MALWARE

Вирусы — живые или нет? Вопрос остаётся открытым.

Самые простые существа (?) на Земле — большая загадка науки.

Вирусы обладают сложной структурой из органических молекул, собственным генетическим кодом и способностью к размножению. Однако размножаться вирусы самостоятельно не могут — за них это делают внутренние механизмы клетки, которую вирус заражает. Вирус не может  синтезировать белки, хотя имеет белковую оболочку. Он похищает готовые белки у клеток. Вне клетки-жертвы вирус — это просто гигантское скопление сложных молекул.

Супервирус Mimi

• Mimi  много больше известных вирусов (800 нанометров в диаметре), но бактерией не являлся.

• Mimi  несёт в себе 1260 генов (больше, чем у иных бактерий), а известные вирусы имеют от 3 до 100 генов.

• Mimi имеет генетический код из ДНК и РНК.

• 50 генов Mimi отвечают за функции, которые ранее в вирусах не были известны.

• Mimi самостоятельно синтезирует 150 видов белков и ремонтирует собственную повреждённую ДНК.

• В то же время, Mimi, как и все вирусы — это паразитарная форма (жизни?), размножающая свой геном за счёт молекулярных механизмов копирования, существующих в поражённой им клетке.

Некоторые учёные призывают выделить для Mimi отдельную ветку на дереве жизни.

Компьютерный вирус - программный код, встроенный в другую программу, документ, или область носителя данных, способный к размножению (созданию своих дубликатов, не обязательно совпадающих с оригиналом) и к выполнению несанкционированных пользователем действий (шуточного или вредительского характера).

Стивен Уильям Хокинг (Stephen William Hawking, один из наиболее влиятельных в научном смысле  физиков-теоретиков нашего времени) : Компьютерные вирусы следует считать одной из форм жизни. Хотя компьютерные вирусы не имеют собственного обмена веществом, они вполне могут паразитировать на зараженном компьютере, используя его «метаболизм».

Большинство вирусов ничего, кроме самокопирования не делает.

Чтобы пользователь не мешал самокопированию, многие вирусы имеют механизм маскировки (стелс-вирусы).

Вирусам для запуска своего кода и размножения необходима компьютерная среда: загрузочные сектора дисков (загрузочные вирусы), фрагменты файлов(файловые вирусы), библиотеки компиляторов, объектные модули, макросы (макровирусы) и т.д.

Процесс самокопирования как правило сопровождается изменением и порчей информации.

Простые виды вирусов сегодня близки к вымиранию. Актуальны вирусы (со свойством самокопирования) как часть многокомпонентного Malware, сочетающего в себе функции троянов и сетевых червей.

Троянские программы — вредоносные программы, которые совершают деструктивные действия, но при этом не размножаются и не рассылаются сами. Подобно троянскому коню из «Илиады» Гомера программа-троянец выдает себя за другие программы (игры, новые версии популярных утилит и пр.) и файлы (фото, видео).

Трояны различаются по своим действиям на зараженном компьютере:

Backdoor (троянские утилиты удаленного администрирования) - скрытно перехватывают управление компьютером пользователя. Backdoor позволяют злоумышленнику с удаленного компьютера на компьютере жертвы принимать и отсылать файлы, запускать и уничтожать их, стирать информацию, перезагружаться, рассылать спам и т.д. Backdoor способны распространяться по сети как черви по специальной команде злоумышленника.

Trojan-PSW (воровство паролей) - ищут сиcтемные файлы, хранящие системную и конфиденциальную информацию (номера телефонов, пароли доступа и т.д.) и отсылают ее по указанному в коде «троянца» электронному адресу.

Trojan-Clicker (интернет-кликеры) - организуют несанкционированные обращения компьютера жертвы к определенным злоумышленником интернет-ресурсам посылкой соответствующих команд браузеру для

•  увеличение посещаемости определнных сайтов;

• организация DoS-атаки (Denial of Service) на какой-либо сервер;

• привлечение потенциальных жертв для заражения вирусами или троянскими программами.

Trojan-Downloader (доставка вредоносных программ) и Trojan-Dropper (инсталляторы вредоносных программ) - загружают и устанавливают на компьютер-жертву новых версий вредоносных программ без ведома пользователя.

Trojan-Proxy (троянские прокси-сервера) - скрытно осуществляют анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.

Trojan-Spy (шпионские программы)  - осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в файл на диске и периодически отправляются злоумышленнику,  часто используются для кражи с систем онлайновых платежей и банковских систем.

Trojan (прочие троянские программы) - осуществляют разрушение или злонамеренную модификацию данных, нарушают работоспособность компьютера и прочее.

Многие троянские программы одновременно шпионят за пользователем, предоставляют proxy-сервис удаленному злоумышленнику и т.п.

Сетевые черви (worms) распространяются по сетевым ресурсам (почта, Web-сайты и пр.) на удаленные компьютеры.

Сетевые черви подразделяются на следующие типы:

Email-Worm (почтовые черви) - для распространения используют электронную почту отсылая свою копию в виде вложения в электронное письмо, или ссылку на зараженный файл.

M-Worm (черви, использующие интернет-пейджеры) - используют рассылку на обнаруженные контакты.

IRC-Worm (черви в IRC-каналах) - используют рассылку зараженного файла. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть.

Net-Worm — прочие сетевые черви.

Другие способы заражения червями удаленных компьютеров:

• копирование червя на сетевые ресурсы (в каталоги, открытые на чтение и запись);

• проникновение червя на компьютер через уязвимости программ: червь посылает специально оформленный сетевой пакет или запрос (эксплойт) и проникает на компьютер-жертву;

• проникновение в сетевые ресурсы публичного использования;

• паразитирование на других вредоносных программах: черви ищут другие компьютеры в сети и посылают на них команду скачивания и запуска своей копии.

Многие сетевые черви используют несколько способов распространения своих копий.

Rootkit  -  программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).

Марк Руссинович (эксперт по безопасности Windows-систем): Сочетание rootkit и других видов вредоносных программ — одна из усиливающихся тенденций в компьютерном мире. Rootkit были обнаружены на 14% инфицированных компьютеров, и примерно в 20% случаев они оказывались объединены с одним из «троянцев»

Принцип работы rootkit основан на модификации системных структур, при котором у злоумышленника появляется возможность манипулирования структурами ядра операционной системы в собственных целях.

Hacktools - программы  для создания вирусов, троянов, организации DoS-атак на удалённые серверы, взлома других компьютеров и т. п.

Различают:

Exploit  -  для удалённого взлома компьютеров с помощью уязвимостей используемого на них программного обеспечения с целью перехвата управления ими.

Constructor - для создания вредоносных программх даже несведущими пользователями.

Nuker - для организации сетевых атак с использованием уязвимостей в программном обеспечении.

FileCryptor, PolyCryptor  - для сокрытия вредоносного программного обеспечения от антивирусных программ. Ещё их называют пакерами.

Spyware (Spy - шпион и Software - программное обеспечение, шпионящее ПО) - программное обеспечение, которое скрытным образом устанавливается на компьютер с целью полного или частичного контроля над взаимодействием между пользователем и компьютером без согласия пользователя.

Spyware  контролирует нажатия клавиш (Keyloggers), перехватывает его почтовую переписку, пароли и команды, делает копии просматриваемых экранов (Screen Scraper), отслеживает привычки пользования Интернетом и посещаемые сайты (Tracking Software), анализирует системы безопасности компьютера (Security Analysis Software),  меняет установки в компьютере для несанкционированного внесения изменений в компьютерную систему (System Modifying Software) и т.д.

Spyware стали одним из превалирующих угроз безопасности компьютерных систем.

Software широко и законно применяется для персонализации пользовательской работы в Сети, автоматической загрузки обновлений прикладных программ и обновлений операционной системы, исследования защищенности компьютерных систем и т.д.

Spyware обычно не саморазмножается, попадают в систему посредством ее уязвимостей или обмана пользователя, часто поставляются в комплекте с пробными (trial) версиями программ.

Разработаны программы удаления или блокирования внедрения Spyware (например Spyware Doctor), функции антиspyware добавляются в антивирусные продукты.

05.10.2019 По данным «Лаборатории Касперского»:

• в 2019 более 37 000 пользователей ПО компании со всего мира столкнулись со слежкой при помощи Spyware (+35% к 2018).

• количество разнообразных Spyware 380 (+33% к 2018).

• подавляющее большинство Spyware  разрабатывается для смартфонов (чаще всего его устанавливает кто-то из окружения владельца).

• Чаще всего шпионское ПО отслеживает местоположение, собирает контакты, отлавливает SMS, журналирует звонки, собирает переписку в мессенджерах и выполняет другие задачи.
   

В Windows 10 встроен антивирус Windows Defender («Защитник Windows»), защищающий компьютер и данные от нежелательных программ: вирусов, шпионских программ, программ-вымогателей и многих других типов вредоносных программ и действий хакеров.
Windows Defender достаточно для большинства пользователей. Его можно отключить.

Для защиты от Malware созданы программные пакеты.

Для многих достаточно бесплатных решений, например: https://www.avast.ru/index#pc

Основные возможности Антивируса Касперского:

• Комплексная антивирусная защита : проверка по базам сигнатур, эвристический анализатор, поведенческий блокиратор.

• Защита от вирусов, троянских программ и червей.

• Защита от шпионского (spyware) и рекламного (adware) ПО.

• Защита от всех типов клавиатурных шпионов.

• Обнаружение всех видов руткитов.

• Защита от вирусов при с IM-клиентами.

• Отмена нежелательных изменений на компьютере.

• Создания диска аварийного восстановления системы.

• Проверка файлов, почты и интернет-трафика в режиме реального времени

• Персональный сетевой экран с системой IDS/IPS.

• Предотвращение утечек конфиденциальной информации.

• Родительский контроль.

• Защита от спама и фишинга.

• Автоматическое обновление баз.

17.11.2016 

Даррен Билби (Darren Bilby, ведущий разработчик Google по информационной безопасности) о бесполезности антивирусного ПО во вступлении к своему докладу  «Защита Гибсона в эпоху Просвещения» (посвящён бесполезным методам информационной безопасности) на конференции Kiwicon X:

• До сих пор многие пользователи наивно думают, что антивирус — это обязательный атрибут любого персонального компьютера. Благодаря этому заблуждению в мире продаётся антивирусных программ на миллиарды долларов.

• Специалисты по безопасности давно говорят о неэффективности антивирусов. Нормальному пользователю антивирус не нужен, потому что у него хватает ума, чтобы не ходить на сомнительные сайты и не открывать файлы из непровeренных источников, так что типичные пути заражения у них не работают, а именно эти пути находятся в фокусе внимания антивирусов.

• Антивирусы зачастую бесполезны и для корпоративных пользoвателей. Причина в том, что если кто-то действительно поставит цель атаковать компанию, то он зaранее проверит свой метод на большинстве антивирусных продуктов и убедится, что они не обнaружат угрозы. Есть удобный сайт VirusTotal, кoторый позволяет проверить свой вредоносный файл всеми популярными антивирусами.

• Да, антивирус делает что-то полезное, но в реальности он похож на мертвую канарейку в угольной шахте. Это как будто мы собрались вокруг мёртвой канарейки и говорим с облегчением: „Слава богу, что она вдохнула весь ядовитый газ”.

В последнее время в интернете обострилась активность злонамеренных программ, выдающих себя за антивирусные приложения.

Rogue Antivirus (лже-антивирус) - самозваные защитные программы  не в состоянии обнаружить настоящую угрозу безопасности, цель их создателей заключается исключительно в получении незаконной прибыли. Rogue Antivirus вводят пользователя в заблуждение, оповещая об инфицировании его компьютера. Исходя из этого, пользователю демонстрируются результаты «проверки» системы, в которых значатся совершенно невероятные «вирусы».

Anti-Spyware Pro (ASW), согласно лживой рекламе, позволяет эффективно обнаруживать и удалять инородные программы. После установки ASW также начинает генерировать сообщения о присутствии в системе вредоносных программ. Ее создатели предлагают пользователям устранить угрозу за плату.

Антивирус Касперского определяет Anti-Spyware Pro как not-a-virus:FraudTool.Win32 (программа-мошенник).

Сергей Голованов (вирусный аналитик Лаборатории Касперского): ASW Pro, этот «антивирус-обманщик», выводит сообщения об опасности всех программ, запускающихся при старте системы, предупреждает обо всех дополнительных сервисах на системе,  и  просит за удаление этих «угроз» 15 руб. в год. Настоящие вирусы ASW при этом не распознает.

Xpantispyware - бесплатная "антишпионская" программа (по заведомо ложной рекламе, якобы получившая награду издательства PC Magazine) после установки начинает выдавать сообщения о наличии вирусов в системе и предлагает избавиться от них, приобретя лицензию на использование полной версии.

AntivirusXP 2008 и Max AntiSpy, работают по той же схеме: параллельно загружают на компьютер пользователя троянские программы и уведомляют пользователя о том, что для «лечения» компьютера требуется послать платное SMS.

Vba32 - профессиональное решение мирового уровня для корпоративных клиентов от белорусской  компании ВирусБлокАда (http://www.anti-virus.by/, основана  в 1997 г. Вячеславом Коледой и Геннадием Резниковым в Минске. Сегодня в ней работает около 30 разработчиков).

Vba32 - защищено абсолютное большинство компьютеров в белорусских госучреждениях, включая министерства обороны и внутренних дел и платежные системы Национального банка.

Vba32 - используется в России, Болгарии, Германии, Испании, Латвии, Польше и Румынии (корпоративный и государственный сегмент).

Vba32 -  единственный в  антивирус (помимо «Антивируса Касперского»), обладающий сертификатом Федеральной службы по техническому и экспортному контролю и может защищать сведения, составляющие государственную тайну России.

Цена лицензии ($30 ) сдерживает популярность Vba32 среди домашних пользователей.

13.05.2019  Vba32 выпущено обновление 3.36.0

Сергей Уласень (начальник отдела разработки антивирусного ядра компании "ВирусБлокАда"): Наличие специализированной утилиты, которая может обнаруживать и лечить не только уже известные вредоносные программы, но и справляться с еще неизвестными угрозами, является большим подспорьем в работе квалифицированных пользователей и службы технической поддержки производителя.

24.09.2010 Угрожающий Ирану вирус Stuxnet первыми обнаружили белорусские эксперты комании "ВирусБлокАда".

Вячеслав Коледа (глава ВирусБлокАда): Мы "засекли" модули вредоносной программы еще 17.06.2010 года. Когда ситуация стала совсем угрожающей, компания разослала имеющуюся информацию коллегам-разработчикам. Программа оказалась настолько сложной, что за ее разработкой должно стоять как минимум целое государство.

Лайам О'Мурчу (Symantec): Вирус был направлен именно против Ирана (60% заражений: атаки на электростанции и промышленные объекты). Цель Stuxnet - программное обеспечение промышленных систем управления Siemens PLC (атомная станция в Бушере и завод по обогащению урана в Натанзе).

14.12.2010 Ральф Лангер (Ralph Langer): Применение вредоносной программы Stuxnet оказалось по эффективности сравнимо с полноценной военной операцией, но при отсутствии жертв среди людей отбросило атомную программу Ирана на 2 года назад. Код Stuxnet состоит из более чем 15 000 строк, и это говорит о том, что его создание - дело рук большого коллектива разработчиков развитых стран.

Dr.Web CureIt! - бесплатный антивирусный сканер на основе ядра антивирусной программы Dr.Web, который быстро и эффективно проверит и вылечит компьютер без установки самого антивируса Dr.Web.

Dr.Web CureIt!  (Portable) работает без инсталляции, определяет и удаляет почтовые и сетевые черви, файловые вирусы, троянские программы, стелс-вирусы, полиморфные, бестелесные и макровирусы, вирусы, поражающие документы MS Office, скрипт-вирусы, шпионское ПО (Spyware), программы-похитители паролей, программы-дозвонщики, рекламное ПО (Adware), Хакерские утилиты, потенциально опасное ПО и любые другие нежелательные коды.

В программу не входит модуль автоматического обновления вирусных баз, поэтому для того, чтобы просканировать компьютер в следующий раз с самыми последними обновлениями вирусных баз, нужно будет снова скачать Dr.Web CureIt!

30.01.2007 21-летний студент БрГУ им. А.С. Пушкина Сергей Зайко приговорен к 5 годам и 3 месяцам лишения свободы в исправительной колонии усиленного режима за разработку, использование и распространение вредоносных программ, компьютерный саботаж, вымогательство, мошенничество.

Сергей Зайко в 2003 и 2004 годах распространял через Интернет письма от девушки. При открытии вложенного файла с фото активизировался вирус, повреждавший программное обеспечение на компьютере жертвы и выводивший на экран предложение за 11 000 белорусских рублей приобрести программу для восстановления данных. В суде доказано 116 эпизодов такого вымогательства.

В 2004 и 2005 годах Сергей Зайко открывал в Интернете сайты для продажи ответов на вопросы Централизованного тестирования. Стоимость одного предмета - около 100 тысяч рублей.

15.10.2011 

Накануне Всемирного дня мытья рук (15 октября) британские ученые объявили, что каждый шестой мобильный телефон в их стране заражен фекальными бактериями

Дэвид Бэтти: На 92% мобильных телефонов были обнаружены бактерии". Кишечная палочка E coli, вирулентный штамм которой летом убивал европейцев, обнаружена в 16% случаев (и на мобильниках, и на руках). По количеству грязных телефонов лидирует Бирмингем (41%), но по заражению именно кишечной палочкой - Лондон (28% случаев).