хочется его на ком-нибудь испытать. Не на себе же, в самом деле. Вот и появляется в Сети определенное число новых, не всегда очень опасных, вирусов. Следующая причина - дух соперничества. Вы никогда не слышали про хакерские соревнования? Последнее известное мне состоялось летом. Победила бразильская хакерская группа (оказывается, не только футбол у них силен). Задача стояла следующая: кто сломает больше всего сайтов. Но я уверен, что есть соревнования и по самому навороченному вирусу, и по самому лучшему клавиатурному шпиону. Адреналин - еще одна причина. Представьте себе: ночь, свет монитора, пальцы бегают по клавиатуре, вчера была найдена брешь в системе защиты, сегодня нужно попытаться получить доступ к системе и показать товарищу администратору, кто в доме хозяин. Следом за этой причиной идет и следующая - романтика. А что, кому нравится на закат смотреть, кому на звезды, а кому - вирусы писать да сайты дефейсить. Сколько людей, столько и вкусов. Причина следующая - политический или социальный протест. По этой причине взламывается большинство правительственных сайтов, сайтов политических партий, печатных и интернет-изданий, а также крупных корпораций. За примерами далеко ходить не надо. Сразу же после начала войны в Ираке были произведены атаки на правительственные американские сайты со стороны недовольных политикой Буша, а также на сайт арабской газеты "Аль-Джазира" и ряд других арабских ресурсов с противоположной стороны. И, пожалуй, последняя причина - это вездесущие деньги. Ради них в основном работают, если можно так выразиться, промышленные хакеры. Взламывая сети банков, они получают доступ к счетам клиентов. Что за этим последует, догадаться нетрудно. Собирая информацию о любом пользователе Сети посредством программ-шпионов, они в дальнейшем занимаются банальным шантажом. Действия, на которые идут "промышленники", можно перечислять еще очень долго, хочу лишь еще раз сказать, что именно они являются полноценными компьютерными преступниками, и относиться к ним нужно как к преступникам.

Дабы избежать гневных писем в свой адрес на тему: "А что, остальные такие добрые и пушистые, что ты их так защищаешь?", скажу следующее. Защищать я никого не собирался, и никто из представителей четырех описанных видов не является ангелом во плоти - все они несут определенное зло. Но хакеры периодически дают нам понять, что не все совершенно в этом мире. Приведу пример. Вирус Slammer, на время парализовавший работу Интернета, использовал ошибку, которую Microsoft обнаружила и выложила заплатку за три месяца до этого. Но следует помнить, что приведенный пример - исключение. А посему необходимо соблюдать хотя бы основы компьютерной безопасности.

Андрей Радзевич
В статье использованы материалы Большой вирусной энциклопедии, viruslist.com

2 июня 2016 в 12:29

Пишем свое вредоносное ПО. Часть 1: Учимся писать полностью «не обнаружимый» кейлогер

  • Перевод

Хакерский мир можно условно разделить на три группы атакующих:


1) «Skids» (script kiddies) – малыши, начинающие хакеры, которые собирают известные куски кода и утилиты и используя их создают какое-то простое вредоносное ПО.


2) «Byuers» - не чистые на руку предприниматели, тинэйджеры и прочие любители острых ощущений. Покупают услуги по написанию такого ПО в интернете, собирают с ее помощью различную приватную информацию, и, возможно, перепродают ее.


3) «Black Hat Сoders» - гуру программирования и знатоки архитектур. Пишут код в блокноте и разрабатывают новые эксплоиты с нуля.


Может ли кто-то с хорошими навыками в программировании стать последним? Не думаю, что вы начнете создавать что-то, на подобии regin (ссылка) после посещения нескольких сессий DEFCON. С другой стороны, я считаю, что сотрудник ИБ должен освоить некоторые концепты, на которых строится вредоносное ПО.


Зачем ИБ-персоналу эти сомнительные навыки?


Знай своего врага. Как мы уже обсуждали в блоге Inside Out, нужно думать как нарушитель, чтобы его остановить. Я – специалист по информационной безопасности в Varonis и по моему опыту – вы будете сильнее в этом ремесле если будете понимать, какие ходы будет делать нарушитель. Поэтому я решил начать серию постов о деталях, которые лежат в основе вредоносного ПО и различных семействах хакерских утилит. После того, как вы поймете насколько просто создать не детектируемое ПО, вы, возможно, захотите пересмотреть политики безопасности на вашем предприятии. Теперь более подробно.


Для этого неформального класса «hacking 101» вам необходимы небольшие знания в программировании (С# и java) и базовое понимание архитектуры Windows. Имейте ввиду, что в реальности вредоносное ПО пишется на C/C++/Delphi, чтобы не зависеть от фреймфорков.


Кейлогер


Кейлогер – это ПО или некое физическое устройство, которое может перехватывать и запоминать нажатия клавиш на скомпрометированной машине. Это можно представить как цифровую ловушку для каждого нажатия на клавиши клавиатуры.
Зачастую эту функцию внедряют в другое, более сложное ПО, например, троянов (Remote Access Trojans RATS), которые обеспечивают доставку перехваченных данных обратно, к атакующему. Также существуют аппаратные кейлогеры, но они менее распространены, т.к. требуют непосредственного физического доступа к машине.


Тем не менее создать базовые функции кейлогера достаточно легко запрограммировать. ПРЕДУПРЕЖДЕНИЕ. Если вы хотите попробовать что-то из ниже следующего, убедитесь, что у вас есть разрешения, и вы не несёте вреда существующей среде, а лучше всего делать это все на изолированной ВМ. Далее, данный код не будет оптимизирован, я всего лишь покажу вам строки кода, которые могут выполнить поставленную задачу, это не самый элегантный или оптимальный путь. Ну и наконец, я не буду рассказывать как сделать кейлогер стойким к перезагрузкам или пытаться сделать его абсолютно не обнаружимым благодаря особым техникам программирования, так же как и о защите от удаления, даже если его обнаружили.



Для подключения к клавиатуре вам всего лишь нужно использовать 2 строки на C#:


1. 2. 3. public static extern int GetAsyncKeyState(Int32 i);

Вы можете изучить больше про фунцию GetAsyncKeyState на MSDN :


Для понимания: эта функция определяет нажата клавиш или отжата в момент вызова и была ли нажата после предыдущего вызова. Теперь постоянно вызываем эту функцию, чтобы получать данные с клавиатуры:


1. while (true) 2. { 3. Thread.Sleep(100); 4. for (Int32 i = 0; i < 255; i++) 5. { 6. int state = GetAsyncKeyState(i); 7. if (state == 1 || state == -32767) 8. { 9. Console.WriteLine((Keys)i); 10. 11. } 12. } 13. }

Что здесь происходит? Этот цикл будет опрашивать каждые 100 мс каждую из клавиш для определения ее состояния. Если одна из них нажата (или была нажата), сообщение об этом будет выведено на консоль. В реальной жизни эти данные буферизируются и отправляются злоумышленнику.


Умный кейлогер

Погодите, а есть ли смысл пытаться снимать всю подряд информацию со всех приложений?
Код выше тянет сырой ввод с клавиатуры с любого окна и поля ввода, на котором сейчас фокус. Если ваша цель – номера кредитных карт и пароли, то такой подход не очень эффективен. Для сценариев из реального мира, когда такие кейлогеры выполняются на сотнях или тысячах машин, последующий парсинг данных может стать очень долгим и по итогу потерять смысл, т.к. ценная для взломщика информация может к тому времени устареть.


Давайте предположим, что я хочу заполучить учетные данные Facebook или Gmail для последующей продажи лайков. Тогда новая идея – активировать кейлоггинг только тогда, когда активно окно браузера и в заголовке страницы есть слово Gmail или facebook. Используя такой метод я увеличиваю шансы получения учетных данных.


Вторая версия кода:


1. while (true) 2. { 3. IntPtr handle = GetForegroundWindow(); 4. if (GetWindowText(handle, buff, chars) > 0) 5. { 6. string line = buff.ToString(); 7. if (line.Contains("Gmail")|| line.Contains("Facebook - Log In or Sign Up ")) 8. { 9. //проверка клавиатуры 10. } 11. } 12. Thread.Sleep(100); 13. }

Этот фрагмент будет выявлять активное окно каждые 100мс. Делается это с помощью функции GetForegroundWindow (больше информации на MSDN). Заголовок страницы хранится в переменной buff, если в ней содержится gmail или facebook, то вызывается фрагмент сканирования клавиатуры.


Этим мы обеспечили сканирование клавиатуры только когда открыто окно браузера на сайтах facebook и gmail.


Еще более умный кейлогер


Давайте предположим, что злоумышленник смог получить данные кодом, на подобии нашего. Так же предположим, что он достаточно амбициозен и смог заразить десятки или сотни тысяч машин. Результат: огромный файл с гигабайтами текста, в которых нужную информацию еще нужно найти. Самое время познакомиться с регулярными выражениями или regex. Это что-то на подобии мини языка для составления неких шаблонов и сканирования текста на соответствие заданным шаблонам. Вы можете узнать больше здесь.


Для упрощения, я сразу приведу готовые выражения, которые соответствуют именам логина и паролям:


1. //Ищем почтовый адрес 2. ^[\w!#$%&"*+\-/=?\^_`{|}~]+(\.[\w!#$%&"*+\-/=?\^_`{|}~]+)*@((([\-\w]+\.)+{2,4})|(({1,3}\.){3}{1,3}))$ 3. 4. 5. //Ищем пароль 6. (?=^.{6,}$)(?=.*\d)(?=.*)

Эти выражения здесь как подсказка тому, что можно сделать используя их. С помощью регулярных выражений можно искать (т найти!) любые конструкции, которые имеют определенный и неизменный формат, например, номера паспортов, кредитных карт, учетные записи и даже пароли.
Действительно, регулярные выражения не самый читаемый вид кода, но они одни из лучших друзей программиста, если есть задачи парсинга текста. В языках Java, C#, JavaScript и других популярных уже есть готовые функции, в которые вы можете передать обычные регулярные выражения.


Для C# это выглядит так:


1. Regex re = new Regex(@"^[\w!#$%&"*+\-/=?\^_`{|}~]+(\.[\w!#$%&"*+\-/=?\^_`{|}~]+)*@((([\-\w]+\.)+{2,4})|(({1,3}\.){3}{1,3}))$"); 2. Regex re2 = new Regex(@"(?=^.{6,}$)(?=.*\d)(?=.*)"); 3. string email = "[email protected]"; 4. string pass = "abcde3FG"; 5. Match result = re.Match(email); 6. Match result2 = re2.Match(pass);

Где первое выражение (re) будет соответствовать любой электронной почте, а второе (re2) любой цифро буквенной конструкции больше 6 символов.


Бесплатно и полностью не обнаружим


В своем примере я использовал Visual Studio – вы можете использовать свое любимое окружение – для создания такого кейлогера за 30 минут.
Если бы я был реальным злоумышленником, то я бы целился на какую-то реальную цель (банковские сайты, соцсети, тп) и видоизменил код для соответствия этим целям. Конечно, также, я запустил бы фишинговую кампанию с электронными письмами с нашей программой, под видом обычного счета или другого вложения.


Остался один вопрос: действительно такое ПО будет не обнаруживаемым для защитных программ?


Я скомпилировал мой код и проверил exe файл на сайте Virustotal. Это веб-инструмент, который вычисляет хеш файла, который вы загрузили и ищет его в базе данных известных вирусов. Сюрприз! Естественно ничего не нашлось.



В этом основная фишка! Вы всегда можете менять код и развиваться, будучи всегда на несколько шагов раньше сканеров угроз. Если вы в состоянии написать свой собственный код он почти гарантированно будет не обнаружим. На этой

  • информационная безопасность
    • Добавить метки

    Вирусы, шпионы, трояны и диалеры: кто, зачем и как

    Я думаю, что, если сегодня у любого школьника спросить, что такое лавсан, он не станет рассказывать вам о «синтетическом волокне, получаемом при помощи поликонденсации этиленгликоля и двухосновной кислоты ароматического ряда». Нет, его ответ будет вроде этого: «Lovesan, он же msblast – проникающий в операционную систему семейства Microsoft Windows, используя уязвимость в службе DCOM RPC Microsoft Windows». Я боюсь предположить, какие ассоциации будут через некоторое время со словом doom. Явно не только с одноименной игрой.

    Как вы могли понять из названия и вступления, разговор сейчас пойдет о вирусах и иже с ними. Прежде чем перейти к ответам на вопросы, поставленным в названии главы, мне бы хотелось пройтись непосредственно по нашим сегодняшним «гостям». Здесь же будет дан ответ на вопрос, как все это попадает в наши компьютеры.

    Суть программы, несущие какие-то деструктивные последствия. Причем неважно, в чем они заключаются: здесь может быть все – от банальной замены разрешений файла и порчи его внутреннего содержания до нарушения работы Интернета и краха операционной системы. Также под вирусом подразумевают программу, не только несущую деструктивные функции, но и способную размножаться. Вот что сказано по этому поводу в одной умной книге: «Обязательным (необходимым) свойством компьютерного вируса является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению» (Евгений Касперский, «Компьютерные вирусы»), Действительно, для того, чтобы выжить, вирусам необходимо размножаться, и это доказано такой наукой, как биология. Кстати, именно от тех самых биологических вирусов и произошло название компьютерных. И сами они вполне оправдали свое название: все вирусы просты и, тем не менее, несмотря на старания антивирусных компаний, затраты которых исчисляются огромными суммами, живут и процветают. За примерами далеко ходить не надо: возьмем хотя бы такой вирус, как I-Worm.Mydoom.b. Уж сколько раз говорили, что нельзя открывать вложенные файлы и сообщения электронной почты от неизвестных лиц, да и к посланиям от известных следует относиться с опаской, особенно если вы о таком не договаривались. К тому же, если текст письма будет содержать примерно следующее: «Зацени классную фотку моей девушки», то тут уж его сразу же необходимо удалить. Но если в приведенном выше примере текст еще имеет смысл, то содержание писем, зараженных mydoom’oM, довольно странное. Судите сами: «The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received. The message contains Unicode characters and has been sent as a binary attachment. The message contains MIME-encoded graphics and has been sent as a binary attachment. Mail transaction failed. Partial message is available».

