Вирусы которые могут оставлять свои копии в оперативной памяти называются

Обновлено: 22.04.2024

Привет, GT! Зоопарк всевозможных вирусов растет с каждым годом, благо фантазии их создателям не занимать. Конечно, с рядом самых распространенных зловредов успешно справляются антивирусы, притом даже бесплатные их версии или же встроенные в саму ОС. С популярными шифровальщиками тоже худо-бедно бороться научились (на сайтах известных антивирусных компаний есть раздел с услугами по расшифровке или генерации кода, если вам известен кошелек или email, на который авторы зловреда просят перевести средства).

Обычные вирусы оставляют следы на зараженной машине — какие-нибудь подозрительные исполняемые файлы, файлы библиотек или просто огрызки зловредного кода, которые в состоянии обнаружить антивирус или же правильный админ. Нахождение и выявление таких следов помогают идентифицировать вирус, а значит – удалить его и минимизировать последствия.

Но противостояние меча и щита — штука вечная, и компьютерные зловреды не ограничиваются только теми, что оставляют какие-то следы на накопителях. Ведь если вирус размещается и действует только внутри оперативной памяти, не соприкасаясь с жестким диском или SSD, значит, следов на них он тоже не оставит.




В 2014 году был ряд новостей о так называемых RAM malware, но тогда это относилось к довольно узкой группе поражаемых устройств — к платежным терминалам.

Данные транзакций считаются защищенными, так как хранятся в зашифрованном виде на серверах платежных систем. Но существует очень короткий период времени, в течение которого информация для авторизации платежа хранится в виде plain text. Причем хранится именно в оперативной памяти платежного терминала.

Само собой, хакерам этот кусок показался слишком лакомым, чтобы просто так пройти мимо него, и на свет появились зловреды, собирающие информацию из RAM POS-терминалов — номера карт, адреса, коды безопасности и имена пользователей.

А затем кто-то решил пойти дальше, вспомнив, что у компьютеров тоже есть оперативная память.

RAM-only


Как проходит заражение машины в таком случае:

  • зловред прописывает себя непосредственно в оперативную память, минуя жесткие диски
  • из-за этого при проверке безопасности его не получается обнаружить
  • для прописывания зловреда в память злоумышленники использовали популярные средства администрирования — PowerShell, Mimikatz, Metasploit
  • для передачи данных использовались сайты, созданные на национальных доменах таких стран как Габон, Центральноафриканская Республика и Мали. Их домены характерны тем, что они не сохраняют WHOIS-информацию о том, кому принадлежал конкретный домен, после истечения срока его продления. То есть еще минус одна возможность как-то отследить злоумышленника.

Найти такие вирусы трудно, потому что в привычном виде они на самом деле не оставляют следов. Нет каких-то установленных приложений. Нет отдельных файлов, раскиданных в разных папках, включая системные или скрытые.

Но где-то же они оставляют следы?

Само собой, если вирус не оставляет следов на накопителях, на них нет и особого смысла искать. И что тогда? Правильно — реестр, дампы памяти и сетевая активность. Надо же ему как-то прописать себя в память (причем так, чтобы сохранять работоспособность и после перезагрузки машины), а затем как-то передавать данные на сервер злоумышленника.

Специалисты “Лаборатории Касперского” тщательно проанализировали дампы памяти и записи реестра с машин, подвергшихся заражению, и с помощью Mimikatz и Meterpreter смогли реконструировать атаку.



Фрагмент кода, загруженного с помощью Meterpreter с сайта adobeupdates.sytes[.]net


Скрипт, сгенерированный фреймворком Metasploit.
Выделяет необходимое количество памяти, использует WinAPI и загружает утилиту Meterpreter прямо в оперативную память.

Стоит ли опасаться подобного

С одной стороны – безусловно да. Вирус, каким бы он ни был, направлен не на то, чтобы сделать вашу работу за компьютером более комфортной.

С другой стороны, не так сильно (пока не так сильно), как обычных вирусов и тех же шифровальщиков. Хотя бы потому, что на данный момент главная цель подобных атак — финансовые учреждения, а не обычные пользователи.

Но кто знает, как часто таких зловредов будут создавать и использовать уже в ближайшее время.


Напоминаем, что весна — отличный повод обновляться не только листочкам на деревьях, но и системным блокам у вас под столом. Специально для этого у Kingston действуют акции в магазинах-партнерах. Например, в сети DNS до 15 апреля можно со скидкой купить оперативную память Kingston SO-DIMM, подробности — здесь. В Юлмарте до 18 апреля проходит акция и действуют специальные цены на модули памяти Kingston и HyperX для компьютеров и ноутбуков по промокоду KINGMEM. А в магазинах Ситилинк до 7 апреля скидки распространяются сразу на несколько видов оперативки, и там также важно не забывать вводить промокод — DDR3HX. Так что есть смысл поспешить за новой памятью и выгодно обновиться.

Для получения дополнительной информации о продукции Kingston и HyperX обращайтесь на официальный сайт компании.

Программа, способная создавать свои копии и внедрять их в различные объекты или ресурсы компьютерных систем, сетей и так далее без ведома пользователя.

Что не является критерием для классификации компьютерных вирусов?

Занимаемый вирусом объем памяти на носителе.

Сетевые вирусы используют для своего распространения

Протоколы или команды компьютерных сетей и электронной почты.

Нерезидентные вирусы

Не заражают память компьютера и сохраняют активность ограниченное время.

По какой категории вирусы делятся на неопасные, опасные и очень опасные?

По деструктивным возможностям.

6.Вирусы, использующие в своем алгоритме работы перехват запросов операционной системы на чтение или запись зараженных объектов:

7.Главная особенность полиморфиквирусов:

Не содержат ни одного постоянного участка кода.

8.Основная функция вирусов типа "червь", действующих в компьютерных сетях:

Взлом атакуемой системы, преодоление защиты с целью нарушения безопасности.

9.К источникам компьютерных вирусов нельзя отнести:

Диски с лицензионными программами.

10.Файловые вирусы внедряются главным образом в:

Исполняемые модули, т. е. файлы, имеющие расширения com и exe.

11.Внедряются в загрузочный сектор диска:

12.Антивирусными программами являются:

Dr. Web, Eset NOD32, Panda.

На чем основано действие антивирусной программы?

На сравнении программных кодов с кодами известных вирусов.

Заражение компьютерными вирусами может произойти в процессе.

Работы с файлами записанными на CD.?

Печати на сетевом принтере.

Может ли присутствовать компьютерный вирус на чистой дискете (на дискете отсутствуют файлы)?

Да, в загрузочном секторе дискеты

16.Главный недостаток антивирусов, которые относятся к программамфильтрам:

Помещение файла в отдельную папку.?

Удаление вирусного кода из файла.

18.Антивирусные программыдетекторы:

Основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ.

19.Антивирусные программыдоктора или фаги:

20.Антивирусные программы, которые записывают в программу признаки конкретного вируса так, что вирус считает ее уже зараженной:.

Для чего требуется процедура обновления сигнатур антивируса?

Для возможности защиты от недавно появившихся вирусов.

22.Антивирусная программа, которая использует программу эмуляции процессора, т. е. моделирует выполнение остальных файлов с помощью программной модели микропроцессора:

Основным способом противостояния вредоносным программам в этом антивирусе являются так называемые расширенные эвристики (Advanced Heuristics).

24.В состав какого антивируса включен Файловый Антивирус (специальный компонент, обеспечивающий защиту файловой системы компьютера от заражения, запускающийся при старте операционной системы).

Можно ли устанавливать на компьютер несколько антивирусных программ?

Нельзя, потому что антивирусы будут мешать работе друг друга.

26.Программы, которые способны создавать свои копии и внедрять их в различные объекты/ресурсы компьютерных систем, сетей и т.д. без ведома пользователя называются:

Антивирусный сканер выполняет следующие функции

обнаруживает и удаляет вирусы из файлов

28.Вирусы, которые могут оставлять свои копии в оперативной памяти, называются:

28.По среде обитания вирусы можно разделить на:

Файловые, загрузочные, макровирусы и сетевые

Вирусы, перехватывающие команду чтения зараженного участка и подставляющие незараженный код, называются

30.Вирусы, которые активизируются при запуске на выполнение "зараженной программы" и проявляются сразу и не записываются в оперативную память называются:




Компьютерным вирусом называется

программы, которые способны создавать свои копии и внедрять их в различные объекты ресурсы компьютерных систем, сетей и т.д. без ведома пользователя

32.Компьютерный вирус – это:

Программа, мешающая корректной работе компьютера

33.Компьютерный вирус это:

Программа, повреждающая компьютерные программы и данные

34.Что такое компьютерный вирус:

Специально написанные программы небольшого размера, которая может искажать и уничтожать информацию на компьютере

35.Программа доктор (фаг):

находит зараженные файлы и лечит их

36.Программавакцина:

модифицируют программы и диски

Компьютерный вирус, изменяющий свою структуру, называется

38.Укажите две основные группы вирусов:

Самошифрующиеся вирусыпризраки, имеющие непостоянный ключ и меняющийся код, называются

40.Программа может оказаться "зараженной"

если данная программа была на жестком диске и в работу была запущена зараженная программа

41.Программафильтр:

обнаруживает подозрительные действия

42.Программаревизор:

сравнивает исходное состояние файла с текущим

43.По степени воздействия компьютерные вирусы делятся на:

Неопасные, опасные, очень опасные.

44.Класс вирусов по особенностям алгоритма вируса подразделяются на:

вирусычерви, паразитические, стелсвирусы, полиморфик –вирусы.

Какая программа находит зараженные файлы и лечит их

46.Заражение компьютерными вирусами может произойти в процессе:

47.Что делает программадетектор:

ищет вирусы с известной сигнатурой

48.Как называется программа, запоминающая данные о системной области программ и диска, затем определяющая несоответствия при сравнении:

49.Отличительными особенностями компьютерного вируса являются:

Маленький объем; способность к самостоятельному запуску и многократному копированию кода, к созданию помех корректной работе компьютера.

Компьютерный вирус - программа способная самопроизвольно внедряться и внедрять свои копии в другие программы, файлы, системные области компьютера и в вычислительные сети, с целью создания всевозможных помех работе на компьютере.

· прекращение работы или неправильная работа ранее функционировавших программ

· медленная работа компьютера

· невозможность загрузки ОС

· исчезновение файлов и каталогов или искажение их содержимого

· изменение размеров файлов и их времени модификации

· уменьшение размера оперативной памяти

· частые сбои и зависания компьютера и др.

Классификация компьютерных вирусов

· Сетевые – распространяются по различным компьютерным сетям

· Файловые – внедряются в исполняемые модули (COM, EXE)

· Загрузочные – внедряются в загрузочные сектора диска или сектора, содержащие программу загрузки диска

· Файлово-загрузочные – внедряются и в загрузочные сектора и в исполняемые модули

По способу заражения:

· Резидентные – при заражении оставляет в оперативной памяти компьютера свою резидентную часть, которая потом перехватывает обращения ОС к объектам заражения

· Нерезидентные – не заражают оперативную память и активны ограниченное время

· Неопасные – не мешают работе компьютера, но уменьшают объем свободной оперативной памяти и памяти на дисках

· Опасные – приводят к различным нарушениям в работе компьютера

· Очень опасные – могут приводить к потере программ, данных, стиранию информации в системных областях дисков

По особенностям алгоритма:

· Паразиты – изменяют содержимое файлов и секторов, легко обнаруживаются

· Черви – вычисляют адреса сетевых компьютеров и отправляют по ним свои копии

· Стелсы – перехватывают обращение ОС к пораженным файлам и секторам и подставляют вместо них чистые области

· Мутанты – содержат алгоритм шифровки-дешифровки, ни одна из копий не похожа на другую

· Трояны – не способны к самораспространению, но маскируясь под полезную, разрушают загрузочный сектор и файловую систему

Пути проникновения вирусов:

Основные меры по защите от вирусов

· оснастите свой компьютер одной из современных антивирусных программ: Doctor Weber, Norton Antivirus, AVP

· постоянно обновляйте антивирусные базы

· делайте архивные копии ценной для Вас информации (гибкие диски, CD).

Классификация антивирусного программного обеспечения

Тип антивирусной программы Принцип действия
Детекторы Обнаруживают файлы, зараженные одним из известных вирусов.
Врачи (фаги) Лечат зараженные программы или диски, изымая из зараженных программ код вируса, то есть возобновляют программу в том состоянии, в котором она была до заражения вирусом
Ревизоры Сначала запоминают сведения о состоянии программ и системных областей дисков, а после этого сравнивают их состояние с начальным. При выявлении несоответствию сообщают о ней
Фильтры Загружаются резидентный в оперативную память, перехватывают те обращения к системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них.
Вакцины Программы, которые используются для обрабатывания файлов и загрузочных секторов с целью преждевременного выявления вирусов

Современные антивирусные программы обеспечивают комплексную защиту программ и данных на компьютере от всех типов вредоносных программ и методов их проникновения на компьютер (Интернет, локальная сеть, электронная почта, съемные носители информации). Большинство антивирусных программ сочетает в себе функции постоянной защиты (антивирусный монитор) и функции защиты по требованию пользователя (антивирусный сканер).

Задание и порядок выполнения работы

  1. Изучите краткие теоретические сведения.
  2. Запустите на исполнение антивирусную программу, установленную на вашем компьютере.
  3. Определите основные элементы окна программы.
  4. Просмотрите, какие виды защиты включены.
  5. Просканируйте на наличие вирусов диск D: вашего компьютера.
  6. Просмотрите отчёт. Запишите количество проверенных файлов и папок и количество найденных вирусов ____________________________________.
  7. Соедините линиями названия видов вирусов со средами, в которых распространяются.

12. Пометьте галочкой вредоносные действия, выполняемые вирусами.




o Замедлять работу компьютера.

o Выводить из строя процессор.

o Удалять данные.

o Уменьшать объем свободного места на диске.

o Вызывать ошибки в работе ОС.

o Блокировать работу антивирусных программ.

13. Укажите признаки заражения компьютера вирусами или троянами.

o Прекращение работы или неправильная работа программ, которые раньше функционировали нормально.

o Непривычный шум в системном блоке.

o Увеличение количества файлов на диске, изменение их объемов, даты и времени создания.

14. Соедините линиями названия видов антивирусных программ с описаниями их назначения.

Сканеры Проверяют файлы, диски и оперативную память на наличие известных и новых вирусов
Мониторы Запоминают состояние файловой системы, что позволяет анализировать произведенные в ней изменения
Ревизоры Отслеживают потенциально опасные операции и отображают запросы на их разрешение

15. Укажите, какие операции могут выполнять антивирусные программы.

o Сканирование памяти и содержимого дисков по расписанию.

o Сканирование памяти компьютера, а также записываемых и считы­ваемых файлов во время выполнения операций с ними.

o Восстановление данных, поврежденных вирусами.

o Распознавание поведения, характерного для компьютерных вирусов.

o Автоматическое обновление антивирусных баз через Интернет.

o Проверка данных, поступающих из Интернета.

o Поиск в Интернете новых видов вирусов и защита от них компью­тера пользователя.

16. Пометьте пункты, которые можно отнести к профилактическим мерам по борьбе с вредоносными программами.

o Не запускать на выполнение незнакомые программы.

o Не пользоваться пиратскими копиями программных продуктов.

o Удалять электронные письма, содержащие вложенные файлы.

o Не открывать полученные из Интернета документы без проверки на наличие вирусов.

o Периодически создавать резервные копии важных файлов на внешних носителях информации флэш-накопителях, оптических дисков.

o Ежедневно производить полную проверку компьютера на наличие вирусов и других вредоносных программ.


Поговорим о компьютерных вирусах? Нет, не о том, что вчера поймал ваш антивирус. Не о том, что вы скачали под видом инсталлятора очередного Photoshop. Не о rootkit-e, который стоит на вашем сервере, маскируясь под системный процесс. Не о поисковых барах, downloader-ах и другой малвари. Не о коде, который делает плохие вещи от вашего имени и хочет ваши деньги. Нет, всё это коммерция, никакой романтики…

В общем, для статьи вполне достаточно лирики, перейдем к делу. Я хочу рассказать о классическом вирусе, его структуре, основных понятиях, методах детектирования и алгоритмах, которые используются обеими сторонами для победы.

Мы будем говорить о вирусах, живущих в исполняемых файлах форматов PE и ELF, то есть о вирусах, тело которых представляет собой исполняемый код для платформы x86. Кроме того, пусть наш вирус не будет уничтожать исходный файл, полностью сохраняя его работоспособность и корректно инфицируя любой подходящий исполняемый файл. Да, ломать гораздо проще, но мы же договорились говорить о правильных вирусах, да? Чтобы материал был актуальным, я не буду тратить время на рассмотрение инфекторов старого формата COM, хотя именно на нем были обкатаны первые продвинутые техники работы с исполняемым кодом.

Начнём со свойств кода вируса. Чтобы код удобней было внедрять, разделять код и данные не хочется, поэтому обычно используется интеграция данных прямо в исполняемый код. Ну, например, так:


Все эти варианты кода при определенных условиях можно просто скопировать в память и сделать JMP на первую инструкцию. Правильно написав такой код, позаботившись о правильных смещениях, системных вызовах, чистоте стека до и после исполнения, и т.д., его можно внедрять внутрь буфера с чужим кодом.

  • Куда положить вирус? Необходимо найти достаточно места, чтобы вирус туда поместился, записать его туда, по возможности не разломав файл и так, чтобы в области, в которой вирус окажется, было разрешено исполнение кода.
  • Как передать управление на вирус? Просто положить вирус в файл недостаточно, надо еще совершить переход на его тело, а после завершения его работы вернуть управление программе-жертве. Или в другом порядке, но, в любом случае, мы же договорились не ломать ничего, да?

Исполняемый файл (PE или ELF) состоит из заголовка и набора секций. Секции – это выровненные (см. ниже) буферы с кодом или данными. При запуске файла секции копируются в память и под них выделяется память, причем совсем необязательно того объёма, который они занимали на диске. Заголовок содержит разметку секций, и сообщает загрузчику, как расположены секции в файле, когда он лежит на диске, и каким образом необходимо расположить их в памяти перед тем, как передать управление коду внутри файла. Для нас интересны три ключевых параметра для каждой секции, это psize, vsize, и flags. Psize (physical size) представляет собой размер секции на диске. Vsize (virtual size) – размер секции в памяти после загрузки файла. Flags – атрибуты секции (rwx). Psize и Vsize могут существенно различаться, например, если программист объявил в программе массив в миллион элементов, но собирается заполнять его в процессе исполнения, компилятор не увеличит psize (на диске содержимое массива хранить до запуска не нужно), а вот vsize увеличит на миллион чего-то там (в runtime для массива должно быть выделено достаточно памяти).

Флаги (атрибуты доступа) будут присвоены страницам памяти, в которые секция будет отображена. Например, секция с исполняемым кодом будет иметь атрибуты r_x (read, execute), а секция данных атрибуты rw_ (read,write). Процессор, попытавшись исполнить код на странице без флага исполнения, сгенерирует исключение, то же касается попытки записи на страницу без атрибута w, поэтому, размещая код вируса, вирмейкер должен учитывать атрибуты страниц памяти, в которых будет располагаться код вируса. Стандартные секции неинициализированных данных (например, область стека программы) до недавнего времени имели атрибуты rwx (read, write, execute), что позволяло копировать код прямо в стек и исполнять его там. Сейчас это считается немодным и небезопасным, и в последних операционных системах область стека предназначена только для данных. Разумеется, программа может и сама изменить атрибуты страницы памяти в runtime, но это усложняет реализацию.

Также, в заголовке лежит Entry Point — адрес первой инструкции, с которой начинается исполнение файла.

Необходимо упомянуть и о таком важном для вирмейкеров свойстве исполняемых файлов, как выравнивание. Для того чтобы файл оптимально читался с диска и отображался в память, секции в исполняемых файлах выровнены по границам, кратным степеням двойки, а свободное место, оставшееся от выравнивания (padding) заполнено чем-нибудь на усмотрение компилятора. Например, логично выравнивать секции по размеру страницы памяти – тогда ее удобно целиком копировать в память и назначать атрибуты. Даже вспоминать не буду про все эти выравнивания, везде, где лежит мало-мальски стандартный кусок данных или кода, его выравнивают (любой программист знает, что в километре ровно 1024 метра). Ну а описание стандартов Portable Executable (PE) и Executable Linux Format (ELF) для работающего с методами защиты исполняемого кода – это настольные книжки.

  • поставить указатель точно на начало какой-нибудь инструкции (просто так взять рандомное место в исполняемой секции и начать дизассемблирование с него нельзя, один и тот же байт может быть и опкодом инструкции, и данными)
  • определить длину инструкции (для архитектуры x86 инструкции имеют разные длины)
  • переместить указатель вперед на эту длину. Мы окажемся на начале следующей инструкции.
  • повторять, пока не решим остановиться
  1. Выбираем вкусный исполняемый файл (достаточно толстый, чтобы в него поместилось тело вируса, с нужным распределением секций и т.п.).
  2. Читаем свой код (код тела вируса).
  3. Берем несколько первых инструкций из файла-жертвы.
  4. Дописываем их к коду вируса (сохраняем информацию, необходимую для восстановления работоспособности).
  5. Дописываем к коду вируса переход на инструкцию, продолжающую исполнение кода-жертвы. Таким образом, после исполнения собственного кода вирус корректно исполнит пролог кода-жертвы.
  6. Создаем новую секцию, записываем туда код вируса и правим заголовок.
  7. На место этих первых инструкций кладем переход на код вируса.

Думаю, не надо описывать вам компоненты современного антивируса, все они крутятся вокруг одного функционала – антивирусного детектора. Монитор, проверяющий файлы на лету, сканирование дисков, проверка почтовых вложений, карантин и запоминание уже проверенных файлов – все это обвязка основного детектирующего ядра. Второй ключевой компонент антивируса – пополняемые базы признаков, без которых поддержание антивируса в актуальном состоянии невозможно. Третий, достаточно важный, но заслуживающий отдельного цикла статей компонент – мониторинг системы на предмет подозрительной деятельности.

Итак (рассматриваем классические вирусы), на входе имеем исполняемый файл и один из сотни тысяч потенциальных вирусов в нем. Давайте детектировать. Пусть это кусок исполняемого кода вируса:

  • сокрытие кода самого вируса;
  • сокрытие его точки входа.

Сокрытие точки входа (Entry Point Obscuring) в результате послужило толчком для появления в вирусных движках автоматических дизассемблеров для определения, как минимум, инструкций перехода. Вирус старается скрыть место, с которого происходит переход на его код, используя из файла то, что в итоге приводит к переходу: JMP, CALL, RET всякие, таблицы адресов и т.п. Таким образом, вирус затрудняет указание смещения сигнатуры.

Гораздо более подробно некоторые алгоритмы таких движков и детектора мы посмотрим во второй статье, которую я планирую написать в ближайшее время.

Рассмотренный в статье детектор легко детектирует неполиморфные (мономорфными их назвать, что ли) вирусы. Ну а переход к полиморфным вирусам является отличным поводом, наконец, завершить эту статью, пообещав вернуться к более интересным методам сокрытия исполняемого кода во второй части.


Какими бывают вирусы?

Worms или черви

Особую и наиболее распространённую сегодня группу представляют сетевые черви. Используя уязвимости сетевого ПО, такие программы автоматически перебираются из одного компьютера в другой, заражая всё большее количество ПК. Некоторые черви умеют перебирать пароли по составленным словарям и, взламывая почтовые ящики и аккаунты, распространяются дальше, самостоятельно выискивая новые жертвы. Цели создателей червей могут быть разными, но чаще всего их запускают ради рассылки спама или затруднения работы компьютерных сетей конкурентов вплоть до полной блокировки.

Trojans или троянцы

Как и древние троянцы, спрятавшиеся в деревянном коне, чтобы проникнуть в лагерь данайцев, эти вирусы проникают в компьютер в составе других совершенно безобидных программ, и, пока пользователь не запустит программу, в которой притаился троянец, ведут себя тише воды ниже травы. Однако, с запуском исполняющего файла программы вы активируете этого опасного гостя, который, в зависимости от типа, будет вам пакостить: красть информацию, распространять другие, не менее опасные вирусы, повреждать определённые файлы. За редким исключением троянцы не умеют размножаться, но по степени вреда они куда опаснее червей и могут нанести огромный ущерб владельцу компьютера.

Rootkits или маскировщики

Главной целью этих внешне безобидных программок является скрытие активности других вредоносных программ и действий злоумышленников. Для этого руткиты пускаются на самые разные ухищрения: изменяют режимы работы операционной системы, незаметно отключают или подключают различные функции, а особо продвинутые умеют даже почти незаметно блокировать работу антивирусных программ, чтобы те не нашли маскируемых руткитами электронных вредителей или ещё более опасных злодеев в человеческом облике, шарящих по вашему ПК.

Zombies или зомби

Spyware или шпионы

Основная задача шпиона — выкрасть ценную информацию в той стране, куда его заслал хозяин. Аналогичным образом шпионские программы пытаются украсть логины и пароли к аккаунтам пользователя, а значительная их часть ориентирована на пересылку создателям вируса информации о банковских картах и счетах ничего не подозревающих пользователей.


Adware или рекламные вирусы

Такие вирусы больше вредят не компьютеру, а пользователю, поскольку неожиданно на экране начинает показываться реклама, причём периодичность показа может быть очень разной. Мы сталкивались с программами, включавшими рекламу ежедневно в одно и то же время, а заражённый Adware браузер постоянно менял стартовую страницу или периодически переходил на сайт злоумышленников.

Winlocks или блокировщики

Один из самых неприятных типов вирусов, парализующий работу ПК появлением окна, которое невозможно закрыть без перезагрузки. Блокировщики выводят на экран информацию, что необходимо сделать пользователю, чтобы создатель вируса разблокировал его компьютер. В 100% случаев это платёжные данные злоумышленника, но не торопитесь отправлять деньги — блокировку вам никто не снимет.

Bootkits или загрузочные вирусы

В отличие от блокировщиков, явно сообщающих пользователю о своих целях, буткиты действуют незаметно, что куда более опасно для владельцев ПК. Прописываясь в загрузочные сектора дисков, буткиты тихо берут на себя управление ОС и получают доступ к личной информации хозяев компьютеров. Так злоумышленники завладевают аккаунтами пользователей, видят всю переписку, в том числе зашифрованную (ключи шифрования буткиты тоже воровать умеют) и даже могут похищать файлы.

Последние угрозы

Современные вирусы пишутся уже не только для ПК, но и для устройств под управлением Android, iOS и других мобильных ОС. Однако принцип их действия всё тот же, и в целом они укладываются в приведённую выше классификацию.

Кибепреступники по-прежнему используют любую возможность причинить вред другим в корыстных целях. Вот и недавно объявленная пандемия COVID-19 стала почвой для злоумышленников, стремящихся завладеть пользовательскими ценными данными. Так, в марте было запущено новое приложение, ворующее данные пользователей под видом приложения от ВОЗ по короновирусу. Запуская его, активируется троянец, который начинает собирать и пересылать своему создателю информацию об аккаунтах пользователей.

Также было организовано несколько кибератак на медицинские учреждения — одни злоумышленники пытались парализовать работу больниц, а другие (разработчики программы-вымогателя Maze) попытались заработать на шантаже, пообещав в случае невыполнения материальных требований слить данные о пациентах одного исследовательского центра в сеть. Денег вымогатели не получили, поэтому данные всех бывших пациентов были обнародованы.

Из других интересных новостей отметим 26 марта 2020 похищение одним из хакеров исходных кодов новых графических процессоров AMD. В сети появилось объявление от хакера о том, что он выложит эту информацию в открытый доступ, если не найдёт покупателя. Кроме этого, была обнаружена группа злоумышленников, разработавшая буткит Milum, который предоставляет своим владельцам полный доступ к заражённым хостам сайтов.

Легенды со знаком минус

Несмотря на то, что компьютерным вирусам нет ещё и полувека, за такой короткий период они уже успели хорошенько пошуметь и неоднократно вызывали страх у пользователей по всему миру.

Одним из самых долгоиграющих вирусов, который распространяется до сих пор, является буткит Backdoor.Win32.Sinowal. Этот загрузочный вирус прописывается в систему и берёт управление ей на себя, причём на уровне секторов диска. Этот вирус похищает даже ключи шифрования и отправляет разработчику личные данные, а также данные от аккаунтов пользователей. Подсчитать точный ущерб от него пока не представляется возможным, однако учитывая, что несколько лет антивирусные программы были не в состоянии даже обнаружить этого вредителя (Backdoor.Win32.Sinowal был разработан в 2009 году), то потери пользователей могут исчисляться многими миллионами и даже миллиардами долларов.

Король электронного спама Festi, запущенный в 2009 году, ежедневно рассылал около 2,5 миллиардов имейлов с 250 тысяч айпи, то есть генерировал 25% всего мирового спама. Чтобы затруднить распознавание, разработчики снабдили свою вредоносную программку шифрованием, так что сигнатурный поиск антивирусными программами становится бесполезным и выручить может только глубокое сканирование. Распространяется этот вирус через установку платного кода (PPI), когда вебмастер получает деньги за то, что кто-то скачал файл с его сайта.

Настоящим кошмаром для банкиров стал вирус Carbanak, который в 2014 году нанёс ущерб российским, американским, швейцарским, голландским, японским и украинским банкам на общую сумму 1 миллиард долларов. Carbanak действовал медленно, но уверенно, сначала собирая данные рядовых сотрудников банков, к которым попадал через вложения в электронных письмах, а затем внедряясь в верха и выводя крупные суммы. От проникновения в систему банка до успешного вывода могло пройти от 2 до 4 месяцев.

Как не заразить свой компьютер вирусами?

Переходим к рубрике Капитана очевидность :)

Прежде всего нужно позаботиться о наличии надёжного файервола, антивирусной и антишпионской программ (последние более эффективны при обнаружении и удалении вирусов категорий Spyware и Adware). Также существуют встроенные антивирусные решения для браузеров, ну а о том, что антивирусник должен работать с защитой в режиме реального времени, говорить, думаем, излишне.

Также могут помочь и блокировщики рекламы, которые, помимо прочего, активно борются со всплывающими окнами, которые могут содержать вредоносный код. Не забывайте периодически чистить кэш браузера — в этих файлах могут таиться шпионские и рекламные программы.

Если вы бороздите океаны интернета под пиратским флагом, будьте осторожны при скачивании и установке хакнутых платных программ: далеко не все хакеры альтруисты и выкладывают взломанные программы по доброте душевной. Поэтому, если антивирусник громко ругается на кряк, задумайтесь, так ли уж важна для вас эта программа, ведь сказать с уверенностью, что это срабатывание ложное, не может никто. Не скачивайте программы с сомнительных сайтов по распространению софта — они, как правило, подсовывают в установщики (исполняемые файлы exe) шпионское и другое ПО. Так что лучшим решением будет качать приложения непосредственно на сайтах разработчиков.

Файлы из сторонних источников следует проверять на соответствие расширению — например, двойное расширение почти наверняка говорит о том, что перед нами программа-вирус, поэтому не забудьте включить в Windows отображение расширений. Также заведите привычку обязательно проверять все скачанные файлы антивирусной программой и не открывайть те файлы, в безопасности которых вы не уверены. Сканировать, кстати, нужно и подключаемые накопители USB.


Безвредные вирусы — такое тоже бывает

Были в истории компьютерных вирусов и примеры забавных безвредных программ, которые технически являлись вирусами, но никакого ущерба пользователям при этом не наносили. Так, ещё в 1997 году был разработан вирус HPS, который был ориентирован на временное изменение графические bmp-файлов, которые могли отображаться в перевёрнутом или отражённом виде, что, правда, могло доставлять неудобства пользователям старых версий Windows, ведь они были построены с использованием как раз bmp-графики. Впрочем, никакого реального ущерба HPS не наносил, поэтому его с полным основанием можно назвать безвредным шуточным вирусом.

Червяк Welchia претендует на звание самого полезного в истории: эта появившаяся в 2003 году программка после автоматической загрузки через сеть проверяла наличие заражения ПК опасным сетевым червём (программа была написана для устранения червя Blaster w32.blaster.worm, другое название — LoveSan), удаляла его и также в авторежиме пыталась установить обновления для Windows, закрывающие сетевые уязвимости. После успешного выполнения всех этих действий Welchia… самоудалялся. Правда, с Welchia тоже не всё было гладко — дело в том, что после установки обновлений Windows червь отдавал команду на принудительную перезагрузку ПК. А если в это время пользователь работал над важным проектом и не успел сохранить файл? Кроме того, устраняя одни уязвимости, Welchia добавлял другие — например, оставлял открытыми некоторые порты, которые вполне могли использоваться затем для сетевых атак.

Читайте также: