■ Классические черви размножаются самостоятельно через сетевые ресурсы, но в отличие от сетевых червей для их активации пользователю требуется запускать их, о чем будет сказано ниже. Такие черви ищут удаленные компьютеры и копируют себя в каталоги, открытые для чтения и записи. При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут в глобальной сети компьютеры, подключаются к ним и пытаются открыть их диски для полного доступа.
Примечание. Сигнатура – хранящийся в базе данных антивирусной компании уникальный идентификатор вредоносного объекта. Если образец этого объекта ранее не исследовался и его сигнатуры нет в базе данных (например, если код вируса совершенно новый либо существенно обфусцирован (запутан с помощью мусора) или изменен (полиморфные вирусы)), антивирусное программное обеспечение не сможет опознать его[793]. Для решения проблемы опознавания новых и измененных вирусов, как уже упоминалось, применяются технологии эвристического (вероятностного) анализа[794].
■ Сетевые черви обладают способностью к саморазмножению в компьютерных сетях без участия пользователей. Для заражения уязвимых компьютеров червь посылает специальный сетевой пакет (эксплойт), в результате чего код червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после ее проникновения основной файл червя скачивается и исполняется. Часто сетевые черви используют сразу несколько эксплойтов для повышения эффективности заражения.
Email-черви распространяются по каналам электронной почты либо в виде вложений в письма, либо в виде ссылок на вредоносный файл. После попадания на компьютер пользователя червь рассылает себя по всем адресам, например: по адресам, обнаруженным в адресной книге; отправителям и получателям писем на данном компьютере (как правило, многих из них пользователь не заносит в адресную книгу); по адресам, обнаруженным в содержимом файлов на диске. К разновидностям почтовых червей можно отнести P2P-червей (распространяются через пиринговые файлообменные сети), IM-червей (саморазмножаются в системах мгновенного обмена сообщениями, таких как Facebook Messenger, Skype или WhatsApp) и IRC-червей (распространяются через IRC-каналы).
Структура антивирусной программы
Антивирусные программы обычно состоят из нескольких компонентов, причем один и тот же производитель может выпускать несколько версий приложения, включающих определенный набор модулей и ориентированных на различные сферы использования.
Современные антивирусные приложения обладают следующим набором компонентов:
■ Антивирусный сканер. Ведет поиск вредоносных программ на дисках и в памяти устройства по запросу пользователя или по расписанию.
■ Антируткит. Выявляет руткиты, предназначенные для сокрытия в инфицированной системе вредоносных объектов или действий злоумышленника.
■ Брандмауэр. Следит за активными сетевыми соединениями, анализирует входящий и исходящий трафик, отсекая нежелательные и вредоносные данные.
■ Веб-антивирус. Блокирует доступ к зараженным и фишинговым сайтам, руководствуясь записями в специальной базе данных адресов.
■ Карантин. Подозрительные и зараженные файлы хранятся там до того момента, пока пользователь не просмотрит их и не примет решение об их удалении или допуске.
■ Компонент обновления. Следит за актуальностью других компонентов антивирусной программы и вирусных баз.
■ Компонент превентивной защиты. Обеспечивает целостность важных для работоспособности системы данных и предотвращает опасные действия программ.
■ Почтовый антивирус. Проверяет ссылки и вложения в сообщениях электронной почты.
■ Резидентный монитор. Следит за состоянием системы в режиме реального времени и блокирует попытки скачивания или запуска вредоносных программ[795].
Троянские программы
Троянские программы в отличие от вирусов и червей не способны к самораспространению, и для их активации требуется запуск их другой вредоносной программой или пользователем. Основная задача троянских программ – вести деструктивную деятельность: от блокирования различных программ и установки рекламных баннеров до шифрования файлов и перехвата паролей. Как правило, троянскую программу предлагают загрузить под видом доверенного приложения, однако кроме заявленных функций (или вместе с ними) она выполняет то, что нужно злоумышленникам. Название этого типа программ – отсылка к мифической истории о деревянном коне, использованном для проникновения в Трою. Под видом какой-либо полезной программы или утилиты эти деструктивные элементы проникают в операционную систему компьютера. Современные троянские программы эволюционировали до таких сложных форм, как, например, бэкдор (перехватывающий административные функции операционной системы на компьютере) и загрузчик (устанавливает на компьютер жертвы вредоносный код). Наиболее распространенные троянские программы[796]:
■ Бэкдор предоставляет злоумышленникам возможность удаленного управления зараженными компьютерами. Такие программы позволяют выполнять на зараженном компьютере любые действия, запрограммированные злоумышленником, например открывать и копировать файлы, изменять и уничтожать файлы и данные, устанавливать и запускать сторонние программы и т. п. Бэкдоры часто используют для объединения группы компьютеров-жертв в ботнет-сеть для DDoS-атак и прочих криминальных действий.
КЕЙС В 2011 г. благодаря утечкам Wikileaks стало известно о существовании шпионского программного обеспечения под названием FinFisher (FinSpy), которое в числе прочих закупали правительства различных стран для политически мотивированной слежки за гражданами. Как указывают исследователи из компании ESET, в операциях FinFisher использовалась атака через посредника (MiTM), где указанный посредник с большой долей вероятности находился на уровне интернет-провайдера. Программное обеспечение устанавливалось на компьютер жертвы при попытке скачать и использовать некое легитимное приложение – например, при запросе дистрибутива браузера Firefox на официальном сайте компании Mozilla браузер перенаправляется на дистрибутив, зараженный FinFisher, путем отправки браузеру статуса HTTP 307 Temporary Redirect (запрошенное содержимое временно перемещено по новому адресу). Процесс переадресации скрыт от пользователя, тот продолжает считать, что скачивает официальный дистрибутив с сайта компании Mozilla[797]. Данная атака удавалась на устройствах, имеющих уязвимости в плане ИБ, – например, допускающих автоматические перенаправления и пропускающих проверку сертификатов. После заражения устройства программа FinFisher[798] способна наблюдать за практически всеми действиями, совершаемыми на устройстве, включая отправку и получение SMS/MMS-сообщений, перехват данных о нажатии клавиш и запись звонков VoIP через установленные на нем приложения, например Skype, LINE, Viber или WhatsApp. Заражению подвержены как компьютеры, так и мобильные устройства под управлением операционных систем iOS и Android. Причем если для заражения iOS-девайсов устройство должно быть разлочено самим пользователем (или хакером с физическим доступом к устройству), то Android-устройства могут быть заражены, даже если на них отключен root-доступ. FinFisher способен самостоятельно получать права суперпользователя на неразлоченном устройстве, используя эксплойт DirtyCow, содержащийся в самом имплантате[799].
■ Майнеры используют ресурсы зараженного компьютера для майнинга (добычи) криптовалюты в интересах злоумышленника. Они не повреждают файлы и данные пользователя, но снижают производительность компьютера.
■ Руткиты предназначены для скрытия внедренных в систему определенных объектов или действий в ней управляемого злоумышленником вредоносного программного обеспечения. Руткиты предотвращают обнаружение антивирусными программами внедренных злоумышленниками инструментов (в том числе его самого) и увеличивают время работы последних на зараженном компьютере. Сам по себе руткит ничего вредоносного не делает, но такой вид программ в подавляющем большинстве случаев используется иными вредоносными программами для увеличения собственного времени жизни в пораженных системах.
Примечание. Эксплойты используются злоумышленниками для проникновения на компьютер жертвы с целью последующего внедрения вредоносного кода (например, заражения компьютеров всех посетителей взломанного сайта вредоносной программой). Также эксплойты интенсивно используются червями для проникновения на компьютер без участия администратора.
Шифровальщики (вымогатели) представляют собой троянские программы, шифрующие содержимое компьютеров и требующие от пользователя определенных действий для расшифровки, например перечисления некоторой суммы денег в качестве выкупа. Такие вредоносные программы часто пугают пользователей уголовным преследованием (например, за посещение порнографических сайтов, независимо от того, посещал их пользователь или нет), если штраф не будет быстро оплачен[800]. Это один из самых распространенных и опасных видов атак.
КЕЙС В 2020 г. хакерская группировка REvil взломала серверы компании Transform Hospital Group – ведущей британской группы специалистов по снижению веса и косметической хирургии. Злоумышленники зашифровали и скачали 900 Гб фотографий пациентов до и после операции и угрожали опубликовать их, если не получат выкуп