    Внутри письма содержится файл, имеющий 9 вариантов названия вложенного файла и 5 вариантов расширения. Ко мне на ящик приходило две вариации. Первая – zip-apхив с якобы doc-файлом, а второй – это простой ехе’шник с иконкой, замененной на иконку блокнота. Если во втором случае любой пользователь может заметить подвох, посмотрев на разрешение, то в первом сделать это уже сложнее. Именно к первому случаю я склонен относить наибольшее количество заражений. Что делает данный вирус, я рассказывать не буду, т. к. про это уже много раз сказано в печатных изданиях и интернет-ресурсах. На примере Муdoom мы познакомились с первым способом распространения вирусов – через электронную почту.

    Следующий способ рассмотрим на примере Worm.Win32.Lovesan (известного также как msblast). Чем же примечателен этот вирус, и почему заражение им приобрело массовый характер? Примечателен сей индивид тем, что в принципе никак не влияет на работоспособность системы в целом. Компьютер, зараженный им, просто не может нормально работать в Интернете. Через некоторое время выскакивает табличка с сообщением об ошибке RPC, после чего компьютер перезагружается.

    Еще один способ – через Интернет, когда вы скачиваете файлы (в желательном или нежелательном варианте). Опять же, объясню на примерах. Пример желательного. Вы скачиваете из Сети какой-нибудь новый прикол, или программу, или игру, а она заражена вирусом. После загрузки программа/игра/прикол запускается, и – вуаля – вы являетесь обладателем вируса. Что тут можно сказать? Будьте бдительны, регулярно обновляйте базы данных своего антивируса, проверяйте все программы антивирусом и не забывайте хотя бы основы компьютерной безопасности. Кто-то может сказать: «А зачем мне, например, проверять программы, которые не могли быть заражены вирусом?». Хочется спросить: «Это что ж за программы такие?» Любые программы могут быть заражены, особенно если скачиваются они с варезников или сайтов хакерских групп.

    Теперь перейдем к нежелательной загрузке. Я бы выделил два вида такой загрузки. Первый – когда пользователь и не подозревает о том, что на его компьютер что-то загружается. Выполняется данная загрузка посредством выполнения скриптов. Второй вид нежелательной загрузки – это когда загружается не то, что надо. Приведу пример. В свое время один сайт с крэками непосредственно перед закачкой файла предлагал установить то «Free XXX bar», то «100 % крэк Интернета». Если пользователь согласился с этим (а я уверен, что такие были, ибо еще помню вопрос месяца в «Виртуальных Радостях» про «стопроцентный крэк инета»), то происходила закачка трояна или вируса. Разница, в принципе, небольшая. Однако это еще не самое интересное: в случае отклонения такого заманчивого предложения выскакивала табличка с надписью приблизительно следующего содержания: «Site error» и кнопочкой О К или Continue, по нажатии на которую закачка трояна все же происходила, правда, уже без ведома пользователя. И спасти от этого мог лишь файрволл (firewall).

    Троян - это программа, которая предоставляет посторонним доступ к компьютеру для совершения каких-либо действий на месте назначения без предупреждения самого владельца компьютера либо высылает по определенному адресу собранную информацию. При этом она, как правило, выдает себя за что-нибудь мирное и чрезвычайно полезное.

    Часть троянских программ ограничивается тем, что отправляет ваши пароли по почте своему создателю или человеку, который сконфигурировал эту программу (e-mail trojan). Однако для пользователей Internet наиболее опасны программы, позволяющие получить удаленный доступ к их машине со стороны (BackDoor ). Очень часто трояны попадают на компьютер вместе с полезными программами или популярными утилитами, маскируясь под них.

    Особенностью этих программ, заставляющей классифицировать их как вредные, является отсутствие предупреждения об их инсталляции и запуске. При запуске троян устанавливает себя в систему и затем следит за ней, при этом пользователю не выдается никаких сообщений о его действиях. Более того, ссылка на троянца может отсутствовать в списке активных приложений или сливаться с ними. В результате пользователь компьютера может и не знать о его присутствии в системе, в то время как компьютер открыт для удаленного управления.

    Достаточно часто под понятием «троян» подразумевается вирус. На самом деле это далеко не так. В отличие от вирусов, трояны направлены на получение конфиденциальной информации и доступ к определенным ресурсам компьютера.

    Возможны различные пути проникновения трояна в вашу систему. Чаще всего это происходит при запуске какой-либо полезной программы, в которую внедрен сервер трояна. В момент первого запуска сервер копирует себя в какую-нибудь директорию, прописывает себя на запуск в системном реестре, и даже если программа-носитель никогда больше не запустится, ваша система уже заражена трояном. Заразить машину можете вы сами, запустив зараженную программу. Обычно это происходит, если программы скачиваются не с официальных серверов, а с личных страничек. Внедрить трояна могут также посторонние люди при наличии доступа к вашей машине, просто запустив его с дискеты.

    На данный момент наибольшее распространение получили трояны следующих типов:

    1. Утилиты скрытого (удаленного) администрирования (BackDoor – с англ. «задняя дверь»), Троянские кони этого класса по своей сути являются достаточно мощными утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые известными фирмами – производителями программных продуктов. Современные утилиты скрытого администрирования (BackDoor) достаточно просты в использовании. Они обычно состоят главным образом из двух основных частей: сервера (исполнитель) и клиента (управляющий орган сервера). Сервер - это исполняемый файл, который определенным образом внедряется в вашу машину, загружается в память одновременно с запуском Windows и выполняет получаемые от удаленного клиента команды. Сервер отправляется жертве, и в дальнейшем вся работа ведется через клиента на компьютере хакера, т. е. через клиента посылаются команды, а сервер их выполняет. Внешне его присутствие никак не обнаруживается. После запуска серверной части трояна на компьютере пользователя резервируется определенный порт, отвечающий за связь с Интернетом.

    После этих действий злоумышленник запускает клиентскую часть программы, подключается к этому компьютеру через открытый в онлайне порт и может выполнять на вашей машине практически любые действия (это ограничивается лишь возможностями используемой программы). После подключения к серверу управлять удаленным компьютером можно практически как своим: перезагружать, выключать, открывать CD-ROM, удалять, записывать, менять файлы, выводить сообщения и т. д.

    На некоторых троянах можно изменять открытый порт в процессе работы и даже устанавливать пароль доступа для «хозяина» данного трояна. Существуют также трояны, которые позволяют использовать «затрояненную» машину в качестве прокси-сервера (протоколы HTTP или Socks) для сокрытия реального IP-адреса хакера.

    2. Почтовые (e-mail trojan).

    Трояны, позволяющие «вытаскивать» пароли и другую информацию из файлов вашего компьютера и отправлять их по электронной почте хозяину. Это могут быть логины и Internet-пароли провайдера, пароль от почтового ящика, пароли ICQ, и IRC и др. Чтобы отправить письмо владельцу по почте, троян связывается с почтовым сервером сайта по протоколу SMTP (например, на smtp.mail.ru). После сбора необходимых данных троян проверит, отсылались ли эти данные. Если нет – данные отсылаются и сохраняются в регистре. Если уже отсылались, то из регистра извлекается предыдущее письмо и происходит его сравнение с текущим. Если в информации произошли какие-либо изменения (появились новые данные), то письмо отсылается, и в регистре записываются свежие данные о паролях. Одним словом, этот вид троянов просто занимается сбором информации, и жертва может даже и не догадываться, что ее пароли уже кому-то известны.

    3. Клавиатурные (Keyloggers).

    Эти трояны записывают все, что было набрано на клавиатуре (включая пароли) в файл, который впоследствии отправляется на определенный e-mail или просматривается через FTP (File Transfer Protocol). Keylogger’bi обычно занимают мало места и могут маскироваться под другие полезные программы, из-за чего их бывает трудно обнаружить. Еще одной причиной трудности обнаружения такого трояна является то, что его файлы называются как системные. Некоторые трояны этого типа могут выделять и расшифровывать пароли, найденные в специальных полях для ввода паролей.

    Такие программы требуют ручной настройки и маскировки. Keylogger’bi можно использовать не только в хулиганских целях. Например, их очень удобно поставить на своем рабочем месте или дома на время отъезда.

    4. Программы-шутки (Joke programs).

    Эти программы безвредны по своей сути. Они не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, может быть причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности. Программы-шутки запугивают пользователя сообщениями о форматировании жесткого диска, определяют вирусы в незараженных файлах, выводят странные вирусоподобные сообщения и т. д. – это зависит от чувства юмора создателя такой программы. Конечно же, тут нет никаких причин для волнения, если за этим компьютером не работают другие неопытные пользователи, которых подобные сообщения могут сильно напугать.

    5. К «троянским коням» также можно отнести зараженные файлы, код которых определенным образом подправлен или изменен криптографическим методом. Например, файл шифруется специальной программой и/или упаковывается неизвестным архиватором. В итоге даже последние версии антивирусов не могут определить наличие в файле трояна, так как носитель кода отсутствует в их антивирусной базе.

    Способы их проникновения не отличаются от вышеописанных. Поэтому сразу же перейдем к рассмотрению. Тут необходимо оговориться, что существуют вполне мирные диалеры, называемые в народе «звонилками». Эти программы используются с целью помочь пользователям dial-up’a дозвониться до провайдера и по возможности поддерживать с ним стабильную связь даже на старых или «модернизированных» линиях. Те же, о которых пойдет наш разговор, имеют другое название – боевые диалеры. Используя бреши в операционной системе, а иногда и по халатности или наивности пользователей (см. выше про «100 % крэк Интернета») данные программы подменяют телефон провайдера телефоном оператора связи из какой-нибудь экзотической страны. Причем, в большинстве случаев, в окне набора номера остается старый добрый телефон провайдера. Еще диалеры прописывают в планировщике задание позвонить в заданное время. И хорошо, если пользователь имеет привычку выключать модем или он у него внешний и орет так, что мама не горюй. А если модем тихонький да встроенный? Вот и я о том. И узнает бедолага о своем горе лишь по приходу ба-а-алыного такого счета за телефон.

    Пришла пора рассказать о том, кто же пишет и запускает всю эту гадость в Сеть. Здесь я попытаюсь классифицировать те группы людей, которые занимаются этим неблаговидным делом. Тут не будет сказано о так называемых «белых» хакерах. Объясню, почему. Данная разновидность не представляет опасности для общества и скорее несет ему пользу. Именно они чаще всего пишут вирусы-антивирусы для обезвреживания особо вредоносных особей. Почему вирусы? Эти программы распространяются по тому же механизму, что и вирусы. Почему анти-? Потому что блокируют или удаляют определенный вид вируса с компьютера. Главным их отличием от вирусов является также самоликвидация после выполнения своей задачи и отсутствие каких-либо деструктивных функций. Примером может служить подобный вирус, появившийся в Сети через некоторое время после рецидива Lovesan’a. После загрузки вируса-антивируса Lovesan удалялся, а пользователю предлагалось загрузить обновления для Windows. «Белые» хакеры также находят бреши в программном обеспечении и компьютерных системах, после чего сообщают о найденных ошибках компаниям. Теперь перейдем непосредственно к нашей классификации.

    Тип первый: «дети скриптов». Зовут себя не иначе как HaCkeR-rr, читают журнал «Хакер», не знают ни одного языка программирования, а всех «своих» троянов и вирусов творят посредством скачивания готовых программ из Сети. (Чтобы избежать наездов, оговорюсь, что журнал «Хакер», в принципе, неплох, и материал в нем подается в довольно простой форме – местами, правда. Но в простой форме для людей, уже имеющих какой-то багаж знаний. И материал они дают с умом – не рассказывают все до конца – дабы не привлекли их никуда, надо думать.) Эти «хакеры» обычно, после того как пришлют кому-нибудь скачанный откуда-нибудь троян, и последний сработает, тут же начинают орать на форумах о своей крутизне и т. д. и т. п. За что тут же вполне справедливо получают в свой адрес кучу нелицеприятных высказываний, ибо не дело это. Раз уж напакостил, то лучше помолчи. Особой опасности данные индивиды не представляют, т. к. на более-менее масштабное дело у них просто не хватит ни опыта, ни (в некоторых случаях) мозгов.

    Тип второй: «начинающий». Данный вид является прямым потомком первого. Некоторые из представителей первого типа, спустя какой-то промежуток времени, начинают понимать, что они не так круты, как им казалось, что, оказывается, существуют еще и языки программирования, что можно что-то сделать и после этого не орать на весь мир про то, «какой я молодец». Кто-то из них в будущем, возможно, превратится в представителя класса профи. Эти люди начинают учить какой-нибудь язык, пробовать что-то писать, в них начинает просыпаться творческая мысль. И одновременно они начинают представлять определенную опасность для общества, ибо кто знает, какое ужасающее произведение по неопытности может сочинить такой представитель класса вирусописателей. Ведь когда код пишет профессионал, он, все-таки, осознает, что некоторые вещи делать не нужно, т. к. они могут сыграть против него. У новичка таких знаний нет, и этим он опасен.

    Тип третий: «профи». Развиваются из второго вида. «Профи» отличаются глубоким знанием языков программирования, сетевой безопасности, разбираются в глубинах операционных систем и, что самое важное, обладают очень серьезными знаниями и пониманием механизма работы сетей и компьютерных систем. Причем «профи» не только узнают о брешах в системах безопасности из бюллетеней компаний, но и сами находят их. Часто они объединяются в хакерские группы для улучшения качества своей «работы». Эти люди, в основном, скрытные и не жадные до славы, при проведении какой-нибудь успешной операции не бегут сообщать об этом всему миру, а предпочитают мирно отпраздновать успех в кругу друзей. Безусловно, представляют большую опасность, но, поскольку все они люди знающие, то не пойдут на действия, которые могут вызвать глобальный обвал какой-либо системы – к примеру, Интернета. Хотя бывают и исключения (не все еще забыли про Slammer’a).

    Тип четвертый: «промышленные хакеры». Наиболее опасные для общества представители семейства хакеров. Их по праву можно называть настоящими преступниками. Именно на их совести лежит написание большей части диалеров и взлом сетей банков, крупных компаний и правительственных учреждений. Зачем и ради чего они это делают, мы поговорим ниже. «Промышленники» не считаются ни с чем и ни с кем, эти индивиды способны пойти на все ради достижения своих целей.

    Теперь обобщим написанное.

    «Дети скриптов»: молодо, зелено да неопытно. Хочется показать, что ты круче всех, а круче тебя – только Крутой Сэм.

    «Начинающий»: появилась тяга к написанию чего-то самостоятельного. Часть из них, к счастью, после попытки освоения премудростей интернет-протоколов и языков программирования бросают это дело и идут заниматься чем-то более мирным.

    «Профи»: если вдруг наступает состояние «осознал свою вину, меру, степень, глубину», то представитель данного вида становится высококвалифицированным специалистом по компьютерной безопасности. Хотелось бы, чтобы побольше профи перешло к такому состоянию.

    «Промышленники»: ничего святого. Про таких хорошо говорит народная мудрость: «Горбатого могила исправит».

    Таково грубое разделение на типы представителей класса компьютерных злоумышленников. Теперь перейдем к вопросу: зачем они это делают.

    А действительно, зачем пишутся вирусы, трояны, диалеры и прочая нечисть? Одной из причин является желание самоутверждения. Оно характерно для представителей первого и второго типа. Одному просто нужно показать своим друзьям, что он «типа того, реальна, крутой пацан», второму – прежде всего для поднятия уровня самооценки. Вторая причина – получение опыта. Характерна для начинающих. После написания своего первого шедевра, естественно, хочется его на ком-нибудь испытать, – не на себе же, в самом деле. Вот и появляется в Сети определенное число новых, не всегда очень опасных, вирусов.

    Следующая причина – дух соперничества. Вы никогда не слышали про хакерские соревнования? Последнее, известное мне состоялось летом. Победила бразильская хакерская группа (оказывается, не только футбол у них силен). Задача стояла следующая: кто сломает больше всего сайтов. Но я уверен, что есть соревнования и по самому навороченному вирусу, и по самому лучшему клавиатурному шпиону.

    Адреналин – еще одна причина. Представьте себе: ночь, свет монитора, пальцы бегают по клавиатуре, вчера была найдена брешь в системе защиты, сегодня нужно попытаться получить доступ к системе и показать товарищу администратору, кто в доме хозяин. Следом за этой причиной идет и следующая – романтика. А что, кому нравится на закат смотреть, кому на звезды, а кому – вирусы писать. Сколько людей, столько и вкусов.

    Причина следующая – политический или социальный протест. По этой причине взламывается большинство правительственных сайтов, сайтов политических партий, печатных и интернет-изданий, а также крупных корпораций. За примерами далеко ходить не надо. Сразу же после начала войны в Ираке были произведены атаки на американские правительственные сайты со стороны недовольных политикой Буша, а также на сайт арабской газеты «Аль-Джазира» и ряд других арабских ресурсов с противоположной стороны.

    И, пожалуй, последняя причина – это вездесущие деньги. Ради них, в основном, работают, если можно так выразиться, промышленные хакеры. Взламывая сети банков, они получают доступ к счетам клиентов. Что за этим последует, догадаться нетрудно. Собирая информацию о любом пользователе Сети посредством программ-шпионов, они в дальнейшем занимаются банальным шантажом. Действия, на которые идут «промышленники», можно перечислять еще очень долго, хочу лишь еще раз сказать, что именно они являются полноценными компьютерными преступниками, и относиться к ним нужно как к преступникам.

    Из книги Журнал `Компьютерра` №726 автора Журнал «Компьютерра»

    Из книги Журнал «Компьютерра» №25-26 от 12 июля 2005 года автора Журнал «Компьютерра»

    Шпионы, учите матчасть! Похоже, в мире начинаются серьезные перемены. Во всяком случае, ничего подобного еще не бывало. Итальянский суд выдал ордер на арест тринадцати сотрудников ЦРУ США по обвинению в похищении человека. И пусть человек этот, имам миланской мечети

    Из книги Журнал «Компьютерра» № 35 от 25 сентября 2007 года автора Журнал «Компьютерра»

    АНАЛИЗЫ: Шпионы в стране Wikipedia Автор: Киви БердВпечатляющий рубеж в два миллиона статей, достигнутый англоязычным сегментом Википедии в сентябре нынешнего года, – огромный и несомненный успех мирового интернет-сообщества, объединенными усилиями сумевшего создать

    Из книги Сбои и ошибки ПК. Лечим компьютер сами. Начали! автора Ташков Петр

    Глава 4 Вирусы, трояны и программы-шпионы Наверное, не будет ошибкой сказать, что вместе с компьютером появились и программы, пытающиеся ему навредить. Различные вирусы, троянские кони, приложения-шпионы, «черви» и прочие неприятные программные вредители постоянно держат

    Из книги Сбои и ошибки ПК. Лечим компьютер сами автора Донцов Дмитрий

    Блокируем троянских коней, «червей» и программы-шпионы Когда-то давно, с появлением первых вирусов, главной опасностью было заражение компьютера и офисных документов. В принципе, большой проблемы в этом не было, поскольку антивирусная программа умела справляться с

    Из книги Цифровой журнал «Компьютерра» № 97 автора Журнал «Компьютерра»

    Из книги Интернет – легко и просто! автора Александров Егор

    Кивино гнездо: Шпионы в законе Киви Берд Опубликовано 29 ноября 2011 года У «арабской весны», волной народных восстаний прокатившейся в этом году по ближневосточному региону, есть один примечательный побочный результат. Суть его в том, что у

    Из книги Компьютерра PDA N147 (26.11.2011-02.12.2011) автора Журнал «Компьютерра»

    Вирусы Вирус – это приносящая вред компьютерная программа, способная размножаться, создавая свои копии, которые, в свою очередь, также сохраняют способность к размножению (рис. 10.1). В последние годы в связи с бурным развитием сетевых технологий определение слова «вирус»

    Из книги Мошенничество в Интернете. Методы удаленного выманивания денег, и как не стать жертвой злоумышленников автора Гладкий Алексей Анатольевич

    Кивино гнездо: Шпионы в законе Автор: Киви БердОпубликовано 29 ноября 2011 годаУ "арабской весны", волной народных восстаний прокатившейся в этом году по ближневосточному региону, есть один примечательный побочный результат. Суть его в том, что у западноевропейской и

    Из книги Бесплатные разговоры через Интернет автора Фрузоров Сергей

    Чем опасны клавиатурные шпионы? Клавиатурный шпион – это программа либо устройство, с помощью которого осуществляется постоянное наблюдение за всеми нажатиями клавиш на клавиатуре (а во многих случаях – и за всеми щелчками мыши) с целью получения информации обо всех

    Из книги Создаем вирус и антивирус автора Гульев Игорь А.

    Вирусы и черви Вирус - это обычная программа, которая выполняет вредные, а иногда и просто разрушительные действия. Вы спросите, что может сделать вирус? Да практически все, что можно сделать в вашей операционной системе. Давайте рассмотрим это чуточку подробней на

    Из книги Введение в криптографию автора Циммерманн Филипп

    Клавиатурные шпионы Клавиатурные шпионы – это программы, запоминающие, какие клавиши были нажаты в ваше отсутствие, то есть – что творилось на вашем компьютере, пока вас не было в офисе. Для этого все, что набирается на клавиатуре, заносится специальной программой в

    Из книги Цифровой журнал «Компьютерра» № 191 автора Журнал «Компьютерра»

    Вирусы и трояны Атака состоит в применении специально спроектированного компьютерного вируса или червя для заражения установленной у вас программы PGP. Этот гипотетический вирус может быть устроен так, чтобы перехватывать закрытый ключ и пароль или содержимое

    Из книги Цифровой журнал «Компьютерра» № 197 автора Журнал «Компьютерра»

    Аппаратные трояны для процессоров Intel - первая практическая реализация Андрей Васильков Опубликовано 19 сентября 2013 Восемь лет назад Министерство обороны США публично выразило обеспокоенность тем, что при достаточном техническом уровне

    Из книги Цифровой журнал «Компьютерра» № 204 автора Журнал «Компьютерра»

    Трояны в китайских утюгах: почему таможня не даёт добро Андрей Васильков Опубликовано 28 октября 2013 В минувшие выходные на сайте «Вести.Ру» появилась заметка о том, как российские таможенники обнаружили в партии утюгов из Китая шпионскую начинку.

    Из книги автора

    Трояны с претензией на авторское право: как не надо делать скрытые биткойн-майнеры Андрей Васильков Опубликовано 20 декабря 2013 В литературных произведениях преступники - злые гении, бросающие интеллектуальный вызов правосудию и лучшим умам



    Загрузка...

    Возможно вам будет интересно:

    Базовые элементы монтажа в Vegas Pro Вставка шаблонных титров
    Вопрос

    Базовые элементы монтажа в Vegas Pro Вставка шаблонных титров

    Всем привет! Сегодня мы перейдем с вами к видеомонтажу. И первым делом мне хотелось бы дать вам подробную инструкцию, как пользоваться сони вегас про 13, даже если вы начинающий пользователь. На сегодняшний день эта программа является одной из лучших. Ко

    Как создать, установить и поменять тему на андроид Как создать лаунчер на все телефоны
    Вопрос

    Как создать, установить и поменять тему на андроид Как создать лаунчер на все телефоны

    Для организации и взаимодействия с приложениями на Android используются лаунчеры. Которые обычно состоят из серии домашних экранов, где мы можем организовать ярлыки приложений, виджеты и так далее. Каждый телефон поставляется с лаунчером, но не все лаунче

    Где и в каком виде хранится информация
    Вопрос

    Где и в каком виде хранится информация

    Откройте окно с задачей "Мой компьютер ". Если значки в окне мелкие, то измените их на крупные. Конечно, с помощью Правила Внешнего вида!Окно задачи будет выглядеть приблизительно так, как на рисунке:В данном примере значки (C:), (D:) и (E:) обозначают ло

    Реклама