Хто і чому створює шкідливі програми?

1. комп'ютерне хуліганство
2. дрібне злодійство
3. кримінальний бізнес
4. Обслуговування спам-бізнесу
5. Розподілені мережеві атаки
6. Створення мереж «зомбі-машин»
7. Дзвінки на платні телефонні номери або посилка платних SMS-повідомлень
8. Крадіжка інтернет-грошей
9. Крадіжка банківської інформації
10. Крадіжка іншої конфіденційної інформації
11. Кібер-шантаж
12. Розробка «засобів доставки»
13. точкові атаки
14. Інші види кримінальної діяльності
15. напівлегальний бізнес
16. Примусова реклама (Adware)
17. Порнографічний бізнес, платні веб-ресурси
18. Помилкові анти-шпигунські (Anti-Spyware) або антивірусні утиліти

Для початку - відповімо на найголовніше питання. Кому це потрібно? Чому комп'ютери, мережі, мобільні телефони стали носіями не тільки корисної інформації, але зоною проживання різноманітних шкідливих програм? Відповісти на це питання нескладно. Всі (або майже все) винаходи, технології масового використання - рано чи пізно ставали інструментом в руках хуліганів, шахраїв, здирників і інших злочинців. Як тільки з'являється можливість використання чого-небудь в хуліганських чи злочинних цілях - обов'язково з'являються ті, хто застосовує нові технології зовсім не так, як було задумано винахідниками цих технологій, а зовсім навпаки - в корисливих цілях або в цілях особистого самоствердження, на шкоду всім оточуючим . На жаль - не уникли цієї долі і комп'ютери, мобільні телефони, комп'ютерні та мобільні мережі. Як тільки ці технології стали масово використовуватися - вони тут же потрапили в недоброзичливі руки. Але «криміналізація» новинок відбувалася поступово.

комп'ютерне хуліганство

Основна маса вірусів і троянських програм в минулому створювалася студентами та школярами, які тільки що вивчили мову програмування, хотіли спробувати свої сили, але не змогли знайти для них більш гідного застосування. Такі віруси писалися і пишуться по сей день тільки для самоствердження їх авторів. Тішить той факт, що значна частина подібних вірусів їх авторами не поширюється, і віруси через деякий час вмирали самі разом з дисками, на яких зберігалися - або автори вірусів відсилали їх виключно в антивірусні компанії, повідомляючи при цьому, що нікуди більше вірус не потрапить.

Другу групу творців вірусів також складають молоді люди (частіше - студенти), які ще не повністю оволоділи мистецтвом програмування. Єдина причина, що штовхає їх на написання вірусів, це комплекс меншовартості, який компенсується комп'ютерним хуліганством. З-під пера подібних «умільців» часто виходять віруси вкрай примітивні і з великим числом помилок ( «студентські» віруси). Життя подібних вірусів стала помітно простіше з розвитком інтернету і появою численних веб-сайтів, орієнтованих на навчання написання комп'ютерних вірусів. На таких веб-ресурсах можна знайти докладні рекомендації щодо методів проникнення в систему, прийомам приховування від антивірусних програм, способам подальшого поширення вірусу. Часто тут же можна знайти готові вихідні тексти, в які треба всього лише внести мінімальні «авторські» зміни і відкомпілювати рекомендованим способом.

Ставши старше і досвідченіше, багато хто з авторів вірусів потрапляють в третю, найбільш небезпечну групу, яка створює і запускає в світ «професійні» віруси. Ці ретельно продумані і налагоджені програми створюються професійними, часто дуже талановитими програмістами. Такі віруси нерідко використовують досить оригінальні алгоритми проникнення в системні області даних, помилки в системах безпеки операційних середовищ, соціальний інжиніринг та інші хитрощі.

Окремо варто четверта група авторів вірусів - «дослідники», досить кмітливі програмісти, які займаються винаходом принципово нових методів зараження, приховування, протидії антивірусам і т.д. Вони ж придумують способи впровадження в нові операційні системи. Ці програмісти пишуть віруси не заради власне вірусів, а швидше заради дослідження потенціалів «комп'ютерної фауни» - з їх рук виходять ті віруси, які називають «концептуальними» ( «Proof of Concept» - PoC). Часто автори подібних вірусів поширюють свої творіння, однак активно пропагують свої ідеї через численні інтернет-ресурси, присвячені створенню вірусів. При цьому небезпека, що виходить від таких «дослідницьких» вірусів, теж вельми велика - потрапивши в руки «професіоналів» з попередньої групи, ці ідеї дуже швидко з'являються в нових віруси.

Традиційні віруси, створювані перерахованими вище групами вірусів, продовжують з'являтися і зараз - на зміну повзрослевшим тінейджерам-хуліганам кожен раз приходить нове покоління тінейджерів. Але цікавий той факт, що «хуліганські» віруси в останні роки стають все менш і менш актуальними - за винятком тих випадків, коли такі шкідливі програми викликають глобальні мережеві і поштові епідемії. Кількість нових «традиційних» вірусів помітно зменшується - в 2005-2006 роках їх з'являлося в рази менше, ніж в середині і наприкінці 1990-х. Причин, за якими школярі і студенти втратили інтерес до вирусописательстве, може бути кілька.

1. Створювати вірусні програми для операційної системи MS-DOS в 1990-х роках було в рази легше, ніж для технічно складнішою Windows.
2. У законодавствах багатьох країн з'явилися спеціальні комп'ютерні статті, а арешти вірусів широко висвітлювалися пресою - що, безсумнівно, знизило інтерес до вірусів у багатьох студентів і школярів.
3. До того ж у них з'явився новий спосіб проявити себе - в мережевих іграх. Саме сучасні ігри, швидше за все, змістили фокус інтересів і перетягнули на себе комп'ютеризовану молодь.

Таким чином, на поточний момент частка «традиційних» хуліганських вірусів і троянських програм займає не більше 5% «матеріалу», заносимого в антивірусні бази даних. Решта 95% набагато більш небезпечні, ніж просто віруси, і створюються вони з метою, які описані нижче.

дрібне злодійство

З появою і популяризацією платних інтернет-сервісів (пошта, веб, хостинг) комп'ютерний андеграунд починає проявляти підвищений інтерес до отримання доступу в мережу за чужий рахунок, тобто за допомогою крадіжки чийогось логіна і пароля (або декількох логінів і паролів з різних уражених комп'ютерів) шляхом застосування спеціально розроблених троянських програм.

На початку 1997 року зафіксовані перші випадки створення і поширення троянських програм, що крадуть паролі доступу до системи AOL (інтернет-провайдер America Online). У 1998 році, з подальшим поширенням інтернет-послуг, аналогічні троянські програми з'являються і для інших інтернет-сервісів. Троянські програми даного типу, як і віруси, зазвичай створюються молодими людьми, у яких немає коштів для оплати інтернет-послуг. Характерний той факт, що в міру здешевлення інтернет-сервісів зменшується і питома кількість таких троянських програм. Але до сих пір троянці, які крадуть паролі до dial-up, паролі до AOL, ICQ, коди доступу до інших сервісів, складають помітну частину щоденних «надходжень» в лабораторії антивірусних компаній усього світу.

Дрібними злодюжками також створюються троянські програми інших типів: крадуть реєстраційні дані і ключові файли різних програмних продуктів, що використовують ресурси заражених комп'ютерів в інтересах свого «господаря» і т.п.

В останні роки фіксується постійно збільшується число троянських програм, що крадуть персональну інформацію з мережевих ігор (ігрову віртуальну власність) з метою її несанкціонованого використання або перепродажу. Подібні троянці особливо широко поширені в країнах Азії, особливо в Китаї, Кореї та Японії.

кримінальний бізнес

Найбільш небезпечну категорію вірусописьменників становлять хакери-одинаки або групи хакерів, які усвідомлено створюють шкідливі програми в корисливих цілях. Для цього вони створюють вірусні і троянські програми, які крадуть коди доступу до банківських рахунків, нав'язливо рекламують будь-які товари або послуги, несанкціоновано використовують ресурси зараженого комп'ютера (знову-таки, заради грошей - для обслуговування спам-бізнесу або організації розподілених мережевих атак з метою подальшого шантажу). Діапазон діяльності даної категорії громадян досить широкий. Зупинимося на основних видах кримінального бізнесу в мережі.

Обслуговування спам-бізнесу

Для розсилки спаму створюються спеціалізовані «зомбі-мережі» з троянських проксі-серверів (proxy server - утиліта для анонімної роботи в мережі, зазвичай встановлюється на виділений комп'ютер) або багатоцільових троянських програм з функціоналом проксі-сервера. Потім троянські проксі-сервера отримують від «хазяїна» зразок спаму і адреси, на які цей спам розсилати.

В результаті ретрансляції спаму через тисячі (або десятки тисяч) заражених комп'ютерів спамери досягають декількох цілей:

• по-перше, розсилка відбувається анонімно - по заголовкам листи та іншої службової інформації в листі з'ясувати реальну адресу спамера неможливо;
• по-друге, досягається велика швидкість спам-розсилки, оскільки в ній задіяна величезна кількість «зомбі» -Комп'ютер;
• по-третє, не працюють технології ведення «чорних списків» адрес заражених машин - «відсікти» всі комп'ютери, що розсилають спам, неможливо, тому що їх занадто багато.

Розподілені мережеві атаки

Також іменуються DDoS-атаками (Distributed Denial of Service - розподілене відмову в обслуговуванні). Мережеві ресурси (наприклад, веб-сервера) мають обмежені можливості за кількістю одночасно обслуговуваних запитів - це кількість обмежена як потужностями самого сервера, так і шириною каналу, яким він підключений до інтернету. Якщо кількість запитів перевищує допустимий, то або робота з сервером значно сповільниться, або взагалі запити користувачів будуть проігноровані.

Користуючись цим фактом, комп'ютерні зловмисники ініціюють «сміттєві» запити на атакується ресурс, причому кількість таких запитів багаторазово перевищує можливості ресурсу-жертви. За допомогою «зомбі-мережі» достатнього розміру організовується масована DDoS-атака на один або кілька інтернет-ресурсів, що призводить до відмови атакованих вузлів мережі. В результаті звичайні користувачі не в змозі отримати доступ до атакованому ресурсу. Зазвичай під удар потрапляють інтернет-магазини, інтернет-казино, букмекерські контори, інші компанії, бізнес яких безпосередньо залежить від працездатності своїх інтернет-сервісів. Найчастіше розподілені атаки відбуваються або з метою «завалити» бізнес конкурента, або з подальшим вимогою грошової винагороди за припинення атаки - такий собі інтернет-рекет.

У 2002-2004 роках цей вид кримінальної діяльності був досить поширеним. Потім він пішов на спад, мабуть, через успішних поліцейських розслідувань (за дані злочини було заарештовано як мінімум кілька десятків людей по всьому світу), а також з причини досить успішних технічних заходів протидії подібним атакам.

Створення мереж «зомбі-машин»

Для розгортання подібних мереж створюються спеціалізовані троянські програми - «боти» (від «robot»), які централізовано управляються віддаленим «господарем». Цей троянець впроваджується в тисячі, десятки тисяч або навіть мільйони комп'ютерів. В результаті «господар зомбі-мережі» (або «бот-мережі») отримує доступ до ресурсів всіх заражених комп'ютерів і використовує їх в своїх інтересах. Іноді такі мережі «зомбі-машин» надходять на чорний інтернет-ринок, де купуються спамерами або здаються їм в оренду

Дзвінки на платні телефонні номери або посилка платних SMS-повідомлень

Спочатку зловмисником (або групою осіб) створюється і поширюється спеціальна програма, що здійснює несанкціоновані користувачем телефонні дзвінки або відсилання SMS-повідомлень з мобільних телефонів. Заздалегідь або паралельно з цим ті ж особи реєструє компанію, від імені якої укладається договір з місцевим телефонним провайдером про надання платного телефонного сервісу. Провайдер при цьому, природно, не ставиться до відома про те, що дзвінки будуть проводитися без відома користувача. Далі троянець телефонує на платний телефонний номер, телефонна компанія виставляє рахунки на номери, з яких йшли дзвінки, - і відраховує зловмисникові обумовлену в контракті суму.

Крадіжка інтернет-грошей

А саме - створення, поширення і обслуговування троянських програм-шпигунів, спрямованих на крадіжку грошових коштів з персональних «електронних гаманців» (таких як e-gold, WebMoney). Троянські програми даного типу збирають інформацію про коди доступу до рахунків і пересилають її своїм «хазяїну». Зазвичай збір інформації здійснюється пошуком і розшифровкою файлів, в яких зберігаються персональні дані власника рахунку.

Крадіжка банківської інформації

В даний час - один з найпоширеніших видів кримінальної діяльності в інтернеті. Під ударом виявляються номера кредитних банківських карт і коди доступу до обслуговуваних через інтернет персональним (а якщо «пощастить» - то і корпоративним) банківських рахунків ( «інтернет-бенкінг»). У разі подібних атак троянці-шпигуни використовують більш різноманітні методи. Наприклад, виводять діалогове вікно або показують вікно із зображенням, що збігається з веб-сторінкою банку - і потім запитують від користувача логін і пароль доступу до рахунку або номер кредитної картки (схожі методи також використовуються в фішинг - розсилках спаму з підробленими текстом, що нагадує інформаційне повідомлення від банку або іншого інтернет-сервісу).

Для того щоб змусити користувача ввести персональні дані застосовуються різні психологічні махінації, зазвичай - виводиться будь-якої текст, який повідомляє, що якщо не ввести свій код, то відбудеться щось погане (наприклад, інтернет-банк припинить обслуговування рахунку) або не відбудеться що щось дуже хороше ( «на Ваш рахунок хочуть перерахувати багато-багато грошей - будь ласка, підтвердіть свої реквізити»).

Досить часто зустрічаються троянські програми ( «клавіатурні шпигуни»), які чекають підключення користувача до справжньої банківської веб-сторінці і потім перехоплюють введені з клавіатури символи (тобто, логін і пароль). Для цього вони стежать за запуском і активністю додатків і, якщо користувач працює в інтернет-браузері, порівнюють назва веб-сайту з «зашитим» в код троянця списком банків. Якщо веб-сайт виявлений в списку, то включається клавіатурний шпигун, а потім перехоплена інформація (послідовність натиснутих клавіш) відсилається зловмиснику. Дані троянські програми (на відміну від інших банківських троянців) ніяк не проявляють своєї присутності в системі.

Крадіжка іншої конфіденційної інформації

Увага зловмисників може залучити не тільки фінансова чи банківська, а й будь-яка інша інформація, що представляє якусь цінність - бази даних, технічна документація і т.п. Для доступу та крадіжки такої інформації в комп'ютери-жертви впроваджуються спеціально розроблені троянці-шпигуни.

Також відомо про випадки, коли для атаки використовувалися легальні мережеві додатки. Наприклад, в систему приховано впроваджувався FTP-сервер або також таємно встановлювалося файлообмінних ( «Peer-to-Peer» - P2P) програмне забезпечення. В результаті файлові ресурси комп'ютера ставали відкритими для доступу ззовні. Унаслідок численних інцидентів, пов'язаних зі зловмисним використанням P2P-мереж, в 2006 р вони були офіційно заборонені у Франції і в Японії.

Кібер-шантаж

Зловмисником розробляється троянська програма, шифрующая персональні файли користувача. Троянець тим чи іншим способом впроваджується в систему, шукає і шифрує призначені для користувача дані, а після закінчення роботи залишає повідомлення про те, що файли відновленню не підлягають, а купити програму-розшифровщик можна за вказаною в повідомленні адресою.

Інший відомий метод кібер-шантажу - архівація призначених для користувача файлів в архів, зашифрований досить довгим паролем. Після архівації оригінальні файли видаляються - і потім слід вимога перекладу деякої грошової суми в обмін на пароль до архіву.

Даний спосіб кібер-злочину (шифрування даних) є критично небезпечним з технічної точки зору, оскільки якщо в інших випадках від наслідків дії троянської програми можна захиститися, то тут доводиться мати справу зі стійкими алгоритмами шифрування. При використанні подібних алгоритмів і ключів (паролів) достатньої довжини, завдання відновлення файлів без інформації від зловмисника стане технічно нерозв'язною.

Розробка «засобів доставки»

Для обслуговування описаних вище видів кримінальної діяльності в інтернеті кібер-злочинцями розробляються і поширюються мережеві черв'яки, які стають причиною численних інтернет-епідемій. Основним завданням таких хробаків є установка кримінальних троянських програм на максимально велику кількість комп'ютерів в глобальній мережі. Прикладами таких хробаків є гучні в 2004 році Mydoom і Bagle, а в 2006 році - поштовий хробак Warezov.

Не виключено, що в деяких випадках завдання «максимального покриття» не варто - а навпаки, кількість заражених машин примусово обмежена, мабуть, для того, щоб не привертати надмірно великої уваги правоохоронних органів. Впровадження в комп'ютери-жертви в цих випадках відбувається не за допомогою неконтрольованої епідемії мережного хробака, а, наприклад, через заражену веб-сторінку. Зловмисники в змозі фіксувати кількість відвідувачів сторінки, число вдалих заражень - і видаляти троянський код при досягненні необхідного числа заражених машин.

точкові атаки

На відміну від масових атак, розрахованих на поразку якомога більшого числа комп'ютерів, точкові атаки переслідують зовсім інші цілі - зараження мережі конкретної компанії або організації або навіть впровадження спеціального розробленого троянця-агента в єдиний вузол (сервер) мережевої інфраструктури. Під ударом виявляються компанії, що володіють досить цінною інформацією - банки, біллінгові компанії (наприклад, телефонні компанії) і т.п.

Причина атак на банківські сервери або мережі очевидна: отримання доступу до банківської інформації, організація несанкціонованого переказу грошових коштів (іноді - досить великих сум) на рахунок або рахунки зловмисника. При атаках на біллінгові компанії метою виступає доступ до клієнтських рахунків. Метою точкових атак може бути будь-яка цінна інформація, що зберігається на серверах мережі - клієнтські бази даних, фінансова і технічна документація, - все, що може становити інтерес для потенційного зловмисника.

Під атаками найчастіше виявляються великі компанії, що володіють критично важливою і цінною інформацією. Мережева інфраструктура таких компаній досить добре захищена від зовнішніх атак, і без допомоги зсередини компанії проникнути в неї практично неможливо. З цієї причини в більшості випадків подібні атаки здійснюються або співробітниками атакованих організацій (інсайдерами), або при їхній особистій участі.

Інші види кримінальної діяльності

Існують і інші види злочинного комп'ютерного бізнесу, які поки не отримали достатньо широкого поширення. Наприклад, це злодійство (збір) виявлених на заражених машинах електронних поштових адрес - і продаж їх спамерам. Це пошук вразливостей в операційних системах і додатках - і продаж їх іншим комп'ютерним злочинцям. Це також розробка і продаж троянських програм «на замовлення», і так далі. Досить імовірно, що з розвитком існуючих і появою нових інтернет-сервісів будуть з'являтися і нові методи здійснення інтернет-злочинів.

напівлегальний бізнес

Крім студентів-вірусів і відверто кримінального бізнесу в інтернеті існує також діяльність на межі закону - бізнес «напівлегальний». Системи нав'язування електронної реклами, утиліти, періодично пропонують користувачеві відвідати ті чи інші платні веб-ресурси, інші типи небажаного програмного забезпечення - всі вони також вимагають технічної підтримки з боку програмістів-хакерів. Дана підтримка потрібна для реалізації механізмів прихованого впровадження в систему, періодичного оновлення своїх компонент, різноманітної маскування (щоб захистити себе від видалення з системи), протидії антивірусним програмам - перераховані завдання практично збігаються з функціоналом троянських програм різних типів.

Примусова реклама (Adware)

Проводиться впровадження в систему спеціальних рекламних компонентів, які періодично завантажують рекламну інформацію з особливих серверів і показують її користувачеві. У більшості випадків (але не завжди) впровадження в систему відбувається непомітно для користувача, а рекламні вікна спливають тільки при роботі інтернет-браузера (так рекламні системи маскуються під рекламні банери веб-сайтів).

Після прийняття кількома штатами США антирекламних законів, розробники Adware були фактично виведені за рамки закону (а майже всі вони - американські компанії). В результаті, деякі з них максимально легалізували свої розробки: тепер Adware поставляється з інсталятором, видно іконка на системній панелі і є деинсталлятор. Але уявити собі людину, яка при здоровому розумі і тверезій пам'яті добровільно встановить на комп'ютер рекламну систему важко, і тому легальні Adware стали нав'язувати разом з будь-яким безкоштовним софтом. При цьому інсталяція Adware відбувається на тлі інсталяції цього софта: більшість користувачів натискають «OK», не звертаючи уваги на тексти на екрані, - і разом з встановленими програмами отримують і рекламні. А оскільки найчастіше половина робочого столу і системної панелі зайняті найрізноманітнішими іконками, то іконка рекламної програми губиться серед них. В результаті де-юре легальний Adware встановлюється приховано від користувача і не видно в системі.

Варто також відзначити, що в деяких випадках видалити легальні рекламні системи без порушення роботи основного софта неможливо. Подібним чином виробники Adware захищаються від деінсталяції.

Порнографічний бізнес, платні веб-ресурси

Для залучення користувачів на платні веб-сайти часто також використовуються різні програми, які де-юре не потрапляють в розряд шкідливих, оскільки вони ніяк не приховують своєї присутності, а на платний ресурс користувач потрапляє, тільки позитивно відповівши на відповідне питання. Однак такі програми часто встановлюються в систему без відома користувача, наприклад, при відвідуванні веб-сайтів сумнівного змісту. Потім вони наполегливо пропонують користувачеві відвідати той чи інший платний ресурс.

Помилкові анти-шпигунські (Anti-Spyware) або антивірусні утиліти

Це досить новий вид бізнесу. Користувачеві «підсувається» невелика програма, яка повідомляє про те, що на комп'ютері виявлено шпигунське програмне забезпечення або вірус. Повідомляється в будь-якому випадку, незалежно від реальної ситуації - навіть якщо на комп'ютері крім ОС Windows більше нічого не встановлено. Одночасно користувачеві пропонується за невелику суму придбати «ліки», яке, насправді, майже ні від чого не лікує.