Вирусная активность в мире

  • автор:

Обзор вирусной активности для мобильных устройств за 2016 год

29 декабря 2016 года

В 2016 году пользователи ОС Android вновь столкнулись с большим числом угроз. На протяжении последних 12 месяцев злоумышленники распространяли банковских троянцев, один из которых сумел заразить почти 40 000 смартфонов и планшетов по всему миру. Были выявлены новые вредоносные приложения, встроенные киберпреступниками в прошивку десятков моделей Android-устройств. Появились Android-троянцы, способные заражать запущенные процессы и системные библиотеки. Кроме того, в каталог Google Play попало множество новых вредоносных приложений. Также в 2016 году вирусописатели распространяли троянцев, которые показывали агрессивную рекламу, пытались получить root-полномочия и незаметно устанавливали ПО. Были обнаружены и новые вредоносные программы для iOS.

Главные тенденции года

  • Рост числа вредоносных и нежелательных программ, которые показывали рекламу, а также незаметно скачивали и устанавливали ненужные приложения
  • Появление Android-троянцев, заражающих процессы и системные библиотеки ОС Android
  • Обнаружение новых троянцев, предустановленных на мобильные устройства
  • Развитие Android-банкеров и увеличение количества атак на клиентов кредитных организаций из множества стран
  • Появление новых троянцев в каталоге Google Play
  • Обнаружение новых вредоносных и нежелательных программ для iOS

Вирусная обстановка в сегменте мобильных устройств

Операционная система Android по-прежнему остается самой популярной платформой, на которой работает множество современных мобильных устройств. Поэтому в 2016 году киберпреступники вновь сконцентрировали атаки именно на пользователях Android-смартфонов и планшетов. Большинство вредоносных и нежелательных программ, с помощью которых вирусописатели заражали Android-устройства, применялись для получения незаконной прибыли. При этом интерес злоумышленников к популярным ранее СМС-троянцам продолжил снижаться, и основным источником их заработка все чаще становились вредоносные программы c другой моделью монетизации. Эта тенденция начала прослеживаться еще в 2015 году.

Широкое распространение получили троянцы, показывающие агрессивную рекламу. Они отображают баннеры поверх работающих приложений, помещают сообщения в панель уведомлений, создают ярлыки на главном экране операционной системы, загружают заданные вирусописателями веб-страницы и открывают определенные разделы в каталоге Google Play.

Другой популярный способ обогащения киберпреступников заключается в загрузке и установке троянцами программ без разрешения владельцев зараженных устройств, когда за каждую успешную установку вирусописатели получают оплату. Для незаметной работы многие такие вредоносные приложения пытаются получить root-полномочия и копируют себя в системные каталоги. А некоторые из них злоумышленники встраивают непосредственно в прошивку мобильных устройств. Кроме того, появились троянцы, которые заражают процессы системных приложений, после чего обретают расширенные полномочия и могут скрытно устанавливать ПО. Такие вредоносные программы были обнаружены в феврале 2016 года. А в декабре вирусные аналитики «Доктор Веб» исследовали новые версии этих троянцев, научившиеся заражать не только процессы приложений, но и системные библиотеки.

Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, в 2016 году на Android-смартфонах и планшетах чаще всего обнаруживался троянец Android.Xiny.26.origin, который при помощи эксплойтов пытался получить на заражаемом мобильном устройстве root-доступ и без разрешения пользователя скачивал и устанавливал программы. Кроме того, он показывал рекламу. На второй строчке расположился троянец Android.Callpay.1.origin. Он предоставлял владельцам Android-устройств доступ к эротическим материалам, но в качестве оплаты этой услуги незаметно совершал звонки на премиум-номера. На третьем месте по числу детектирований оказались троянцы, которые антивирусные продукты Dr.Web для Android определяют с использованием вирусной записи Android.Packed.1. Такие приложения защищены программными упаковщиками и могут совершать самые разные вредоносные действия.

  • Android.Sprovider.1
    Троянец, который загружает на мобильные Android-устройства различные приложения и пытается их установить. Кроме того, он может показывать рекламу.
  • Android.Backdoor.279.origin
    Многофункциональный троянец-бэкдор для ОС Android, который получает команды от злоумышленников и выполняет широкий спектр задач.
  • Android.Banker.70.origin
    Представитель семейства банковских троянцев, которые крадут конфиденциальную информацию и похищают деньги со счетов пользователей.
  • Android.DownLoader
    Семейство троянцев, которые загружают и пытаются установить на мобильные Android-устройства другие вредоносные приложения.
  • Android.BankBot.75.origin
    Представитель семейства банковских троянцев, предназначенных для кражи конфиденциальной информации и похищения денег.

Эта статистика говорит о том, что среди выявленных на Android-смартфонах и планшетах вредоносных программ наибольшее распространение в 2016 году получили рекламные троянцы, а также троянцы, которые загружали на мобильные устройства и пытались установить ненужные приложения.

Аналогичная ситуация наблюдается и согласно статистике обнаружений нежелательного и потенциально опасного ПО. В 2016 году на Android-устройствах чаще всего детектировались нежелательные приложения и программные модули, предназначенные для показа агрессивной рекламы. Первую строчку среди них занял рекламный модуль Adware.WalkFree.1.origin, на втором месте расположился Adware.Leadbolt.12.origin, а на третьем — Adware.Airpush.31.origin. Десять наиболее распространенных нежелательных приложений, обнаруженных в 2016 году на Android-смартфонах и планшетах, показаны на следующей диаграмме:

  • Adware.AdMogo.2.origin
  • Adware.Cosiloon.1
  • Adware.DuMobove.1
  • Adware.Revmob.1.origin
  • Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Большинство рекламных модулей для ОС Android показывают баннеры, всплывающие окна и сообщения в панели уведомлений мобильных устройств. Однако многие из них могут также загружать приложения и предлагать пользователям их установить.

Судя по всему, в следующем году популярность троянцев и нежелательных программ, которые показывают рекламу и без разрешения загружают на устройства программы, продолжит расти.

Предустановленные троянцы

Вредоносные программы, которые киберпреступники внедряют в прошивку мобильных устройств под управлением ОС Android, обладают системными полномочиями и могут без разрешения пользователей выполнять множество действий – например, они способны незаметно скачивать, устанавливать и удалять приложения. В 2016 году вирусные аналитики компании «Доктор Веб» зафиксировали сразу несколько новых случаев предустановки Android-троянцев на смартфоны и планшеты. Так, в середине января на одной из популярных моделей Android-устройств был выявлен троянец Android.Cooee.1. Он представлял собой созданную вирусописателями графическую оболочку со встроенным в нее рекламным модулем. Android.Cooee.1 показывал рекламу, незаметно загружал и запускал дополнительные рекламные плагины, а также приложения, среди которых были и вредоносные.

Уже в марте специалисты «Доктор Веб» обнаружили троянца Android.Gmobi.1. Он был предустановлен на нескольких десятках моделей мобильных устройств, а также распространялся в составе приложений TrendMicro Dr.Safety, TrendMicro Dr.Booster и Asus WebStorage, размещенных в каталоге Google Play. Троянец представлял собой программную платформу (SDK), которую использовали производители смартфонов и планшетов, а также разработчики ПО.

Эта платформа позволяла выполнять дистанционное обновление операционной системы, собирала аналитические данные, показывала различные уведомления, а также использовалась для мобильных платежей. Однако помимо безобидных функций она имела и вредоносные. Например, Android.Gmobi.1 показывал рекламу, создавал ярлыки на главном экране ОС, открывал различные страницы в веб-браузере и в приложении Google Play, а также мог загружать, устанавливать и запускать ПО. Кроме того, этот троянец передавал конфиденциальную информацию на управляющий сервер.

В ноябре был обнаружен троянец Android.Spy.332.origin, который изначально представлял собой системное ПО для обновления прошивки и ранее не был вредоносным приложением. Однако в новой версии в нем появился троянский функционал. Android.Spy.332.origin мог незаметно скачивать, устанавливать и удалять программы, выполнять shell-команды, а также передавал на управляющий сервер конфиденциальную информацию, в том числе сведения об СМС-сообщениях, телефонных звонках и ряд технических данных о зараженном мобильном устройстве. После того как этот случай получил широкую огласку в СМИ, некоторые производители выпустили обновление операционной системы, в котором этот троянец уже отсутствовал.

Поскольку внедрение троянцев и других нежелательных приложений в системный каталог Android-смартфонов и планшетов позволяет злоумышленникам незаметно выполнять любые действия, в будущем году, вероятно, снова обнаружатся мобильные устройства, на которых будут предустановлены троянцы.

Троянцы в Google Play

Каталог цифрового контента Google Play является самым надежным источником программ и игр для мобильных устройств под управлением ОС Android. Однако вирусописатели по-прежнему обходят его защитные механизмы и распространяют через него троянцев. В 2016 году было зафиксировано множество таких случаев. Например, еще в начале января в Google Play был найден троянец Android.Click.47.origin, встроенный, на первый взгляд, в безобидные приложения. При запуске Android.Click.47.origin скачивал с управляющего сервера список веб-страниц, которые он незаметно открывал. Затем троянец автоматически переходил по всем доступным на этих страницах рекламным ссылкам, нажимал на баннеры и другие интерактивные элементы, принося прибыль вирусописателям.

В марте вирусные аналитики компании «Доктор Веб» обнаружили в Google Play троянца Android.Spy.277.origin, которого злоумышленники встроили в более чем 100 программ. Это вредоносное приложение передавало вирусописателям подробную информацию о зараженном мобильном устройстве и показывало различную рекламу. Например, троянец отображал баннеры, в которых пугал пользователя тем, что аккумулятор его устройства поврежден, и для восстановления его работоспособности предлагал загрузить некие программы. Кроме того, Android.Spy.277.origin помещал рекламные сообщения в панель уведомлений и создавал на главном экране ярлыки, ведущие на страницы приложений в каталоге Google Play.

Уже в апреле специалисты «Доктор Веб» обнаружили похожего троянца, который был встроен в более чем 190 программ и получил имя . После заражения мобильного устройства троянец проверял, установлено ли на нем одно из заданных вирусописателями приложений. Если оно не обнаруживалось, открывал в веб-браузере страницу мошеннического сайта с заранее приготовленным сообщением о якобы имеющейся проблеме. В нем владельца смартфона или планшета пугали старой и небезопасной версией используемого браузера или неисправностью аккумулятора. А для решения «проблемы» опять же предлагалось установить некое приложение.

Android.PWS.Vk.3 — еще один троянец, который в 2016 году распространялся через каталог Google Play. О нем компания «Доктор Веб» сообщала в июне. Android.PWS.Vk.3 представлял собой аудиоплеер и позволял воспроизводить хранящуюся на серверах «ВКонтакте» музыку. Для этого троянец запрашивал логин и пароль от учетной записи пользователя социальной сети. Однако помимо заявленной функции он незаметно для жертвы передавал полученные данные злоумышленникам.

Также в июне в каталоге Google Play был найден троянец Android.Valeriy.1.origin, встроенный в безобидные программы. Android.Valeriy.1.origin показывал всплывающие окна, в которых предлагалось ввести номер мобильного телефона для загрузки того или иного приложения. После того как владелец зараженного мобильного устройства указывал свой телефон, ему приходило СМС-уведомление о подписке на платный сервис, однако троянец перехватывал и скрывал такие сообщения. Кроме того, Android.Valeriy.1.origin мог незаметно нажимать на рекламные баннеры и переходить по ссылкам, а также скачивал другие программы, в том числе вредоносные.

Другой троянец из каталога Google Play, обнаруженный уже в июле, получил имя Android.Spy.305.origin. Злоумышленники встроили его в более чем 150 приложений. Основное предназначение этой вредоносной программы — показ рекламы. Однако помимо этого Android.Spy.305.origin передавал на управляющий сервер конфиденциальную информацию.

В сентябре в каталоге Google Play был найден троянец Android.SockBot.1. Эта вредоносная программа превращала зараженное устройство в прокси-сервер и позволяла злоумышленникам анонимно соединяться с удаленными компьютерами и другими устройствами, подключенными к сети, не раскрывая своего истинного местоположения. Кроме того, с его помощью вирусописатели могли перехватывать и перенаправлять сетевой трафик, похищать конфиденциальную информацию и организовывать DDoS-атаки на интернет-серверы.

Еще один троянец, распространявшийся через каталог Google Play в 2016 году, получил имя Android.MulDrop.924. О нем компания «Доктор Веб» сообщала в ноябре. Эта вредоносная программа была встроена в приложение, которое позволяло владельцам мобильных устройств одновременно использовать в установленных программах несколько учетных записей.

Часть функционала троянца располагалась во вспомогательных модулях, которые были зашифрованы и спрятаны внутри PNG-изображения, размещенного в каталоге ресурсов Android.MulDrop.924. Один из этих модулей содержал несколько рекламных плагинов, а также троянца-загрузчика Android.DownLoader.451.origin, который без разрешения пользователя скачивал игры и приложения и предлагал установить их. Кроме того, Android.DownLoader.451.origin показывал навязчивую рекламу в панели уведомлений мобильного устройства.

Несмотря на предпринимаемые компанией Google меры безопасности, каталог Google Play по-прежнему может содержать вредоносные приложения. Вирусописатели постоянно находят способы обхода защитных механизмов, поэтому в следующем году в этом каталоге могут снова появиться троянцы.

Банковские троянцы

Все больше владельцев мобильных Android-устройств используют смартфоны и планшеты для доступа к услугам дистанционного банковского обслуживания. Поэтому киберпреступники продолжают совершенствовать мобильных банковских троянцев и наращивают число атак на клиентов кредитных организаций, пытаясь украсть деньги у пользователей из десятков стран. В 2016 году антивирусные продукты Dr.Web для Android обнаружили более 2 100 000 случаев проникновения таких вредоносных программ на Android-устройства, что на 138% больше, чем годом ранее.

Важным событием уходящего года стало распространение Android-банкеров при помощи рекламной платформы Google AdSence. Когда пользователи смартфонов или планшетов через браузер Chrome заходили на веб-сайты с рекламой, которую разместили злоумышленники, apk-файлы троянцев автоматически скачивались на устройства. С использованием этой уязвимости киберпреступники в течение нескольких месяцев активно распространяли таких банковских троянцев как Android.Banker.70.origin и Android.BankBot.75.origin. Позднее компания Google выпустила обновление Chrome, в котором ошибка была устранена.

Среди распространявшихся в 2016 году банковских троянцев отметился Android.SmsSpy.88.origin — о нем компания «Доктор Веб» сообщала в мае. Эта вредоносная программа известна с 2014 года, но вирусописатели до сих пор активно ее развивают. Android.SmsSpy.88.origin крадет логины и пароли от учетных записей мобильного банкинга, показывая поддельное окно аутентификации поверх запускаемых приложений «банк-клиент». Злоумышленники могут создать такое окно для любой программы, так что этот троянец способен атаковать клиентов кредитных организаций по всему миру. Android.SmsSpy.88.origin также похищает информацию о банковских картах, перехватывает входящие СМС, незаметно рассылает сообщения и даже может работать как троянец-вымогатель, блокируя экран мобильного устройства и требуя выкуп за разблокировку.

В результате проведенного исследования вирусные аналитики «Доктор Веб» установили, что с начала 2016 года с использованием Android.SmsSpy.88.origin вирусописатели атаковали пользователей из более 200 стран, а общее число зараженных устройств приблизилось к 40 000.

В октябре появилась новая версия Android.SmsSpy.88.origin, которая получила имя Android.BankBot.136.origin. Здесь киберпреступники добавили поддержку современных версий ОС Android, в которых были улучшены защитные механизмы против вредоносных программ. В результате троянец научился показывать фишинговые окна и перехватывать СМС-сообщения на еще большем числе моделей мобильных устройств.

Также в 2016 году вирусные аналитики «Доктор Веб» обнаружили банкера Android.BankBot.104.origin. Он распространялся под видом приложений для взлома игр и программ для читерства. Попадая на мобильное устройство, Android.BankBot.104.origin определял, подключена ли услуга дистанционного банковского обслуживания, и проверял наличие средств на всех доступных счетах. Если троянец обнаруживал деньги, он пытался незаметно перевести их злоумышленникам.

Кража денег с банковских счетов, а также похищение финансовых и других конфиденциальных данных владельцев Android-устройств приносит большую прибыль киберпреступникам. Можно с уверенностью сказать, что и в следующем году вирусописатели продолжат атаковать клиентов кредитных организаций.

Троянцы-вымогатели

Android-троянцы, блокирующие мобильные устройства и требующие выкуп за их разблокировку, представляют серьезную опасность. В 2016 году злоумышленники вновь распространяли такие вредоносные приложения среди владельцев Android-смартфонов и планшетов. За последние 12 месяцев антивирусные продукты Dr.Web для Android зафиксировали более 540 000 случаев проникновения троянцев-вымогателей на Android-устройства. Это на 58% ниже, чем в 2015 году. Наиболее интенсивные атаки с использованием таких троянцев пришлись на первые месяцы уходящего года, после чего темп распространения этих вредоносных программ замедлился. Динамику выявлений Android-вымогателей на мобильных устройствах можно проследить на следующем графике:

Примеры сообщений, которые показывают такие вредоносные программы, представлены на следующих изображениях:

Несмотря на некоторое снижение активности Android-блокировщиков в 2016 году, эти вредоносные программы по-прежнему являются серьезной угрозой для владельцев смартфонов и планшетов. Можно не сомневаться, что в будущем году киберпреступники сохранят Android-вымогателей в своем арсенале и продолжат с их помощью атаковать пользователей.

Для iOS

Киберпреступники, которые атакуют пользователей мобильных устройств, основное внимание уделяют смартфонам и планшетам под управлением ОС Android. Однако это не означает, что злоумышленников не интересуют другие платформы – например, iOS от компании Apple. Вредоносные и нежелательные программы для этой мобильной системы распространены еще не так широко, но их число год от года неуклонно растет. В 2016 году также появилось несколько новых угроз для iOS.

В феврале в официальном каталоге App Store была обнаружена потенциально опасная программа Program.IPhoneOS.Unwanted.ZergHelper.1, которая представляла собой каталог приложений для китайских пользователей. Ее опасность заключалась в том, что через нее распространялись любые программы, в том числе взломанные или не прошедшие проверку в компании Apple. Таким образом, пользователи рисковали скачать с помощью Program.IPhoneOS.Unwanted.ZergHelper.1 троянцев и другое опасное ПО. Кроме того, этот каталог мог устанавливать собственные обновления, минуя App Store, а также запрашивал идентификатор Apple ID и пароль, которые передавались на удаленный сервер.

Уже в марте в вирусную базу Dr.Web был добавлен троянец IPhoneOS.AceDeciever.6. Он входил в комплект созданного злоумышленниками приложения с именем 爱思助手, предназначенного для работы на Windows-компьютерах. Авторы этой программы позиционировали ее в качестве аналога утилиты iTunes, созданной для управления мобильными устройствами. Это приложение было добавлено в вирусную базу Dr.Web как Trojan.AceDeciever.2.

После того как при помощи USB-кабеля iOS-смартфон или планшет подключался к компьютеру с установленным на нем Trojan.AceDeciever.2, IPhoneOS.AceDeciever.6 автоматически устанавливался на устройство благодаря использованию уязвимости в DRM-протоколе FairPlay, созданном компанией Apple для защиты цифрового медиаконтента. Попав на мобильное устройство, IPhoneOS.AceDeciever.6 запрашивал у пользователя идентификатор Apple ID и пароль, после чего передавал их на сервер злоумышленников.

Смартфоны и планшеты под управлением iOS считаются более защищенными по сравнению с Android-устройствами. Однако киберпреступники все чаще проявляют интерес и к ним. Можно ожидать, что в будущем году появятся новые вредоносные программы, которые будут использоваться при атаках на пользователей мобильной операционной системы компании Apple.

Перспективы и тенденции

Большая часть современных мобильных устройств работает под управлением ОС Android, поэтому основная масса атак приходится именно на их владельцев. Одну из главных опасностей для пользователей Android-смартфонов и планшетов представляют банковские троянцы. Все больше таких вредоносных приложений отслеживают запуск программ «банк-клиент» и показывают поверх их окон поддельные формы ввода конфиденциальных данных. Безусловно, вирусописатели и дальше будут использовать этот механизм социальной инженерии. Кроме того, можно не сомневаться, что киберпреступники продолжат совершенствовать функционал Android-банкеров.

Актуальной для владельцев Android-смартфонов остается угроза со стороны троянцев, которые пытаются получить root-полномочия и незаметно загружают и устанавливают программы. Скорее всего, в 2017 году число таких вредоносных приложений увеличится. Кроме того, возможно появление троянцев, которые при атаках на мобильные устройства будут использовать новые механизмы заражения.

На протяжении нескольких лет киберпреступники не раз предустанавливали на Android-смартфоны и планшеты различных троянцев и нежелательные программы. С большой долей вероятности эта тенденция продолжится, поэтому в следующем году стоит ожидать новых случаев заражения прошивок мобильных устройств.

Несмотря на все усилия компании Google в обеспечении безопасности своего официального каталога приложений, вирусописатели по-прежнему размещают в нем различных троянцев, о чем красноречиво говорят наблюдавшиеся в 2016 году многочисленные случаи обнаружения вредоносных программ в Google Play. Скорее всего, в 2017 году владельцы Android-смартфонов и планшетов вновь столкнутся с появлением троянцев в официальном каталоге программ для ОС Android.

Серьезную опасность для пользователей по-прежнему представляют и Android-вымогатели. В следующем году также стоит ожидать новых атак с их участием. Кроме того, не исключено появление новых вредоносных программ, которые предназначены для работы на устройствах под управлением iOS. Смартфоны и планшеты, работающие на этой операционной системе, все еще остаются достаточно защищенными. Однако 2016 год показал, что интерес злоумышленников к этой платформе по-прежнему сохраняется. Вирусописатели всегда пытаются извлечь выгоду там, где это возможно, поэтому и в 2017 году iOS-устройства будут оставаться потенциальными целями атак киберпреступников.

Trojan.Rbrute

Распространяется через P2P-сеть Win32.Sector, представляет собой троянца для подбора паролей к Wi-Fi-роутерам.

Список роутеров, с которыми умеет работать троянец:

DSL router D-Link: DSL-2520U, DSL-2600U TP-LINK: TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G

Если в теге встречается одно из имен роутера, то бот сообщает на управляющий сервер об успешном обнаружении IP-адреса, троянец получает команду, после этого начинает перебор паролей. В качестве логина использует значения (по умолчанию):

admin, support, password

Если пароль сменили на сложный, взлом происходит через файл: /rom-0

После успешной авторизации, бот отправляет запросы на смену DNS в настройках модема. Первый адрес берет из собственного запроса ns1=.dns, в качестве второго подставляет адрес Google: ns2=8.8.8.8. И отправляет отчет на сервер об успешном подборе пароля.

Принцип работы:

Троянец используется для дальнейшего распространения Win32.Sector

  1. На компьютер, уже инфицированный троянцем Win32.Sector, с использованием этой вредоносной программы загружается Trojan.Rbrute;
  2. Trojan.Rbrute получает с управляющего сервера задания на поиск Wi-Fi-маршрутизаторов (DSL) и данные для подбора паролей к ним.
  3. В случае успеха Trojan.Rbrute подменяет в настройках роутера адреса DNS-серверов.
  4. При попытке подключения к Интернету пользователь незараженного компьютера, использующий подключение через скомпрометированный маршрутизатор, перенаправляется на специально созданную злоумышленниками веб-страницу.
  5. С этой страницы на компьютер жертвы загружается троянец Win32.Sector и инфицирует его.
  6. Впоследствии Win32.Sector может загрузить на вновь инфицированный ПК копию троянца Trojan.Rbrute. Цикл повторяется.
  7. После выполнения всех необходимых сценарий выполняется команда: сброс настроек роутера

Основные виды вирусных программ

Для начала стоит разобраться, что такое компьютерные вирусы и откуда они взялись.

В 1961 году инженеры Виктор Высоцкий, Дуг Макилрой и Роберт Моррис из фирмы Bell Telephone Laboratories разработали маленькие программы, способные делать копии самих себя. Это были первые вирусы. Они были созданы в виде игры, которую инженеры назвали «Дарвин», целью которой было отправлять эти программы друзьям, чтобы посмотреть, какая из них уничтожит больше программ оппонента и сделает больше собственных копий. Игрок, которому удавалось заполнить компьютеры других, объявлялся победителем.

Вирусами их назвали по аналогии с биологическими вирусами, вызывающими болезни. Чтобы развиваться, обычному вирусу необходим живой организм, в котором он будет создавать свои копии, так и компьютерному вирусу для размножения необходимо заражать, как можно больше компьютеров.

Увы, но сегодня вирусы создаются уже не группкой энтузиастов и совсем не для игрушек. Почти все современные вирусы создаются злоумышленниками, имеющими цель заполучить конфиденциальные данные пользователя или использовать его компьютер в личных целях.

Рассмотрим основные типы вирусов:

Черви — Worm

Червь – программа, которая делает копии самой себя. Ее вред заключается в захламлении компьютера, из-за чего он начинает работать медленнее. Отличительной особенностью червя является то, что он не может стать частью другой безвредной программы.

Вирусы-маскировщики — Rootkit

Эти вирусы используются для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избежать их обнаружения антивирусными программами. Rootkit’ы также могут модифицировать операционную систему на компьютере и заменять основные ее функции, чтобы скрыть свое собственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере.

Вирусы – шпионы — Spyware

Шпионы собирают информацию о действиях и поведении пользователя. В основном их интересует информация — адреса, пароли, данные кредитных карт).

Зомби — Zombie

Зомби позволяют злоумышленнику управлять компьютером пользователя. Компьютеры – зомби могут быть объединены в сеть —бот-нет) и использоваться для массовой атаки на сайты или рассылки спама. Пользователь может даже не догадываться, что его компьютер зомбирован и используется злоумышленником.

Рекламные вирусы — Adware

Программы-рекламы, без ведома пользователей встраиваются в различное программное обеспечение с целью демонстрации рекламных объявлений. Как правило, программы-рекламы встроены в программное обеспечение, распространяющееся бесплатно. Реклама располагается в рабочем интерфейсе. Зачастую данные программы также собирают и переправляют своему разработчику персональную информацию о пользователе.

Вирусы – блокировщики — Winlock

Такие программы блокирует пользователю доступ к операционной системе. При загрузке компьютера появляется окно, в котором пользователя обвиняют в скачивании нелицензионного контента или нарушении авторских прав. И под угрозой полного удаления всех данных с компьютера требуют отослать смс на номер телефона или пополнить его счет. Естественно, после перевода денег на счет злоумышленника, баннер никуда не пропадает.

Троянские вирусы — Trojan

Троянская программа является самым опасным типом вирусов, так как она маскируется в других безвредных программах. И до того момента как пользователь не запустит эту самую безвредную программу, троян не несет никакой опасности и обнаружить его нелегко. Троянская программа может нанести различный ущерб для компьютера. В основном трояны используются для кражи, изменения или удаления личных данных пользователя. Отличительной особенностью вируса-трояна является то, что он не может самостоятельно размножаться.

Современные антивирусные программы обладают необходимым функционалом для обнаружения и обезвреживания различных вирусных программ и обеспечивают надежную защиту компьютеру пользователя.

Если Вы до сих пор не определились с тем, какой антивирус выбрать – платный или бесплатный, рекомендуем Вам прочесть нашу статью на эту тему.

Комп-Экспресс — мир информационных технологий

Вирусная активность

  • E-mail

Категория: Материалы Дата публикации kokamaster Просмотров: 6198

Пока существуют компьютеры, ноутбуки, смартфоны и прочие гаджеты, будет и существовать вирусная активность. Цели создателей вирусов бывают различные, начиная от простого получения удовольствия заканчивая захвата секретной информации. Но наиболее распространённое это желание получить материальную выгоду.

Какие вирусы бывают?

Вообще, сейчас более верно употреблять термин «Вредоносное ПО». Его условно можно разделить по функциям следующим образом:

  • Вирусы (virus). Нацелены в первую очередь на выведение операционной системы (ОС) и прикладных программ из строя. Путем стирания, уничтожения, а также «дописывания» своего кода к коду важных для работы файлов (такой файл именуется зараженным). В «чистом» виде сейчас почти не встречаются.
  • Троянские программы (Trojan). Нацелены на выполнение задач, определенных вирусописателем. При этом использует ресурсы пораженной машины. Такими задачами могут быть воровство данных пользователя (логины-пароли разных ресурсов, электронных кошельков и т.п.) или сетевые атаки определенных узлов (DDos-атаки).
  • Рекламные программы и программы-вымогатели. По способу заражения отличаются тем, что пользователь сам их устанавливает и запускает на выполнение «изнутри» системы. Цель – либо заставить пользователя посетить определенный сайт (сайты) в сети, либо заплатить за удаление программы.
  • Данная классификация весьма условна, т.к. типов и видов намного больше (разные руткиты, буткиты, сетевые черви и т.п.), но для темы данной статьи вполне достаточна.

    Если произошло заражение Вашего компьютера или он стал работать «странно», медленно или возникают ошибки, срочно выключите компьютер и обратитесь к нашим специалистам. При обращение к специалистам, постарайтесь как можно подробно описать что вы делали до этого и какие симптомы у «больного». Компания Комп-Экспресс является партнером «Лаборатории Касперского», и наши специалисты приложат максимум усилий для устранения проблем.

    Компьютерные вирусы, их классификация. Антивирусные программные средства

    КОМПЬЮТЕРНЫЕ ВИРУСЫ, ИХ КЛАССИФИКАЦИЯ. АНТИВИРУСНЫЕ ПРОГРАММНЫЕ СРЕДСТВА

    Компьютерный вирус — это специальная программа, Способная самопроизвольно присоединяться к другим программам и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов; искажение результатов вычислений; засорение или стирание памяти; создание помех в работе компьютера. Наличие вирусов проявляется в разных ситуациях.

    1. Некоторые программы перестают работать или начинают работать некорректно.
    2. На экран выводятся посторонние сообщения, сигналы и другие эффекты.
    3. Работа компьютера существенно замедляется.
    4. Структура некоторых файлов оказывается испорченной.

    Имеются несколько признаков классификации существующих вирусов:

    • по среде обитания;
    • по области поражения;
    • по особенности алгоритма;
    • по способу заражения;
    • по деструктивным возможностям.

    По среде обитания различают файловые, загрузочные, макро- и сетевые вирусы.

    Файловые вирусы — наиболее распространенный тип вирусов. Эти вирусы внедряются в выполняемые файлы, создают файлы-спутники (companion-вирусы) или используют особенности организации файловой системы (link-вирусы).

    Загрузочные вирусы записывают себя в загрузочный сектор диска или в сектор системного загрузчика жесткого диска. Начинают работу при загрузке компьютера и обычно становятся резидентными.

    Макровирусы заражают файлы широко используемых пакетов обработки данных. Эти вирусы представляют собой программы, написанные на встроенных в эти пакеты языках программирования. Наибольшее распространение получили макровирусы для приложений Microsoft Office.

    Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. Полноценные компьютерные вирусы при этом обладают возможностью запустить на удаленном компьютере свой код на выполнение.

    На практике существуют разнообразные сочетания вирусов — например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные секторы дисков, или сетевые макровирусы, которые заражают редактируемые документы и рассылают свои копии по электронной почте.

    Как правило, каждый вирус заражает файлы одной или нескольких ОС. Многие загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков. По особенностям алгоритма выделяют резидентные ; вирусы, стелс-вирусы, полиморфные и др. Резидентные вирусы способны оставлять свои копии в ОП, перехватывать обработку событий (например, обращение к файлам или дискам) и вызывать при этом процедуры заражения объектов (файлов или секторов). Эти вирусы активны в памяти не только в момент работы зараженной программы, но и после. Резидентные копии таких вирусов жизнеспособны до перезагрузки ОС, даже если на диске уничтожены все зараженные файлы. Если резидентный вирус является также загрузочным и активизируется при загрузке ОС, то даже форматирование диска при наличии в памяти этого вируса его не удаляет.

    К разновидности резидентных вирусов следует отнести также макровирусы, поскольку они постоянно присутствуют в памяти компьютера во время работы зараженного редактора.

    Стелс-алгоритмы позволяют вирусам полностью или частично скрыть свое присутствие. Наиболее распространенным стелс-алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат эти объекты, либо подставляют вместо себя незараженные участки информации. Частично к стелс-вирусам относят небольшую группу макровирусов, хранящих свой основной код не в макросах, а в других областях документа — в его переменных или в Auto-text.

    Полиморфность (самошифрование) используется для усложнения процедуры обнаружения вируса. Полиморфные вирусы — это трудно выявляемые вирусы, не имеющие постоянного участка кода. В общем случае два образца одного и того же вируса не имеют совпадений. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

    При создании вирусов часто используются нестандартные приемы. Их применение должно максимально затруднить обнаружение и удаление вируса.

    По способу заражения различают троянские программы, утилиты скрытого администрирования, Intended-вирусы и т. д.

    Троянские программы получили свое название по аналогии с троянским конем. Назначение этих программ — имитация каких-либо полезных программ, новых версий популярных утилит или дополнений к ним. При их записи пользователем на свой компьютер троянские программы активизируются и выполняют нежелательные действия.

    Разновидностью троянских программ являются утилиты скрытого администрирования. По своей функциональности и интерфейсу они во многом напоминают системы администрирования компьютеров в сети, разрабатываемые и распространяемые различными фирмами — производителями программных продуктов. При инсталляции эти утилиты самостоятельно устанавливают на компьютере систему скрытого удаленного управления. В результате возникает возможность скрытого управления этим компьютером. Реализуя заложенные алгоритмы, утилиты без ведома пользователя принимают, запускают или отсылают файлы, уничтожают информацию, Эрезагружают компьютер и т. д. Возможно использование этих утилит для обнаружения и передачи паролей и ной конфиденциальной информации, запуска вирусов, ничтожения данных.

    К Intended-вирусам относятся программы, которые не способны размножаться из-за существующих в них ошибок. К этому классу также можно отнести вирусы, которые размножаются только один раз. Заразив какой-либо файл, они теряют способность к дальнейшему размножению через него.

    По деструктивным возможностям вирусы разделяются на:

    1. неопасные, влияние которых ограничивается уменьшением свободной памяти на диске, замедлением работы компьютера, графическим и звуковыми эффектами;
    2. опасные, которые потенциально могут привести к нарушениям в структуре файлов и сбоям в работе компьютера;
    3. очень опасные, в алгоритм которых специально заложены процедуры уничтожения данных и возможность обеспечивать быстрый износ движущихся частей механизмов путем ввода в резонанс и разрушения головок чтения/записи некоторых НЖМД.

    Для борьбы с вирусами существуют программы, которые можно разбить на основные группы: мониторы, детекторы, доктора, ревизоры и вакцины.

    Программы-мониторы (программы-фильтры) располагаются резидентно в ОП компьютера, перехватывают и сообщают пользователю об обращениях ОС, которые используются вирусами для размножения и нанесения ущерба. Пользователь имеет возможность разрешить или запретить выполнение этих обращений. К преимуществу таких программ относится возможность обнаружения неизвестных вирусов. Использование программ-фильтров позволяет обнаруживать вирусы на ранней стадии заражения компьютера. Недостатками программ являются невозможность отслеживания вирусов, обращающихся непосредственно к BIOS, а также загрузочных вирусов, активизирующихся до запуска антивируса при загрузке DOS, и частая выдача запросов на выполнение операций.

    Программы-детекторы проверяют, имеется ли в файлах и на дисках специфическая для данного вируса комбинация байтов. При ее обнаружении выводится соответствующее сообщение. Недостаток — возможность защиты только от известных вирусов.

    Программы-доктора восстанавливают зараженные программы путем удаления из них тела вируса. Обычно эти программы рассчитаны на конкретные типы вирусов и основаны на сравнении последовательности кодов, содержащихся в теле вируса, с кодами проверяемых программ. Программы-доктора необходимо периодически обновлять с целью получения новых версий, обнаруживающих новые виды вирусов.

    Программы-ревизоры анализируют изменения состояния файлов и системных областей диска. Проверяют состояние загрузочного сектора и таблицы FAT; длину, атрибуты и время создания файлов; контрольную сумму кодов. Пользователю сообщается о выявлении несоответствий.

    Программы-вакцины модифицируют программы и риски так, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает программы или диски уже зараженными. Существующие антивирусные программы в основном относятся к классу гибридных (детекторы-доктора, доктора-ревизоры и пр.).

    В России наибольшее распространение получили антивирусные программы Лаборатории Касперского (Anti-IViral Toolkit Pro) и ДиалогНаука (Adinf,Dr.Web). Антивирусный пакет AntiViral Toolkit Pro (AVP) включает AVP Сканер, резидентный сторож AVP Монитор, программу администрирования установленных компонентов. Центр управления и ряд других. AVP Сканер помимо традиционной проверки выполняемых файлов и файлов документов обрабатывает базы данных электронной почты. Использование сканера позволяет выявить вирусы в упакованных и архивированных файлах (не защищенных паролями). Обнаруживает к удаляет макровирусы, полиморфные, стеле, троянские, а также ранее неизвестные вирусы. Это достигается, например, за счет использования эвристических анализаторов. Такие анализаторы моделируют работу процессора и выполняют анализ действий диагностируемого файла. В зависимости от этих действий и принимается решение о наличии вируса.

    Монитор контролирует типовые пути проникновения вируса, например операции обращения к файлам и секторам.

    AVP Центр управления — сервисная оболочка, предназначенная для установки времени запуска сканера, автоматического обновления компонент пакета и др.

    При заражении или при подозрении на заражение компьютера вирусом необходимо:

    1. оценить ситуацию и не предпринимать действий, приводящих к .потере информации;
    2. перезагрузить ОС компьютера. При этом использовать специальную, заранее созданную и защищенную от записи системную дискету. В результате будет предотвращена активизация загрузочных и резидентных вирусов с жесткого диска компьютера;
    3. запустить имеющиеся антивирусные программы, пока не будут обнаружены и удалены все вирусы. В случае невозможности удалить вирус и при наличии в файле ценной информации произвести архивирование файла и подождать выхода новой версии антивируса. После окончания перезагрузить компьютер.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *