Вирусами скрывающими свое присутствие

Что из себя представляют компьютерные вирусы, их виды

Вирусами скрывающими свое присутствие

Почти каждый владелец компьютера, если и не знаком еще с вирусами, то обязательно наслышан о них различных баек и историй. Большинство из которых, конечно, преувеличены другими начинающими пользователями.

Так что же такой вирус?

Вирус — это саморазмножающаяся программа.

Многие вирусы вообще ничего разрушительного не делают с вашим ПК, часть вирусов, например, делает небольшую пакость: выводит на экран какую-нибудь картинку, запускает ненужные сервисы, открывает интернет-странички для взрослых и пр.. Но есть и те, которые могут вывести ваш компьютер из строя, отформатировав диск, или испортив Bios материнской платы.

Для начала, наверное, стоит разобраться с самыми популярными мифами о вирусах, гуляющими по сети.

1. Антивирус — защита от всех вирусов

К сожалению, это не так. Даже имея навороченный антивирус с последней базой — вы не застрахованы от вирусной атаки. Тем не менее, от известных вирусов вы будете боле-менее защищены, угрозу будут представлять только новые, неизвестные антивирусной базе.

2. Вирусы распространяются с любыми файлами

Это не так. Например, с музыкой, видео, картинками — вирусы не распространяются. Но часто бывает так, что вирус маскируется под эти файлы, заставляя неопытного пользователя ошибиться и запустить зловредную программу.

3. Если вы заразились вирусом — ПК под серьезной угрозой

Это тоже не так. Большинство вирусов вообще ничего не делают. Им достаточно того, что они просто заражают программы. Но в любом случае, обратить на это внимание стоит: по крайней мере, проверить весь компьютер антивирусом с последней базой. Если заразились одним — то почему не могли вторым?!

4. Не пользоваться почтой — гарантия безопасности

Боюсь, это не поможет. Бывает такое, что по почте вам приходят письма с незнакомых адресов. Лучше всего просто не открывать их, сразу удаляя и очищая корзину. Обычно вирус идет в письме в качестве вложения, запустив которое, ваш ПК будет заражен. Защитится достаточно легко: не открывать письма от незнакомцев… Так же не лишним будет настроить антиспам-фильтры.

5. Если вы скопировали зараженный файл — вы заразились

Вообще, пока вы не запустите исполняемый файл, вирус, как и обычный файл, просто будет лежать у вас на диске и ничего плохого вам не сделает.

Самые первые вирусы (история)

История эта началась примерно в 60-70 годах в некоторых лабораториях США. На ЭВМ, помимо обычных программ, были еще и те, которые работали сами по себе, никем не управляемые. И все бы ничего, если бы они сильно не нагружали ЭВМ и не расходовали ресурсы попусту.

Через какой-то десяток лет, к 80-м годам, таких программ было уже несколько сотен. В 1984 году появился и сам термин «компьютерный вирус».

Такие вирусы, обычно никак свое присутствие от пользователя не скрывали. Чаще всего мешали ему работать, показывая какие-нибудь сообщения.

Brain

В 1985 году появился первый опасный (и главное быстро распространяемый) компьютерный вирус Brain. Хотя, написан он был из благих намерений — наказать пиратов, незаконно копирующих программы. Вирус срабатывал только на нелегальных копиях софта.

Наследники вируса Brain просуществовали еще около десятка лет и потом их поголовье стало резко снижаться. Действовали они не хитро: просто записывали свое тело в файл программы, тем самым он увеличивался в размерах. Антивирусы быстро научились определять размер и находить зараженные файлы.

Программные вирусы

Вслед за вирусами, прикреплявшимися в тело программы, стали появляться новые виды — в виде отдельной программы.

Но, основная сложность в том, как заставить пользователя запустить такую зловредную программу? Оказывается, очень просто! Достаточно назвать ее какой-нибудь ломалкой для программы и выложить в сеть.

Многие просто скачают, и несмотря на все предупреждения антивируса (если такой имеется) — все равно запустят…

В 1998-1999 г. мир содрогнулся от опаснейшего вируса — Win95.CIH. Он выводил из строя Bios материнской платы. Тысячи компьютеров по всему миру были выведены из строя.

Вирус, распространяемый через вложения к письмам.

В 2003 г. вирус SoBig смог заразить сотни тысяч компьютеров, благодаря тому, что сам прикреплялся к письмам, отправляемые пользователем.

Основная борьба с такими вирусами: регулярное обновление ОС Windows, установка антивируса. Так же отказаться от запуска любых программ, полученных из сомнительных источников.

Макровирусы

Многие пользователи, наверное, и не подозревают, что кроме исполняемых файлов exe или com, вполне реальную угрозу могут нести и обычные файлы из Microsoft Word или Excel.

Как такое возможно? Просто в эти редакторы в свое время был встроен язык программирования VBA, для того, чтобы можно было дописывать макросы в качестве дополнения к документам.

Тем самым, если заменить их на свой макрос — вполне может получиться вирус…

Сегодня, почти все версии офисных программ, перед запуском документа из незнакомого источника, обязательно вас переспросят, а точно ли хотите запустить макросы из этого документа, и если нажать на кнопку «нет» — то ничего не произойдет, если даже документ был с вирусом. Парадокс заключается в том, что большинство пользователей сами нажимают на кнопку «да»…

Одним из самых известных макровирусов, можно считать Mellis’y, пик которой пришелся на 1999г. Вирус заражал документы и через почту Outlook отправлял вашим друзьям письмо с зараженной начинкой. Таким образом, за небольшой срок им оказалось заражены десятки тысяч компьютеров по всему миру!

Скриптовые вирусы

Макровирусы, как определенный вид, входят в группу скриптовых вирусов. Суть здесь в том, что не только Microsoft Office использует в своих продуктах скрипты, но и другие программные пакеты их содержат. Например, Media Player, Internet Explorer.

Большая часть таких вирусов распространяется посредством вложения в письма, через электронную почту. Часто вложения маскируются под какую-нибудь новомодную картинку или музыкальную композицию. В любом случае, не запускайте и лучше даже не открывайте вложения с незнакомых адресов.

Часто пользователей вводит в заблуждение расширение файлов… Ведь, давно известно, что картинки безопасны, тогда почему нельзя открыть на почте картинку, которую прислали… По умолчанию проводник не показывает расширения файлов. И если вы видите название картинки, вроде «interesnoe.jpg» — это не означает, что у файла именно такое расширение.

Для того, чтобы видеть расширения, включите следующую опцию.

Покажем на примере Windows 7. Если зайти в любую папку и нажать «упорядочить/параметры папок и поиска» можно попасть в меню «вид». Там то и есть наша заветная галочка.

Убираем галочку на опции «скрывать расширения для зарегистрированных типов файлов», а так же еще включите функцию «показа скрытых файлов и папок».

Теперь, если взглянуть на присланную вам картинку, вполне может оказаться, что «interesnoe.jpg» вдруг стала «interesnoe.jpg.vbs». Вот, собственно и весь фокус. Многие начинающие пользователи не раз попадались на эту ловушку, да и будут попадаться еще…

Основная защита от скриптовых вирусов заключается в своевременном обновлении ОС и антивируса. Так же отказ от просмотра подозрительных писем, тем более, которые содержат непонятные файлы… Кстати, не лишним будет регулярно делать резервное сохранение важных данных. Тогда вы на 99,99% будете защищены от любых угроз.

Троянские программы

Этот вид хоть и был отнесен к вирусам, но непосредственно им не является. Их проникновение на ваш ПК во многом схожа с вирусами, только задачи у них разные. Если у вируса задача заразить как можно больше компьютеров и выполнить действие по удалению, открытию окон и пр.

— то у троянской программы, как правило, одна цель — скопировать ваши пароли от различных сервисов, узнать какую-нибудь информацию.

Часто бывает так, что троянской программой могут управлять через сеть, и по приказу хозяина она вмиг может перезагрузить ваш ПК, или, что еще хуже, удалить какие-нибудь файлы.

Так же стоит отметить и еще одну особенность. Если вирусы частенько заражают другие исполняемые файлы, троянцы этим не занимаются, это самодостаточная отдельная программа, которая работает сама по себе. Часто она маскируется под какой-нибудь системный процесс, чтобы начинающему пользователю было трудно ее выловить.

Чтобы не стать жертвой троянов, во-первых, не качайте никаких файлов, вроде взлом интернета, взлом каких то программ и т.д. Во-вторых, помимо антивируса, понадобиться еще специальная программа, например: The Cleaner, Trojan Remover, AntiViral Toolkit Pro и др.

В-третьих, не лишним будет установка фаервола (программа, контролирующая доступ в интернет других приложений), с ручной настройкой, где все подозрительные и неизвестные процессы будут блокироваться вами.

Если троянская программа не получит выхода в сеть — пол дела уже сделано, по крайней мере, ваши пароли никуда не уплывут…

Подводя итог, хочется сказать, что все принятые меры и рекомендации будут бесполезны, если пользователь сам из любопытства будет запускать файлы, отключать антивирусные программы и пр.

Парадокс в том и состоит, что заражение вирусами происходит в  90% случаев по вине самого владельца ПК. Ну а чтобы не стать жертвой тех 10% — достаточно иногда производить резервное сохранение файлов.

Тогда можно быть уверенным практически на все 100, что все будет ОК!

Источник: https://pcpro100.info/kompyuternyie-virusyi/

Как обнаружить и удалить скрытый майнер в Windows

Вирусами скрывающими свое присутствие

Под скрытым майнером подразумевается программа-вирус, которая использует ресурсы вашего компьютера для добычи криптовалют. Делается это в автоматическом режиме без ведома пользователя и каких-либо предупреждений.

Чаще всего поймать скрытый майнер можно при скачивании файлов из непроверенных источников. Обычно это какой-то пиратский контент, который пользуется большой популярностью среди пользователей.

Также наткнуться на подобный вирус можно при получении различных спам-рассылок.

В любом варианте вы получаете желаемое, а вместе с этим на ваш компьютер может быть загружен скрытый майнер или утилита для его автоматического скачивания из Сети.

Чем опасен скрытый майнер

Майнер заставляет ваш ПК работать на максимальном уровне производительности, а значит, даже при выполнении несложных офисных задач компьютер может изрядно тормозить. Длительная работа на пределе своих возможностей рано или поздно скажется на «железе».

В первую очередь может пострадать видеокарта, процессор, оперативная память и даже система охлаждения, которая просто не сумеет справиться с ежедневными стресс-тестами.

Первый признак присутствия майнера — торможение на простых задачах и незамолкающий кулер.

Также майнеры вполне могут получить доступ к вашим персональным данным, хранящимся на компьютере. Здесь в ход может пойти всё: начиная от простых фотографий и заканчивая данными различных аккаунтов и электронных кошельков. А это уже очень опасно.

Как майнеру удаётся прятаться

Обычно за работу майнера на вашем ПК отвечает отдельный сервис, который позволяет прятать и маскировать угрозу. Именно такой спутник контролирует автозапуск и поведение вируса, делая его незаметным для вас.

К примеру, данный сервис может приостанавливать работу майнера при запуске каких-то тяжёлых шутеров. Это позволяет освободить ресурсы компьютера и отдать их игре, чтобы пользователь не почувствовал тормозов и проседания частоты кадров. По закрытию шутера вирус вновь возьмётся за работу.

Этот же сервис сопровождения способен отследить запуск программ мониторинга активности системы, чтобы быстро отключить майнер, выгрузив его из списка запущенных процессов. Однако особенно опасные вирусы и вовсе могут попытаться отключить средства сканирования на вашем компьютере, исключив обнаружение.

Как обнаружить скрытый майнер

Если вы стали замечать, что компьютер стал изрядно тормозить и греться, в первую очередь стоит запустить проверку антивирусом со свежими базами. В случае с простыми майнерами проблем быть не должно. Угроза будет обнаружена и устранена. С хорошо скрывающими своё присутствие вирусами придётся повозиться.

Отследить скрытые майнеры позволит систематический мониторинг «Диспетчера задач», который на Windows можно открыть при помощи комбинации клавиш Ctrl + Alt + Del или Ctrl + Shift + Esc. В течение 10–15 минут вам нужно просто понаблюдать за активными процессами при полном бездействии. Закройте все программы и даже не шевелите мышкой.

Если при таком сценарии какой-то из активных или же внезапно появившихся процессов продолжает нагружать «железо» — это верный повод задуматься. Происхождение такого процесса можно проверить с помощью вкладки «Подробности» или через поиск в интернете.

Многие скрытые майнеры, использующие в основном видеокарту ПК, могут не нагружать центральный процессор, а значит, и в «Диспетчере задач» на старых версиях Windows они не засветятся. Именно поэтому лучше оценивать нагрузку на «железо» с помощью специализированных утилит, таких как AnVir Task Manager или Process Explorer. Они покажут куда больше стандартного инструмента Windows.

Некоторые майнеры способны самостоятельно отключать «Диспетчер задач» через несколько минут после его запуска — это тоже признак потенциальной угрозы.

Отдельно стоит выделить ситуацию, когда «Диспетчер задач» демонстрирует чрезмерную нагрузку на процессор со стороны браузера. Это вполне может быть результатом воздействия веб-майнера, функционирующего через определённый веб-сайт.

Как удалить скрытый майнер с компьютера

Первым и самым логичным оружием в борьбе против такой напасти является антивирус, о чём уже было сказано выше. Однако нередко майнеры не распознаются как зловредные угрозы. Максимум они приравниваются к потенциально опасным, особенно если на компьютер попали вместе с пиратской игрой или взломанной программой.

В случае отсутствия у вас мощного антивируса можно прибегнуть к помощи небольших лечащих утилит. В пример можно привести Dr.Web CureIt!, которую нередко используют для поиска скрытых майнеров. Распространяется она бесплатно.

Вручную, без каких-либо сторонних инструментов удаление вируса также возможно, но вы должны быть на 100% уверены, что обнаружили именно майнер. В таком случае вам нужно перейти в реестр, набрав regedit в поиске Windows, и в нём сочетанием клавиш Ctrl + F запустить внутренний поиск (или же через «Правка» → «Найти»).

В открывшейся строке введите название процесса из диспетчера, за которым, по вашему мнению, скрывается майнер. Все обнаруженные совпадения нужно удалить через контекстное меню. После этого можно перезагрузить компьютер и оценить изменения нагрузки на «железо».

Заключение

Важно понимать, что скрытый майнер опасен не только чрезмерной нагрузкой на ПК, но и возможностью перехвата ваших личных данных. При первом же намёке на такую угрозу запустите глубокую проверку памяти компьютера актуальным антивирусом.

Не забывайте, что тормозить ваш компьютер может по самым различным причинам. Более важным признаком угрозы скрытого майнига является чрезмерная активность ПК во время простоя или при выполнении элементарных задач. Обращайте внимание на работу кулеров видеокарты: они не должны шуметь при отсутствии нагрузки.

Если же вы всё-таки обнаружили неизвестный процесс, нагружающий компьютер под завязку, с ним определённо нужно разобраться. С помощью антивирусного ПО или же вручную, отыскав и удалив его через реестр.

Источник: https://zen.yandex.ru/media/id/5b46c16578c21800a90aae58/kak-obnarujit-i-udalit-skrytyi-mainer-v-windows-5b4d5b4fbde6d200a8d6ea3e

Компьютерные вирусы

Вирусами скрывающими свое присутствие

Термин «компьютерный вирус» впервые употребил сотрудник Лихайского университета (США) Фред Коэн в 1984 году.

Компьютерный вирус — одно из самых интересных явлений, которые можно наблюдать в результате развития компьютерной и информационной техники. Суть его сводится к тому, что программы приобретают свойства, присущие живым организмам: они рождаются, размножаются, умирают.

Главное условие существования вирусов — универсальная интерпретация информации в вычислительных системах. Вирус в процессе заражения программы может интерпретировать ее как данные, а в процессе выполнения — как исполняемый код. Этот принцип был положен в основу всех современных компьютерных систем, использующих архитектуру фон Неймана.

Компьютерный вирус — это небольшая, сложная, тщательно составленная и опасная программа, которая может самостоятельно размножаться, переноситься на диски и флэшки, прикрепляться к программам, передаваться сетью, нарушая работу компьютера.

 С понятием «компьютерный вирус» тесно связано такое понятие, как сигнатура. Сигнатура — это фрагмент кода, который можно найти во всех копиях вируса и только в них.

 Иными словами, сигнатура — это подпись вируса, которая однозначно определяет наличие или отсутствие его в программе.

Программа, в которой находится компьютерный вирус, называется зараженной.

Вирус (вирусная программа) обладает следующими свойствами:

  1. Возможность создавать свои копии и внедрять их в другие программные объекты.
  2. Обеспечение скрытности (латентность) до определенного момента ее существования и распространения.
  3. Несанкционированность (со стороны пользователя) производимых им действий.
  4. Наличие негативных последствий от ее функционирования.

Действия компьютерных вирусов могут проявляться по-разному:

  • портятся некоторые файлы;
  • программы перестают выполняться или выполняются неправильно;
  • на экран монитора выводятся непредвиденные сообщение или символы;
  • работа компьютера замедляется и т. д.

Некоторые вирусы при запуске никак себя внешне не проявляют и могут время от времени заражать другие программы и выполнять нежелательные действия на компьютере, к примеру отсылать конфиденциальную информацию злоумышленнику. Другие разновидности вирусов после заражения программ и дисков вызывают серьезные повреждения, например, форматируют жесткий диск и др., или угрожают это сделать, требуя перечислить деньги за разблокировку.

Зараженные программы с одного ПК могут быть перенесены с помощью флэш накопителей, дисков, локальной или глобальной сети на другие компьютеры.

Если не принимать меры для защиты от компьютерных вирусов, то последствия заражения компьютеров могут быть серьезными. В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе и за внедрение вирусов.

Первичное заражение ПК вирусом возможно тогда, когда:

  • на компьютере выполнялась зараженная программа;
  • ОС загружалась с флэшки или диска, содержащего зараженный загрузочный сектор;
  • На компьютере установлена зараженная ОС или драйвер устройства;
  • через локальную и глобальную сеть и др.

Классификация вирусов

На сегодняшний день существует сотни тысяч вирусов.

Классификация вирусов осуществляется по следующим признакам:

  • средой обитания;
  • способом заражения;
  • действием;
  • особенностями алгоритма.

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово — загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы проникают главным образом в исполняемые модули, есть в файлы, имеющие расширения EXE и т.д.

 Файловые вирусы могут проникать и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы проникают в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record).

 Файлово — загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентных.

 Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и проникает в них.

 Резидентные вирусы находятся в памяти и являются активными вплоть до отключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

  • безопасные, такие, которые не мешают работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках; действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
  • опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;
  • очень опасные, действие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

 Простые вирусы — паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.

 Можно отметить вирусы — репликаторы, называемые червями , которые распространяются по компьютерным сетям, находят адреса сетевых компьютеров и записывают по этим адресам свои копии.

Известны вирусы-невидимки , называемые стелс — вирусами , которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к зараженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.

 Самое трудное, это выявить вирусы-мутанты , содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной цепочки байтов, которые повторяется.

 Есть и так называемые квазивирусные или «троянские»программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Способы защиты от вирусов

Одним из основных последствий деятельности вирусов является потеря или порча информации. Поэтому для обеспечения устойчивой и надежной работы необходимо (или, по крайней мере желательно) всегда иметь чистые, не зараженные (эталонные) копии используемой информации и программного обеспечения.

К общим средствам относятся:

  • резервное копирование информации (создание копий файлов и системных областей дисков);
  • разграничение доступа к информации (предотвращение несанкционированного использования информации).

К программным средствам относятся различные антивирусные программы, которые являются наиболее эффективными в борьбе с компьютерными вирусами.

 Однако не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса.

 Невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства — Фред Коэн.

Использование специальных антивирусных средств в большинстве случаев позволяет не только выявить вирусное вторжение, но и оперативно обезвредить обнаруженные вирусы и восстановить испорченную информацию.

Антивирусные программы — это утилиты, позволяющие выявить вирусы, вылечить, или ликвидировать зараженные файлы и диски, обнаруживать и предотвращать подозрительные (характерные для вирусов действия).

Существует очень много классификаций антивирусных программ. Рассмотрим одну из них.

Классификация антивирусных программ

Тип антивирусной программыПринцип действия
ДетекторыОбнаруживают файлы, зараженные одним из известных вирусов
Врачи (фаги)«Лечат» зараженные программы или диски, Извлекают из зараженных программ код вируса, то есть восстанавливают программу в том состоянии в котором она была до заражения вирусом
РевизорыСначала запоминают сведения о состоянии программ и системных областей дисков, а затем а затем сравнивают их состояние с исходным. При обнаружении несоответствия сообщают о нем.
ФильтрыЗагружаются резидентно в оперативной памяти, перехватывают те обращения к системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них. Можно разрешить или запретить выполнение данной операции.

Среди популярных и эффективных антивирусных программных систем можно выделить:

  • Антивирус Касперского — AntiViral Toolkit Pro (AVP) (http://www.avp.ru)
  • Avast (http://www.avast.ru)
  • DoctorWeb (http://www.drweb.ru)
  • NOD 32 http://www.esetnod32.ru;
  • Norton AntiVirus;
  • Symantec AntiVirus и др.

Более надежную защиту дают те антивирусные программы, версии которых постоянно обновляются.

Обезвреживание шпионских программ

Есть еще одна категория вредоносного программного обеспечения (ПО), которая известна гораздо меньше, чем вирусы (но отнюдь не менее опасна) в силу специфики своей работы — программы шпионажа за действиями пользователя. Такие программы (spyware), как правило, поставляются вместе с распространяемыми через Internet бесплатными программами или же автоматически устанавливаются на ПК во время веб — серфинга.

Spyware определяют как программное обеспечение, которое позволяет собирать сведения о пользователе или организации без их ведома. Adware (от advertising — реклама) — программный код, без ведома пользователя внесен в программного обеспечения с целью демонстрации рекламных объявлений.

По данным New Scientist, в мире 5,1% подсоединенных к Интернету компьютеров имеют на своем винчестере программный код, предназначенный для несанкционированного сбора конфиденциальной информации и (или) демонстрации непрошеной рекламы с помощью всплывающих ( «pop-up») окон браузера.

По данным, полученным специалистами Вашингтонского университета в ходе наблюдений за распространением лишь четырех программ — шпионов (Gator, Cydoor, SaveNow, eZula) на компьютерах студенческого городка, на 5,1% машин было установлено программное обеспечение для слежения за действиями пользователя, а 69% всех отделов и офисов университета имели по крайней мере один компьютер, на котором было установлено spyware.

Как минимум две из указанных программ — Gator и eZula — дают возможность злоумышленнику не просто собирать информацию, но и контролировать чужой компьютер.

Программы, предназначенная для поиска и устранения шпионских модулей, сканируют оперативную память, файлы на жёстком диске и определяют в них программы — шпионы и запущенные вредоносные процессы. Сканируется также реестр операционной системы. Если в реестре обнаруживается запись, установленный вредоносной программой, то она удаляется.

 Предусмотрена возможность обновления анти шпионской базы через Internet.  Если обнаруживаются шпионские модули, то программа предлагает удалить их все или выборочно. Для предотвращения случайного удаления нужного файла или записи в реестре предусмотрена функция восстановления (для этого автоматически создаются backup — копии данных).

 Такую программу должен иметь каждый пользователь, который работает на компьютере.

Следя за событиями последних лет, можно с уверенностью утверждать, что spyware, наряду с компьютерными вирусами стало глобальным бедствием в сети. Так по данным компании EarthLink, 90% всех подключенных к Internet ПК заражены подобным ПО.

 Всего было в обнаружено 29500000 шпионских программ, в среднем по 28 на ПК.

 Вполне возможно, что в будущем граница между тремя составляющими (spyware, вирусами и спамом) темной стороны Internet сотрется полностью, и бороться с ними будет уже не ряд разнообразных утилит, а один унифицированный программный комплекс.

Важные выводы:

  • Антивирусная защита всегда будет актуальным.
  • Антивирусная защита должна быть продуманным, комплексным и систематическим.
  • Антивирусные базы нужно постоянно обновлять.
  • Вероятность заражения компьютерными вирусами уменьшается при одновременном использовании нескольких антивирусных программ.
  • Расходы на антивирусную защиту не бывают чрезмерными.

Источник: https://www.polnaja-jenciklopedija.ru/nauka-i-tehnika/kompyuternye-virusy.html

Хакеры ошиблись, программисты проморгали. История вирусов, «укравших» $100 миллиардов – Технологии Onliner

Вирусами скрывающими свое присутствие

Весной на продажу выставили ноутбук Samsung NC10-14GB, выпущенный в 2008 году, с установленной на нем Windows XP SP3. Однако интерес вызывал не сам компьютер, а то, что у него внутри — шесть вирусов: ILOVEYOU, MyDoom, SoBig, WannaCry, DarkTequila и BlackEnergy, которые нанесли прямой и косвенный ущерб почти на $100 млрд.

Хотя и цена на устройство также заслуживает внимания: на сайте лота указана последняя ставка в $1,35 млн. Это с учетом того, что никакой ценности ни ноутбук, ни вредоносное программное обеспечение на нем не имеют.

  • ILOVEYOU
  • Sobig
  • Mydoom
  • BlackEnergy
  • DarkTequila
  • WannaCry

Ноутбук получил название The Persistence of Chaos, хотя лучше сравнить его с «Бубонной чумой», способной уничтожить мир. Даже с учетом того, что некоторые вирусы устарели, они нанесут ущерб, вырвавшись на свободу: в мире полно компьютеров под управлением откровенно древних версий операционной системы Microsoft (да и свежие могут пасть).

The Persistence of Chaos отрезан от интернета и локальной сети — «интернет-художник», выставивший компьютер на продажу, решил по возможности обезопасить внешний мир от этого ящика Пандоры. Покупатель же соглашался с тем, что не будет использовать это «оружие массового поражения», а лишь поставит его на полку и будет изучать в свое удовольствие.

ILOVEYOU

Весьма заметный ущерб из вирусов, что на ноутбуке, нанес ILOVEYOU, который начал свое черное дело в 2000 году, — $15 млрд, из которых $5,5 млрд пришлись на первую неделю активности. По другим данным, экономика потеряла до $8,7 млрд, стоимость «очистки» обошлась еще в $15 млрд.

ILOVEYOU начал свой путь с Филиппин, вирус рассылал свои копии по адресным книгам, поэтому единственный пользователь с обширной базой адресатов заражал огромное количество машин.

Предполагается, что авторы вируса, Онел Де Гузман и Реонэл Рамонес с Филиппин, которые якобы хотели проверить гипотезы дипломной работы, не ожидали случившейся бури. Позже молодых людей задержали (помог анализ кода оригинальной версии ILOVEYOU), но после расследования отпустили.

Вирус использовал уязвимость в операционной системе Windows и программе Outlook в частности, которая по умолчанию разрешала обработку скриптов.

Причиной эпидемии называют то, что разработчики из MS в то время не считали скриптовые языки угрозой, поэтому эффективной защиты от нее не предусмотрели.

Кроме того, авторы ILOVEYOU намеренно или по незнанию выпустили в мир не только инструмент для уничтожения — они предоставили конструктор, который можно изменять под свои нужды. Это привело к появлению десятков модификаций вредоноса.

Тем не менее стороннее ПО отлавливало ILOVEYOU. Как рассказал один из сисадминов того времени, придя утром на работу, он решил посмотреть, сколько вирусов попало в сети почтовых фильтров.

В напряженную ночь таких отлавливали до 50 штук, утром 4 мая 2000 года их было больше 100. «День становится все интереснее», — подумал тогда Пол Флетчер из Star Labs.

Действительно, через полчаса счетчик показал 450, к концу дня — 13 тыс.

Как следует из рассказов представителей компаний, которые занимались обеспечением информационной безопасности, вокруг творилась истерика, телефоны звонили безостановочно.

Распространению вируса способствовала социальная инженерия: модифицированные его версии поступали от имени друзей, предлагающих встретиться, письма якобы содержали информацию о том, как получить подарок, предлагали почитать анекдоты и так далее. Знакомая классика.

Все было так плохо, что некоторые крупные военные ведомства (тот же Пентагон) и компании были вынуждены полностью остановить почтовые сервисы. Позже источники называли разные цифры, отражающие количество зараженных компьютеров, — от сотен тысяч до десятков миллионов.

Что делал ILOVEYOU? Червь, получив доступ к системе после своего запуска (куда уж без участия пользователя), всего-то изменял и уничтожал файлы. А бэкапов тогда практически никто не делал.

Sobig

Вирус Sobig впервые заметили в 2002 году. Считается, что он заразил миллионы компьютеров по всему миру, действуя вначале под другим названием. По некоторым данным, экономический ущерб от его действий превысил $35 млрд, однако, как и в остальных случаях, подсчеты носят приблизительный и отчасти гипотетический характер.

Начали появляться новые версии, которые обозначались Sobig.A, Sobig.B и так далее. Наибольшее распространение получил Sobig.F. Это один из наиболее активных вирусов, который действует как червь и троян.

И вновь авторы вредоноса прибегли к социальной инженерии, завлекая пользователя заголовками писем «Re: Кино», «Re: Документы» и так далее, имитируя ответы на прошлые письма.

К слову, так же действуют и сегодня отправители спама и «плохого» ПО.

Ну а дальше дело за вложениями с двойными (например, .mpeg.pif) или обычными расширениями (просто .pif или .scr) — пользователь сам инфицировал систему.

На самом деле называть Sobig вирусом не совсем корректно: он не вредил системе напрямую. Вредонос загружал дополнительные файлы из сети, пинговал адрес 0@pagers.icq.com (предположительно, для подсчета зараженных компьютеров) и применялся для формирования спам-рассылок. Поэтому его называют одним из первых червей для организации спам-ботнетов. Или даже первым.

В то же время код Sobig был «кривым» и недописанным — поэтому Sobig.F, например, не мог распространяться в локальных сетях. Зато в нем начали применять спуфинг — грубо говоря, маскировку.

Microsoft пыталась бороться с вирусом, выпустив патч, позволяющий блокировать некоторые типы файлов, но .zip среди них не было, чем и воспользовались хакеры.

Потом софтверная корпорация предложила награду в четверть миллиона долларов за голову автора (не за голову, за имя, конечно), но его так и не нашли.

По одной из гипотез, автором червя является программист Руслан Ибрагимов, но он с этим не согласен.

Mydoom

Mydoom, который появился в 2004 году, побил рекорды ILOVEYOU и Sobig по скорости распространения. А также рекорд Sobig по нанесенному экономическому ущербу — якобы более $38 млрд.

По данным Symantec, в ней было реализовано два триггера. Один был ответственным за организацию DoS-атак начиная с 1 февраля 2004 года, второй останавливал распространение вируса 12 февраля того же года, но бэкдоры оставались активными. Правда, это касалось одной из версий, последующие имели более поздние сроки запуска и отключения. Так что никаких совестливых хакеров.

Его распространяли через файлообменник KaZaA и электронную почту (темы писем, как обычно, звучали «Привет!», «Ошибка», «Ошибка доставки», «Тест» и так далее — играли на любопытстве пользователей). Внутри были приложения с двойными расширениями: первое имитировало что-нибудь безобидное типа .txt или .doc, а вторым были .bat, .exe, .cmd и так далее — то есть исполняемые.

Вирус прописывался в системе, вносил изменения в реестр, «присасывался» к портам и мог загружать файлы извне. Действовал вредонос очень избирательно, грамотно подбирая серверы — получатели писем, избегая отправки на ряд «опасных» для него доменов (значились avp, .gov, *sopho*, *icrosof* и множество других) и адресов (abuse@, @postmaster и др.) — условий было очень много.

Основной целью вируса, вероятно, была организация DoS-атак, а также рассылка нежелательной почты. Побочным эффектом стало повсеместное снижение скорости доступа в интернет, рост объемов спама, ограничение доступа к некоторым ресурсам и блокировка работы антивирусного ПО.

BlackEnergy

Автором вируса BlackEnergy называют Cr4sh, который, поработав над проектом, продал исходники за $700 в 2007 году. Покупатель нашелся достаточно быстро и начал использовать червя для организации DDoS-атак.

Чем ближе к современности, тем меньше разнообразия: все реже появляются «случайные» вирусы, все чаще — обычные инструменты шантажа и получения денег.

Хотя BlackEnergy применяли и для спам-рассылок, фишинга да других темных делишек.

Спустя примерно три года появилась вторая версия, продвинутая во всех отношениях: с серьезным шифрованием, защитой, модульной архитектурой, системой обновлений, а еще позже — третья.

BlackEnergy превратился в комбайн для проведения DDoS-атак, кибершпионажа и уничтожения данных. Специалисты считали авторов этого программного обеспечения профессионалами своего дела — с квалификацией выше среднего по рынку.

Целями разработчиков BlackEnergy в какой-то момент стали энергетические и промышленные компании по всему миру (особенно досталось Украине), а также правительственный сектор и СМИ.

Впрочем, не все источники подтверждают «гиперактивность» BlackEnergy, подвергая сомнению использование этого ПО (BlackEnergy 3 и утилиты KillDisk, в частности) в некоторых громких инцидентах, связанных со сбоями в энергосистемах.

О том, как вредоносное ПО оказалось в наиболее уязвимых системах, есть только гипотезы. По словам одних, требовался прямой доступ к компьютерам, по словам других, заражение не слишком сложный процесс из-за откровенно устаревших программных и аппаратных механизмов защиты.

Сумма ущерба не уточняется. В том числе потому, что неопровержимых доказательств нет либо они скрыты от глаз простых смертных.

DarkTequila

DarkTequila — один, наверное, из наиболее забавных (или скорее необычных) вирусов из программ на этом странном ноутбуке.

Его использовали для атак на клиентов мексиканских финансовых учреждений с 2013 года, но ими не ограничивались.

Программа собирала данные для входа в личные кабинеты cPanel, Plesk, Amazon, площадки по бронированию авиабилетов, Microsoft Office 365, IBM Lotus Notes и так далее.

DarkTequila оставался незамеченным на протяжении пяти лет, так как действовал он аккуратно, с предварительной разведкой. Заражение компьютера проходило по банальной схеме: через фишинговый сайт или при подключении флешки, которые нередко становятся рассадником заразы.

Но перед тем, как осесть на новом месте, вредонос проверял, нет ли на компьютере антивирусного ПО, или не подключена ли машина к сети, в которой проводится удаленная проверка на заразу. Более того, если по каким-то параметрам компьютер был неинтересен распространителям вируса, DarkTequila тихонько удалялся.

Нашла «дырявого» пользователя? Время загружать набор основных плагинов. Среди них тот, который отслеживает состояние системы, чтобы в случае чего удалиться и не выдавать своего существования.

И модуль для копирования на флешку, чтобы заразить другие машины. Затем собственно кейлоггер и приложение для выуживания паролей из FTP-клиентов и браузеров.

Полученные данные на удаленный сервер DarkTequila заливает в зашифрованном виде, чтобы не допустить утечку персональных данных.

Специалисты указывают на высокую эффективность данного ПО, добавляя, что оно все еще в строю и продолжает работу, что делает DarkTequila особенно опасным.

Точных цифр ущерба нет, говорят о «миллионах долларов».

WannaCry

Завершает список компьютерных неприятностей WannaCry. В мае 2017 года СМИ по всему миру стали сообщать об атаке на Windows-пользователей вируса-вымогателя. Он не щадил никого: медицинские учреждения, военные, полиция, обычные пользователи. Наибольшее количество зараженных тогда пришлось на Россию, затем география расширилась.

WannaCry шифровал файлы, блокировал работу системы, а затем требовал выкуп за разблокировку — биткоинами в эквиваленте 300 долларов. На старте кампании хакеры пугали удвоением суммы при неоплате в течение трех дней и необратимым удалением данных еще несколько дней спустя. Правда, в случае получения выкупа расшифровать файлы присланным ключом не представлялось возможным.

Вирусная атака не была бы столь разрушительной, обнови пользователи свою ненаглядную Windows (патч вышел примерно за полтора месяца до эпидемии). Разве что владельцы XP бы страдали.

Мир был спасен благодаря молодому специалисту Маркусу Хатчинсу, который зарегистрировал домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, — WannaCry при запуске проверял, активен ли он, и, не найдя ресурс в сети, начинал шифровать пользовательские файлы. Наличие рабочего домена активировало встроенный рубильник, уничтожая вирус.

Позже функцию самоуничтожения пытались отключить, однако делал это, видимо, неквалифицированный хакер: WannaCry на время сломался. Постепенно появились эффективные инструменты, позволяющие повернуть процесс вспять, и атака WannaCry со временем сошла на нет.

Автор вируса-вымогателя заработал около $130 тыс. — точнее, именно столько на момент кампании поступило на криптокошельки мошенников. Косвенный ущерб оценить намного сложнее, поэтому разбежка в цифрах огромная: от нескольких сотен миллионов долларов до $4 млрд (сюда входит упущенная выгода и мероприятия по устранению последствий).

Споры вокруг WannaCry, авторство которого приписывают северокорейским программистам, не утихают. В частности, и потому, что американская АНБ знала о существующей уязвимости, но молчала, а также, вероятно, применяла ее в прошлом.

Маркус Хатчинс, кстати, получил срок за хакерскую деятельность и разработку компонента малвари Kronos (с WannaCry это никак не связано). Суд зачел время нахождения молодого человека под стражей, поэтому в тюрьму он не попал, отделавшись условным наказанием на год.

Помимо упомянутых вирусов, существовало немало других интересных экземпляров — CIH («Чернобыль»), Sasser, Petya, Morris, Melissa, Conficker и многие другие. За каждым стоит своя история.

Источники: BBC, Thehackernews, Fifthdomain, Securitylab, virus.wikidot.com, Kaspersky, Securelist (1, 2), The Persistence of Chaos, Wikipedia.

Источник: https://tech.onliner.by/2019/11/17/virus-41

Советы доктора
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: