Новый вирус обнаружила лаборатория касперского

Обновлено: 24.04.2024

"Лаборатория Касперского" обнаружила новое кибероружие. Речь идет о вирусе под названием Flame. Он представляет собой набор инструментов для организации кибератак. Эксперты говорят, что новый вирус значительно превосходит по сложности известные троянцы Duqu и Stuxnet, выводившие из строя центрифуги на иранских заводах по обогащению урана. В результате этой кибердиверсии ядерная программа Ирана была отброшена на несколько лет назад.

Александр Гостев, главный антивирусный эксперт "Лаборатории Касперского" поясняет: "Если червь Stuxnet имел размер порядка 1 МБ, то червь Flame имеет несколько модулей – это несколько десятков различных файлов, которые он устанавливает в системы, с которыми работает. Их суммарный объем составляет порядка 20 МБ, то есть это в 20 раз больше, чем Stuxnet".

В отличие от целей Stuxnet, основной задачей Flame был кибершпионаж. Вирус позволяет похищать данные, которые вводятся при помощи клавиатуры – например, электронную переписку, информацию о системах–объектах атак, файлы, хранящиеся на компьютере, записывать разговоры его владельца и раз в несколько секунд делать скриншоты экрана.

"Последствия вообще его применения могут быть самыми неожиданными, — продолжает Александр Гостев. — Если мы говорим именно о шпионской функции — то, что было украдено при его помощи, может иметь самые далеко идущие последствия. Никто ведь не знает, что конкретно было украдено, в чьи руки это попало, и какие выводы были сделаны на основе этой информации".

Вирус был обнаружен в результате запроса международного института электросвязи, подведомственного ООН. Специалисты "Лаборатории Касперского" пытались найти вирус, который атаковал Иран в конце апреля, но вместо него обнаружили Flame. Принцип работы вируса известен, но его детальный анализ потребует несколько месяцев.

"Мы все прекрасно понимаем, что во всех этих историях мы оказываемся значительно позади атакующих, — отмечает Александр Гостев. — С нашей точки зрения Flame существовал как минимум с 2010 года и оставался незамеченным".

Основным очагом распространения троянца вновь оказался Иран, однако на этот раз инфицированные компьютеры были обнаружены в Палестинской автономии, Судане, Сирии, Ливане, Саудовской Аравии, Египте и некоторых европейских странах. Всего заражению подверглось около 1000 машин. В лаборатории считают, что за созданием вируса стоят государственные структуры, вероятно, спецслужбы. "Это не работа традиционных киберпреступников, цель которых — банальное зарабатывание денег, — добавляет Александр Гостев. — Здесь речь идет об интересах национальной безопасности".

За последние два года это уже третий случай обнаружения кибероружия, созданного по заказу государств. А значит, кибервойны – уже не фантастика, а объективная реальность. Разработка компьютерных вирусов стоит в тысячи раз дешевле производства бомб или ракет, но при этом их разрушительная сила вполне сопоставима с реальным оружием. Очевидно, что распространение кибероружия необходимо контролировать. Эксперты по интернет-безопасности считают, что для этого придется создать новую международную организацию – например, КиберМАГАТЭ.

"Лаборатория Касперского" объявила о раскрытии масштабной шпионской сети. Вирус "Красный Октябрь" пять лет атаковал компьютерные системы правительственных организаций. Под прицелом оказались посольства, ядерные исследовательские центры, аэрокосмические организации, нефтяные и газовые компании. Ни зашифрованные, ни даже стертые файлы не останавливали программу.

Первый персональный компьютер, сошедший с конвеера задумывался, как помощник человека, коим он является и сегодня, но уже с рядом оговорок. Заставить любой ноутбук шпионить за своим хозяином можно всего в несколько кликов. Едва утих скандал после неуклюжей кибератаки американских спецслужб на Елисейский дворец — тогда использовался вирус Флейм — и вот следующий виток. В глобальной сети специалисты российской "Лаборатории Касперского" обнаружили новый вредоносный код "Красный Октябрь".

"Первые данные к нам поступили в октябре 2012 года. Один из наших партнеров прислал нам зараженный файл, после его изучения мы поняли что имеем дело с таргетированной атакой, хорошо спланированной. По типу файлов стало понятно, что злоумышленников интересовали в основном документы, а среди жертв числились серьезные организации: посольства стран Восточной Европы, нефтедобывающие компании и научно исследовательские институты. Эта версия вируса отличается в основном массированностью написанного вредоносного кода. Прослеживается работа российских программистов", — прокомментировал новый вирус ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк.

Зона вирусного поражения — это почти половина земного шара. Похоже, что с таким размахом кибершпионы действуют впервые. Оказывается, что тотальная слежка за различными госструктурами и международными компаниями велась целых пять лет. Кроме того, хакеры изрядно поработали с секретной информацией на жестких дисках, прослушивались и телефоны.

"Данная гипершпионская сеть существовала на протяжении пяти лет и в данный момент включает в себя более чем 300 различных организаций из ряда стран Восточной Европы, Азии, Африки, и Северной Америки. На территории этих стран находятся зараженные компьютеры и сети, однако они принадлежат в большинстве своем дипломатическим ведомствам и государственным структурам. То есть это могут быть посольства иных стран, просто находящиеся на территории, например, Африки", – объяснил Камлюк.

Заражение вирусом шло через электронную почту. Жертва получала письмо с предложением приобрести подержаный автомобиль. После скачивания файла "Красный октябрь" проникал в систему и сразу же начинал шпионить. Причем информация также собиралась со всех подключенных по сети машин, флеш-носителей и даже мобильных телефонов. Затем данные отправлялись на сервер хакеров, но не напрямую, а через обширную сеть серверов-прикрытия. Отследить такой интернет-маневр практически невозможно.

Наглость виртуальных бандитов отчетливо просматривается и сквозь список пострадавших: в нем НАТО, ядерные объекты Европы, космические институты бывших союзных республик и другие солидные учреждения, казалось бы, с серьезной защитой. Специалисты говорят, что создать такой вирус теоретически могли китайцы, но есть в нем и явный российский след. В программном коде "Красного Октября" всплыли слова, русского происхождения, например, "прога", что на it-сленге означает "программа". Правда, и таким уликам верить не стоит: не исключено, что именно так кто-то умело заметает следы. Между тем, "Красный Октябрь" продолжает шествие по планете, преступники не найдены, поэтому выяснить, кто следующий, сейчас гораздо важнее, чем кто это сделал.

Софт

Классификация вирусного ПО

Компьютерным вирусом называется автономно работающая программа, имеющая способность внедряться в ресурсы компьютерных систем, самовоспроизводиться и самораспространяться в информационном пространстве. Классификация вирусного ПО производится по характерным признакам:

Среде обитания вируса: файловые, загрузочные, сетевые, макровирусы, поражающие файлы Microsoft Office и заражающие микросхемы FLASH памяти BIOS программы.
Способу инфицирования — резидентные и нерезидентные программы. Резидентные оставляют часть кода в памяти, а нерезидентные — нет.
Специфичности алгоритма работ.
Разрушительным возможностям.

В зависимости от целей программиста, написавшего вредоносную программу, вирусы могут либо причинять незначительный вред, либо приводить к потере информации и разрушать операционную систему.

В процессе функционирования вирусное ПО может вызывать следующие проблемы:

Неуничтожаемый компьютерный вирус

Вирусное ПО используется для слежки за пользователями. Slingshot может отправлять скриншоты, перехватывать пароли и данные.

Попадает в систему вредоносная программа через уязвимость роутеров, но, вероятно, может применять и другие пути проникновения. Поэтому перепрошивка маршрутизатора не всегда эффективна.

Проникнув в роутер, вирусное ПО меняет одну из DDL библиотек на вредоносную. Она загружается в память устройства при запуске, открывается и подгружает саму программу Slingshot. То есть ПО появляется только при загрузке компьютера и не находится на диске. Поэтому вирусную программу невозможно удалить, фактически её нет на устройстве.

Вредоносное ПО состоит из двух частей: модуля режима ядра Cahnadr и пользовательского модуля GollumApp, который предназначен для сбора информации и кражи данных. Вирус имеет высокую степень защиты от обнаружения. Один из его модулей Spork собирает сведения об оперативной системе и применяемом антивирусе. Эти факторы способны повлиять на то, какие способы заражения будут использованы.

Читайте также: