Различный род разрушающих программных воздействий - вирусов, троянских коней, руткитов

За исключением показов рекламы, подобные программы, как правило, никак  не проявляют своего присутствия  в системе – отсутствует значок в системном трее, нет упоминаний об установленных файлах в меню программ.

На компьютеры пользователей  Adware чаще всего попадает двумя способами:

● путем встраивания рекламных компонентов в бесплатное и условно-бесплатное программное обеспечение (freeware, shareware);

● путем несанкционированной пользователем установки рекламных компонентов при посещении пользователем «заражённых» веб-страниц.

Известны два основных способа  доставки рекламной информации:

● скачивание рекламных текстов и изображений с веб- или FTP-серверов, принадлежащих рекламодателю;

● перенаправление поисковых запросов интернет-браузера на рекламный веб-сайт.

Многие рекламные системы помимо доставки рекламы также собирают конфиденциальную информацию о компьютере и пользователе:

● IP-адрес компьютера;

● версию установленной операционной системы и интернет-браузера;

● список часто посещаемых пользователем интернет-ресурсов;

● поисковые запросы;

● прочие данные, которые можно использовать при проведении последующих рекламных кампаний.

Pornware

Pornware – программы, которые так или иначе связаны с показом пользователю информации порнографического характера. Могут быть установлены пользователем на свой компьютер сознательно, с целью поиска и получения порнографической информации. В этом случае они не являются вредоносными. С другой стороны, те же самые программы могут быть установлены на пользовательский компьютер злоумышленниками – через использование уязвимостей операционной системы и интернет-браузера или при помощи вредоносных троянских программ классов Trojan-Downloader или Trojan-Dropper.

Porn-Dialer. Программы, дозванивающиеся до порнографических телефонных служб, параметры которых сохранены в теле этих программ.

Porn-Downloader. Программы, выполняющие загрузку из сети на компьютер пользователя данных порнографического характера.

Porn-Tool. Программы, так или иначе связанные с поиском и показом порнографических материалов (например, специальные панели инструментов для интернет-браузера и особые видеоплееры).

Отличие от вредоносных программ загрузки состоит в том, что пользователь уведомляется программой о совершаемых ею действиях.

Riskware

К этой категории относятся обычные программы (некоторые из них свободно продаются и широко используются в легальных целях), которые, тем не менее, в руках злоумышленника способны причинить вред пользователю. В списке программ категории Riskware можно обнаружить коммерческие утилиты удаленного администрирования, программы-клиенты IRC, программы дозвона, программы для загрузки файлов, мониторы активности компьютерных систем, утилиты для работы с паролями, а также многочисленные интернет-серверы служб FTP, Web, Proxy и Telnet. Все эти программы не являются вредоносными сами по себе, однако обладают функционалом, которым могут воспользоваться злоумышленники для причинения вреда пользователям.

Client-IRC – программы, используемые для общения в Internet Relay Chats; расширенный функционал часто используется злоумышленниками.

Client-P2P – программы, используемые для работы в peer-to-peer сетях; ряд программ подобного рода стал причиной утечки конфиденциальной информации.

Client-SMTP – программы, используемые для отправки электронной почты и имеющие скрытый режим работы; могут включаться злоумышленниками в состав пакета вредоносных программ для рассылки спама или иного вредоносного контента с компьютеров пользователей.

Dialer – программы, позволяющие устанавливать в скрытом режиме телефонные соединения через модем.

Downloader – программы, позволяющие осуществлять в скрытом режиме загрузку различного контента с сетевых ресурсов, в том числе и вредоносного.

FraudTool – программы, которые выдают себя за другие программы, хотя таковыми не являются, например псевдоантивирусы, которые выводят сообщения об «обнаружении» вредоносных программ, но на самом деле ничего не находят и не лечат.

Monitor – программы, содержащие функции наблюдения за активностью на компьютере пользователя; также используются злоумышленниками.

PSWTool – программы, позволяющие просматривать или восстанавливать забытые пароли; с таким же успехом в подобных целях данный тип программ может быть использован злоумышленниками.

 RemoteAdmin – программы, используемые для удаленного управления компьютером; будучи установленными злоумышленником дают ему возможность полного контроля над компьютером-жертвой.

RiskTool – программы, обладающие различной функциональностью (например, сокрытие файлов в системе, сокрытие окон запущенных приложений, уничтожение активных процессов и т.д.), позволяющей использование их киберпреступниками со злонамеренными целями.

Server-FTP, Server-Proxy, Server-Telnet, Server-Web – программы, содержащие функциональность соответственно FTP-сервера, proxy-сервера, telnet-сервера, веб-сервера. Включаются злоумышленниками в пакеты вредоносных программ.

WebToolbar – программы, которые с разрешения пользователя расширяют возможности пользовательского программного обеспечения путём установки панелей инструментов, позволяющих использовать одну или несколько поисковых систем при работе в интернете.

 

4. Ущерб от вредоносных программ

Ущерб от проникновения вируса в  домашний компьютер или компьютерную сеть предприятия может быть совершенно разным: от незначительного увеличения размера исходящего трафика (если внедрён троянец, рассылающий спам) до полного отказа работы сети или потери жизненно важной информации. Однако наносимый вирусом ущерб напрямую зависит от целей вируса, и результаты вирусной жизнедеятельности могут оказаться совершенно незаметными для пользователя заражённого компьютера.

4.1. Работоспособность компьютеров и компьютерных сетей

Отказ в работе компьютеров и  сетей или резкое замедление их работы бывает преднамеренным или случайным. В случае преднамеренной атаки вирус или троянская программа либо уничтожает критически важные элементы системы, чем приводит её в неработоспособное состояние, либо перегружает сеть DDoS-атакой, либо каким-либо еще образом влияет на работоспособность системы.

Часто фатальные проблемы являются результатом ошибки либо в коде вируса, либо в логике работы вредоносного кода. Ошибки есть в любом программном  продукте, в том числе и в  вирусах. К тому же маловероятно, что вирусы перед их запуском проходят столь же тщательное тестирование как, например, коммерческие программные продукты. Иногда вредоносные программы оказываются несовместимыми с программами и «железом», установленными на атакуемой системе, – в результате происходит сбой в работе компьютера, сервера, либо заполнение паразитным трафиком и паралич сети предприятия. Подобное случается довольно часто.

Но изредка происходят и гораздо  более масштабные события. Одно из них  состоялось в 1988 году в США, когда вирус Morris Worm вызвал эпидемию в прародителе современного интернета – сети Arpanet. Всего оказалось заражено более 6000 компьютеров – около 10% всех компьютеров этой сети. По причине ошибки в коде вируса он неограниченно рассылал свои копии по другим компьютерам, запускал их на выполнение и, в результате, полностью забрал себе все ресурсы, парализовав работу сети.

Современный червь Slammer (январь 2003) вызвал «веерные» отключения интернета в США, Южной Корее, Австралии и Новой Зеландии. В результате неконтролируемого распространения червя нагрузка на интернет выросла на 25%. Из-за нарушений в работе сети была прекращена часть операций «Банка Америки» (Bank of America). Огромный ущерб также был нанесён сетевыми червями Lovesan (Blaster, MSBlast), Mydoom, Sasser и прочими червями, вызвавшими глобальные эпидемии – по причине их неконтролируемого распространения авиакомпаниями отменялись рейсы, прекращали работать банки и т.д.

4.2. Отказ работы «железа»

Вирус, как причина поломки компьютерного  «железа» – явление крайне редкое, поскольку современные компьютеры достаточно хорошо защищены от программных сбоев. Однако в 1999 году срабатывание «бомбы» в вирусе CIH (также известного как «Чернобыль») привело к тому, что заражённые системы оказались неработоспособными. Вирус стирал данные на перезаписываемой памяти BIOS (Flash BIOS), и компьютер переставал даже включаться. В случае обычного настольного компьютера для восстановления работоспособности надо было обратиться к специалистам (в сервис-центр) и перезаписать Flash BIOS. На многих ноутбуках микросхема Flash BIOS оказалась впаянной в материнскую плату (вместе с диском, видеокартой и прочим «железом»), и в результате стоимость ремонта превышала стоимость покупки нового ноутбука – разрушенные компьютеры просто выкидывались. Всего в мире в результате срабатывания «бомбы» пострадало несколько сотен тысяч компьютеров.

Изредка встречаются троянские  программы, периодически открывающие  и закрывающие лоток CD/DVD-привода – несмотря на достаточную надёжность современного «железа», теоретически они могут стать причиной поломки привода тех компьютеров, которые не выключаются продолжительное время.

4.3. Потеря или кража информации

Если целью атаки является уничтожение  или кража информации, то ущерб  от успешной атаки равен стоимости этой информации. Если атакован домашний компьютер, который используется только для развлечений, то цена вопроса минимальна. Если же под удар попадает важная информация, то может пропасть результат многолетнего труда, библиотека фотографий, важная переписка и т.п. Естественно, что спасением от уничтожения является элементарное резервное копирование, но многие им просто пренебрегают.

В случае кражи информации – тем более, в случаях целенаправленной атаки на заведомо определённую жертву – результат может оказаться плачевным для владельца этих данных, особенно если речь идёт об утечке информации, критически важной для компании, организации или даже государства. Клиентские базы данных, финансовая и техническая документация, номера банковских счетов, детали коммерческих предложений – список можно продолжать бесконечно. Мы живём в век информации, и её потеря или утечка иногда оказывается самой плохой и неожиданной новостью.

4.4. Даже если видимого ущерба нет

Многие троянские программы, вирусы никак не проявляют своего присутствия. Вирусы тихо заражают файлы на дисках, при этом файлы и система в целом остаются работоспособными. Троянцы скрываются в системе и незаметно делают свою троянскую работу – и, вроде, всё хорошо, однако это лишь видимость.

Наличие вируса, даже самого безобидного, в корпоративной сети – ситуация форс-мажорная, и ущерб здесь очевиден – он равен убыткам от простоя сети на время проведения антивирусной зачистки плюс затраты на проведение этой зачистки. Наличие троянской программы, даже никакой опасности для сети не представляющей – ситуация также нештатная. Даже если этот троянец всего лишь «зомби»-сервер, рассылающий спам, он, во-первых, потребляет сетевые и интернет-ресурсы, а во-вторых, никому не хочется получать тонны мусорных спам-писем – а ведь возможно, что часть таких писем, поступающих на корпоративный почтовый сервер, рассылается из заражённых компьютеров той же компании.

К сожалению, заметное число домашних пользователей не осознают проблемы и вообще никак не защищают свои компьютеры. По результатам опроса, проведённого нами в декабре 2005 года, 13% российских респондентов вообще не используют на своих компьютерах антивирусную защиту.

То, что их компьютеры могут стать  базой для рассылки спама, атак на другие элементы сети – большинство этих пользователей просто не задумываются.

4.5. Уголовная ответственность

Преступления в сфере компьютерной информации наказываются в России согласно Уголовному Кодексу РФ (глава 28)

Статья 272. Неправомерный доступ к  компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, —

наказывается штрафом в размере  до двухсот тысяч рублей или в  размере заработной платы или  иного дохода осужденного за период до восемнадцати месяцев, либо исправительными  работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

(в ред. Федерального закона  от 08.12.2003 № 162-ФЗ)

2. То же деяние, совершенное группой  лиц по предварительному сговору  или организованной группой либо  лицом с использованием своего  служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, —

наказывается штрафом в размере  от ста тысяч до трехсот тысяч  рублей или в размере заработной платы или иного дохода осужденного  за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

(в ред. Федерального закона  от 08.12.2003 № 162-ФЗ).

Статья 273. Создание, использование  и распространение вредоносных  программ для ЭВМ

1. Создание программ для ЭВМ  или внесение изменений в существующие  программы, заведомо приводящих  к несанкционированному уничтожению,  блокированию, модификации либо  копированию информации, нарушению  работы ЭВМ, системы ЭВМ или  их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами —

наказываются лишением свободы  на срок до трех лет со штрафом в  размере до двухсот тысяч рублей или в размере заработной платы  или иного дохода осужденного  за период до восемнадцати месяцев.

(в ред. Федерального закона  от 08.12.2003 № 162-ФЗ)

2. Те же деяния, повлекшие по  неосторожности тяжкие последствия,  —

наказываются лишением свободы  на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

1. Нарушение правил эксплуатации  ЭВМ, системы ЭВМ или их сети  лицом, имеющим доступ к ЭВМ,  системе ЭВМ или их сети, повлекшее  уничтожение, блокирование или  модификацию охраняемой законом  информации ЭВМ, если это деяние  причинило существенный вред, —