Kako biste otkrili znakove špijunske aktivnosti zlonamjernog softvera, poslušajte svoje osobne osjećaje. Ako osjećate da vaše računalo radi puno sporije ili da vaša internetska veza više nije brza koliko bi trebala biti, ovo su prvi simptomi koji zahtijevaju daljnje istraživanje.
Usput, ne prepoznaje svaki antivirus pouzdano opasnost. Pregled najboljih sustava možete pronaći u donjoj tablici. Za njih ćete morati platiti od 800 do 1800 rubalja, ali će vas relativno dobro zaštititi od napada. Istodobno, ne biste se trebali bojati pada performansi zbog upotrebe antivirusa. Moderne verzije praktički nemaju utjecaja na brzinu računala.
Cyberkriminalci šire 100 novih virusa na sat. Stolno računalo glavna je meta špijunskog softvera. Štetočine se mogu otkriti samo uz pravilan izbor pomoćnih sredstava. Samo će nekoliko programa pouzdano zaštititi vaše računalo od špijunskog softvera. Ispod su vodeći na tržištu.
| cijena, utrljati. (U REDU.) | Cjelokupna ocjena | Priznanje | lažno anksioznost |
Izvođenje | ||
| 1 | Kaspersky Internet Security za sve uređaje | 1800 | 99,9 | 99,7 | 100 | 100 |
| 2 | BitDefender Internet sigurnost | 1600 | 97,5 | 100 | 96,3 | 93,6 |
| 3 | Sigurnosni standard Symantec Norton | 1300 | 96,9 | 98,1 | 96,7 | 94,7 |
| 4 | Trend Micro Internet Security | 800 | 94,3 | 90,8 | 98 | 97,5 |
| 5 | F-Secure SIGURNO | 1800 | 83,6 | 84,5 | 82,5 | 83 |
Koristite više skenera paralelno
Špijunski softver ukopava se ili u sustav pod krinkom usluge ili u pojedinačne programe. Neki posebno duboko ukorijenjeni virusi mogu se sakriti čak i od modernih sigurnosnih alata. Posljednjih su godina stručnjaci za informacijsku sigurnost neprestano otkrivali ranjivosti u antivirusnim sustavima: tek je nedavno stručnjak Tavis Ormandy radeći u odjelu Projekt Zero Google Corporation, otkrio je duboke rupe u Symantec proizvodima.
Konkretno, iskoristio je činjenicu da Symantec ima pravo raspakirati kod unutar Windows kernela. Korištenjem tehnike prekoračenja međuspremnika, inženjer je uspio izvršiti zlonamjerni kod s pravima jezgre i time zaobići antivirusnu zaštitu - da spomenemo samo jedan primjer.
Stoga je vrlo važno provjeriti s nekoliko uslužnih programa. Za dodatnu sigurnost koristite program Farbar alat za skeniranje oporavka, koji sprema zapisnike pokrenutih usluga.
Pokrenite uslužni program i kliknite "Skeniraj". Nakon dovršetka procesa, pronaći ćete zapisnik pod nazivom "frst.txt" u mapi programa. Otvorite ovu datoteku i idite na odjeljak "Usluge". Ovdje potražite nazive koji ukazuju na špijunski softver, poput "SpyHunter". Ako niste sigurni u neki od njih, provjerite u Google pretraživanju.
Ako otkrijete nepozvane goste, pokrenite program SpyBot Search & Destroy i skenirajte sustav. Nakon toga ponovno trčite Alat Farbar. Ako zbog toga više ne vidite sumnjivu uslugu, virus je uklonjen. Ako SpyBot ništa ne otkrije, upotrijebite skener iz Malwarebytes ili ESET Online Scanner.
Upute za zaštitu
Skenirajte svoje računalo koristeći Farbar (1). Ovaj će uslužni program prikazati sve aktivne usluge u zapisniku. Ako nije pronađeno ništa sumnjivo, prođite sustav pomoću ESET Online Scannera (2). Najpodmuklije viruse moguće je ukloniti samo pomoću rješenja Rescue Disk tvrtke Kaspersky Lab (3).
Posebni programi pomoći u hitnim situacijama
Čak i kada provodite razne provjere, vrijedi uzeti u obzir da postoje posebno podmukli virusi, na primjer, rootkitovi, koji se skrivaju toliko duboko u sustavu da ih skeniranje Farbarom i drugim programima ne može otkriti.
Stoga, na kraju, sustav uvijek provjerite alatom Kaspersky Rescue Disk. Riječ je o Linux sustavu koji radi odvojeno od Windowsa i skenira računala na temelju modernih virusnih potpisa. Zahvaljujući njemu, razotkrit ćete i najzamršeniji malware i očistiti svoje računalo od spywarea.
Da biste ubuduće blokirali programe za njuškanje, morate koristiti najnoviju verziju antivirusnog programa i instalirati sva ključna ažuriranja sustava. Kako biste osigurali da su ponude trećih strana koje se ne ažuriraju automatski uvijek ažurne, pogledajte opsežan antivirusni paket Kaspersky Internet Security(licenca za dva uređaja košta 1800 rubalja). Također će pružiti zaštitu od špijuna.
Fotografija: proizvodne tvrtke
Ponekad je važno znati što se događa s računalom u vašoj odsutnosti. Tko radi što na njemu, koje stranice i programe uključuje. Sve to mogu prijaviti posebni špijunski programi.
Špijunirati nekoga u najmanju ruku nije dobro. Ili čak kazneno kažnjivo (povreda prava na povjerljivost i sve to)... Ipak, ponekad neće škoditi znati npr. što vaše dijete radi za računalom u vašoj odsutnosti ili što zaposlenici vaše organizacije rade kad nema šefova. Ili vas možda gledaju?!!
Računala i mobilni uređaji odavno su izloženi opasnosti od svih vrsta virusa. Međutim, postoji klasa softvera koji, a da nije zlonamjeran, može obavljati iste funkcije kao, na primjer, Trojanci - voditi dnevnik pokretanja aplikacija na sustavu, bilježiti sve pritiske tipki na tipkovnici, povremeno snimati snimke zaslona i zatim slati sve prikupljene informacije onome tko je instalirao i konfigurirao nadzor korisnika.
Kao što razumijete, danas ćemo posebno govoriti o špijunskom softveru, njihovom radu i metodama otkrivanja.
Razlike od virusa
U području antivirusnih rješenja, klasa spywarea poznata je kao "spyware" (od engleskog "spy" - "špijun" i skraćeno "software" - "softver"). U principu, neke od aplikacija o kojima će biti riječi u nastavku antivirusi smatraju zlonamjernim, ali zapravo nisu.
Koja je razlika između pravog špijunskog softvera i programa za praćenje računala? Glavna razlika ovdje je u opsegu i načinu rada. Spyware virusi se instaliraju na sustav bez znanja korisnika i mogu poslužiti kao izvor dodatnih prijetnji (krađa podataka i oštećenje, na primjer).
Spyware programe za nadzor računala instalira sam korisnik kako bi saznao što drugi korisnik radi na računalu. Pritom i sam korisnik može biti svjestan da ga se prati (primjerice, to se radi u nekim ustanovama radi evidentiranja radnog vremena zaposlenika).
Međutim, u smislu principa rada, spyware se u biti ne razlikuje od bilo kojeg trojanaca, keyloggera ili backdoora... Dakle, možemo ih smatrati nekom vrstom “virusa prebjega” koji su prešli na “svijetlu stranu” i koriste se ne tako mnogo za krađu informacija s računala radi kontrole njegovog rada.
Usput, na Zapadu je praksa uvođenja softvera za praćenje na računala korisnika korporativnih mreža i na kućna računala prilično uobičajena. Postoji čak i poseban naziv za ovu vrstu programa - "softver za praćenje", koji omogućuje, barem nominalno, njihovo odvajanje od zlonamjernog špijunskog softvera.
Keyloggeri
Najčešća i, u određenoj mjeri, opasna vrsta špijunskog softvera su keyloggeri (od engleskog "key" - "gumb" i "logger" - "snimač"). Štoviše, ti programi mogu biti neovisni virusi koji se uvode u sustav ili posebno instalirani uslužni programi za praćenje. Između njih suštinski nema razlike.
Keyloggeri su dizajnirani za snimanje pritisaka svih tipki na tipkovnici (ponekad i miša) i spremanje podataka u datoteku. Ovisno o principu rada svakog pojedinog keyloggera, datoteka se može jednostavno pohraniti na lokalni tvrdi disk ili povremeno slati osobi koja provodi nadzor.
Tako, ništa ne sumnjajući, sve svoje lozinke možemo “dati” trećim osobama koje ih mogu koristiti u bilo koje svrhe. Na primjer, napadač bi mogao hakirati naš račun, promijeniti pristupne lozinke i/ili ih preprodati nekome...
Srećom, većina antivirusnih programa brzo otkrije većinu keyloggera jer sumnjivo presreću podatke. Međutim, ako je keylogger instalirao administrator, najvjerojatnije će biti uključen u iznimke i neće biti otkriven...
Upečatljiv primjer besplatnog keyloggera je SC-KeyLog:
Ovaj keylogger, nažalost, otkriva antivirusni program u fazi preuzimanja. Dakle, ako ga odlučite instalirati, privremeno isključite zaštitu dok ne dodate potrebne datoteke na “bijelu listu”:
- izvršna datoteka programa (zadano: C:\Program Files\Soft-Central\SC-KeyLog\SC-KeyLog2.exe);
- izvršnu datoteku modula za praćenje, koju ćete kreirati u navedenoj mapi;
- biblioteku (DLL datoteku) za skrivenu obradu podataka, čiji naziv također postavljate u fazi postavki i koja je standardno pohranjena u mapi C:\Windows\System32\.
Nakon instalacije bit ćete preusmjereni na čarobnjak za postavljanje. Ovdje možete odrediti adresu e-pošte na koju treba poslati podatkovne datoteke, naziv i mjesto spremanja gore spomenutih izvršnih modula za presretanje pritiska tipke, kao i lozinku potrebnu za otvaranje zapisa.
Kada su sve postavke napravljene i keylogger datoteke uvrštene na popis pouzdanih antivirusnih programa, sve je spremno za rad. Evo primjera onoga što možete vidjeti u log datoteci:
Kao što vidite, SC-KeyLog prikazuje naslove svih prozora s kojima korisnik radi, pritiske tipki miša i, zapravo, tipkovnicu (uključujući servisne tipke). Vrijedno je napomenuti da program ne može odrediti izgled i prikazuje sve tekstove engleskim slovima, koje još treba pretvoriti u čitljiv oblik na ruskom jeziku (na primjer).
Međutim, funkcije keyloggera mogu biti skrivene čak iu popularnom nespecijaliziranom softveru. Upečatljiv primjer za to je program za promjenu izgleda teksta Punto Switcher:
Jedna od dodatnih funkcija ovog programa je “Dnevnik” koji se aktivira ručno i zapravo je pravi keylogger koji presreće i pamti sve podatke unesene s tipkovnice. U tom slučaju tekst se sprema u željenom rasporedu i jedino što nedostaje je presretanje događaja miša i pritiskanje posebnih tipki na tipkovnici.
Prednost Punto Switchera kao keyloggera je u tome što ga antivirusni softver ne otkriva i što je instaliran na mnogim računalima. Sukladno tome, ako je potrebno, možete aktivirati praćenje bez instaliranja softvera ili dodatnih trikova!
Kompleksni špijuni
Keylogger je dobar ako samo trebate znati što korisnik unosi s tipkovnice i koje programe pokreće. Međutim, ti podaci možda neće biti dovoljni. Stoga su stvoreni složeniji softverski sustavi za sveobuhvatnu špijunažu. Takvi špijunski kompleksi mogu uključivati:
- keylogger;
- međuspremnik presretač;
- špijun zaslona (snima snimke zaslona u određenim intervalima);
- pokretanje programa i zapisnik aktivnosti;
- sustav za snimanje zvuka i slike (ako postoji mikrofon ili web kamera).
Da biste mogli bolje zamisliti kako takvi programi rade, pogledajmo nekoliko besplatnih rješenja na ovom području. A prvi od njih bit će besplatni sustav nadzora na ruskom jeziku pod nazivom (pažnja, antivirusi i preglednici mogu blokirati pristup stranici!):
Značajke programa uključuju:
- presretanje pritisaka na tipkovnici;
- snimanje zaslona (prečesto prema zadanim postavkama);
- praćenje pokrenutih programa i vremena njihove aktivnosti;
- Praćenje aktivnosti računala i korisničkog računa.
Jao, ovaj kompleks za praćenje računala također otkrivaju antivirusi, pa da biste ga preuzeli i instalirali, prvo morate onemogućiti zaštitu. Tijekom instalacije morat ćemo postaviti kombinaciju tipki za pozivanje programskog sučelja, kao i lozinku za pristup prikupljenim podacima.Nakon završetka instalacije, cijelu mapu sa spywareom dodati na antivirusnu “bijelu listu” (do zadani C:\Documents and Settings\All Users\ Application Data\Softex) i možete ponovno aktivirati zaštitu.
Softex Expert Home radit će u pozadini i nigdje neće stvarati prečace ili aktivne ikone. Bit će moguće otkriti njegov rad samo pritiskom na kombinaciju prečaca koju ste naveli. U prozoru koji se pojavi unesite lozinku za pristup, prije svega idite na odjeljak "Postavke" na kartici "Snimke zaslona" i povećajte minimalni interval između snimaka, kao i interval tajmera (prema zadanim postavkama, 2 i 10 sekundi, odnosno).
Takav špijun sasvim je dovoljan za nadzor vašeg kućnog računala. Uz gore navedene značajke, Expert Home ima funkciju daljinskog pregleda statistike, koja vam omogućuje pregled zapisa putem Interneta. Da biste ga aktivirali, samo kliknite gumb za povezivanje s poslužiteljem u odjeljku "Internet nadzor", a zatim pričekajte izdavanje ID-a računala i pristupne lozinke koje ćete morati unijeti na web stranici programera:
Vrijedno je pojasniti da se u besplatnom načinu rada statistika pohranjuje na poslužitelju samo jedan dan. Ako želite pristupiti dužem razdoblju, morat ćete platiti od 250 (7 dana) do 1000 (30 dana) rubalja mjesečno.
Još jedan besplatni sveobuhvatni program za nadzor računala je:
Unatoč činjenici da naziv programa uključuje riječ "keylogger", on zapravo ima mnogo više mogućnosti. Među njima:
Antivirus ne detektira sam program, no s aktivnim heurističkim algoritmima detektira se njegova "sumnjiva" aktivnost. Stoga ga je najbolje instalirati i konfigurirati s isključenom zaštitom.
U fazi instalacije nije potrebna nikakva prethodna priprema (jedino što trebate je odabrati za koga se program instalira i treba li njegova ikona biti prikazana u traci). Međutim, nakon instalacije morate dodati programsku mapu (prema zadanim postavkama C:\WINDOWS\system32\Mpk) i njegovu izvršnu datoteku MPKView.exe u antivirusne izuzetke.
Kada ga pokrenete prvi put, otvorit će se prozor postavki. Ovdje možemo promijeniti jezik s engleskog na npr. ukrajinski (iz nekog razloga nema ruskog...), postaviti vlastite tipke za brzo pozivanje programa (standardno ALT+CTRL+SHIFT+K) i lozinku za ulazak u upravljačku ploču.
To je zapravo sve. Glavni nedostatak besplatne verzije programa su ograničenja u nekim aspektima praćenja (npr. nisu svi programi dostupni), kao i nemogućnost slanja zapisa poštom ili putem FTP-a. Inače je skoro sve dobro.
Špijunski softver ne postoji samo za stolna računala, već i za mobilne platforme. Ako želite znati što vaše dijete radi na tabletu ili pametnom telefonu, možete isprobati besplatni višeplatformski sustav za praćenje KidLogger.
Njuškala
Posljednje, i najpodmuklije, sredstvo špijunaže mogu biti takozvani njuškali (od engleskog "sniff" - "nanjušiti"). Ova klasa programa znanstveno se naziva "analizatori prometa" i koristi se za presretanje i analizu podataka koji se prenose preko Interneta.
Koristeći sniffer, napadač se može spojiti na korisnikovu trenutnu web sesiju i koristiti je za svoje potrebe u ime samog korisnika zamjenom paketa podataka. Ako nemate sreće, uz pomoć njuškala mogu "ukrasti" vaše podatke za prijavu i zaporke za ulazak na sva mjesta na kojima se ne koristi enkripcija prometa.
Oni koji koriste jednu ili drugu javnu mrežu (primjerice, Wi-Fi pristupnu točku) za pristup internetu najviše su izloženi riziku da postanu žrtve njuškala. Također, korisnici korporativnih mreža s pretjerano "poduzetničkim" administratorom mogu biti teoretski ugroženi.
Da biste otprilike mogli razumjeti što je njuškalo, predlažem da razmotrite predstavnika ove klase programa koje je razvio popularni tim NirSoft:
Ovaj sniffer namijenjen je uglavnom za presretanje podatkovnih paketa na lokalnom računalu i više služi za dobre namjere (poput mrežnog ispravljanja pogrešaka). Ali njegova suština je ista kao i kod hakerskih alata.
Osoba koja razumije principe prijenosa podataka putem mrežnih protokola i razumije kakva se informacija prenosi u pojedinom paketu može dešifrirati njegov sadržaj i po želji ga zamijeniti slanjem modificiranog zahtjeva poslužitelju. Ako je veza preko jednostavnog HTTP kanala bez enkripcije, tada haker može vidjeti vaše lozinke izravno u prozoru sniffera bez potrebe za dekodiranjem!
Problem je pogoršan činjenicom da su ranije postojali njuškali samo za desktop operativne sustave. Danas, primjerice, postoje brojni njuškali za Android. Stoga napadač koji analizira promet može biti praktički bilo gdje (čak i za susjednim stolom u kafiću s besplatnim Wi-Fijem! Upečatljiv primjer njuškala za Android je mobilna verzija popularnog njuškala WireShark:
Koristeći ovaj njuškalo i program za analizu dnevnika Shark Reader, napadač može presresti podatke izravno s pametnog telefona ili tableta spojenog na javnu pristupnu točku.
Suprotstavljanje špijunima
Tako smo naučili kako funkcioniraju glavne vrste špijunskog softvera. I postavlja se logično pitanje: “Kako se zaštititi od nadzora?”... To je “težak, ali moguć” zadatak.
Kao što vidite, gotovo sve špijunske programe može otkriti antivirusni softver. Stoga je prvi korak ažuriranje antivirusnih baza podataka i instaliranog sigurnosnog softvera. Osim toga, svakako otvorite “bijelu listu” svog antivirusnog paketa i provjerite dopušta li datoteke sa sumnjivim nazivima koje se nalaze u sistemskim mapama.
Ako koristite spomenuti Punto Switcher (ili njegove analoge), svakako provjerite je li netko uključio “Dnevnik” bez vašeg znanja.
Ako se u antivirusnim postavkama ili u Punto Switcheru ne pronađu sumnjivi parametri, možete pribjeći skeniranju sustava posebnim antivirusnim skenerima. Preporučujem korištenje programa koje sam osobno testirao više puta i .
Osim toga, možete provjeriti trenutno pokrenute procese pomoću posebnih antivirusnih upravitelja zadataka. Primjer za to je besplatni uslužni program. Ovaj alat vam omogućuje ne samo da vidite imena i adrese svih pokrenutih procesa, već i da brzo procijenite stupanj njihove zlonamjernosti (čak i potencijal).
Najteže je parirati njuškalima. Ako ne možete u potpunosti odbiti korištenje javnih mreža, tada jedina vrsta zaštite može biti korištenje stranica koje podržavaju kriptirani HTTPS protokol za prijenos podataka (sada ga ima većina društvenih mreža). Ako web mjesto ili usluga koja vam je potrebna ne podržava enkripciju, tada, kao posljednje sredstvo, možete organizirati siguran tunel za prijenos podataka pomoću VPN-a.
zaključke
Kao što vidite, instaliranje i praćenje bilo kojeg računala nije tako teško. Štoviše, to se može učiniti potpuno besplatno pomoću malih programa. Stoga, ako koristite javne mreže ili radite na računalu koje koristi više korisnika, teoretski postoji mogućnost da ste već nadzirani.
Pretjerana nepažnja i povjerenje mogu vas koštati u najmanju ruku gubitka lozinki s vaših računa na društvenim mrežama, au najgorem slučaju, primjerice, krađe novca na vašim elektroničkim računima. Stoga je važno slijediti načelo “vjeruj, ali provjeri”.
Ako sami odlučite špijunirati nečije računalo, morate na to iskreno upozoriti korisnika. Inače, ako se otkrije špijunaža, možete zaraditi puno problema na svoju glavu :) Stoga, prije nego što špijunirate, dobro razmislite o tome!
p.s. Dopušteno je slobodno kopiranje i citiranje ovog članka, pod uvjetom da je navedena otvorena aktivna veza na izvor i očuvanje autorstva Ruslana Tertyshnyja.
Početak 21. stoljeća definitivno se može nazvati početkom pravog, pravog informacijskog doba. Prije nekoliko godina većina je ljudi bila zadivljena golemim mogućnostima koje su otvorila takozvana "računala". Nevjerojatne priče i urbane legende o hakerima sposobnim ukrasti milijune dolara, pristojne plaće velegradskih programera koji rade u velikim korporacijama - sve to, naravno, ne iznenađuje toliko prosječnog čovjeka, ali jasno ilustrira moć računalne tehnologije i onih koji dobro su upućeni u to. Područje informacijske tehnologije toliko je naraslo da je postalo jedan od ključnih elemenata osnovne logistike za mnoga poduzeća.
No uz nove korisne značajke, uz nove pogodnosti i načine slanja i obrade podataka, pojavili su se i novi načini njihove krađe. Taj će problem uvijek postojati u informacijskom prostoru. Najpoznatiji informacijski prostor, dostupan gotovo svakoj osobi bez iznimke, je Internet. A prilike koje nudi, izgledi koji se otvaraju svakom posjetitelju World Wide Weba, prepuni su mnogo opasnih i zastrašujućih stvari. Internet, kao što mnogi vjeruju, nije jedna tražilica, a ne milijuni stranica koje možete samo pokupiti i pronaći. Vidljivi dio ove mreže samo je površina oceana i možemo sa sigurnošću jamčiti da većina današnjih ljudi ne bi trebala ni pokušati zaroniti dublje. Ovo je prepuno barem kaznene odgovornosti.
Ima, doduše, i banalnijih stvari, primjerice virusa. Mnogo ih je nastalo u proteklih 20 godina. Bez šale i pretjerivanja možemo reći da njihov broj raste iz minute u minutu. Govoreći o kaznenoj odgovornosti, njihova distribucija je kažnjiva zakonom.
Jedna vrsta računalnih virusa je špijunski virusi. Njihov naziv odgovara njihovoj aktivnosti: budući da su aktivni u operativnom sustavu, prikupljaju podatke s računala korisnika i šalju ih napadaču koji je kreirao virus.
Mnogi će se zapitati: “koje informacije?” Odgovor je prilično jednostavan. Mnogi ljudi koriste sustave plaćanja, rade s bankovnim računom na računalu, vrše bilo kakve transakcije, naručuju nešto iz internetskih trgovina.
Sve je to zanimljivo onima koji stvaraju takav softver. Svaka informacija na internetu ima svoju cijenu. Krađom adrese e-pošte, napadač je može dodati na listu neželjene pošte. Nakon što primi lozinku za ovu e-poštu, može čitati sve e-poruke koje tamo stignu, uključujući podatke o registraciji i osobne podatke. Pristup elektroničkom novčaniku znači da napadač može upravljati financijama svoje žrtve, i tako dalje i tako dalje. Kao što vidite, čak i na računalima ljudi imaju što ukrasti. Stoga ne treba sumnjati u opasnost od spyware virusa.
Što možete učiniti da se zaštitite od špijunskog softvera:
- Nabavite antivirus. Najbanalniji, najjednostavniji i najpouzdaniji način. Unatoč svojoj trivijalnosti, ima gotovo neporecive prednosti u odnosu na sve ostale. Prije pokretanja novih datoteka, antivirus ih uvijek skenira, automatski ih blokira ako se otkrije prijetnja i omogućuje korisniku da provjeri ima li virusa na računalu u bilo kojem trenutku.
- Budite pažljiviji. Opet banalan savjet, ali prilično učinkovit. Jednostavno do nemogućnosti - ne preuzimajte baš ništa, ne instalirajte jeftine programe koji obećavaju brda zlata ili rješenje za sve probleme svijeta. Besplatan sir može se naći samo na jednom mjestu i to bi trebali biti glodavci, a ne ljudi.
- Poboljšajte svoju informatičku pismenost. To nije lak zadatak, pogotovo za one koji nisu baš vješti s računalima. Međutim, vrijedi zapamtiti da svake godine informatizacija pokriva sve više područja našeg života. Što više svatko od nas počne shvaćati kako elektronički računalni strojevi rade, to ćemo se sigurnije osjećati. Ovaj se savjet, međutim, ne odnosi samo na računala, već i na sve ostalo. Vremena su takva da “moći nešto učiniti” postupno postaje prošlost, a na njegovo mjesto dolazi “moći naučiti nešto raditi”. Tehnologije se prebrzo razvijaju da bismo se navikli na njih. Isti način obavljanja bilo kojeg zadatka neizbježno zastarijeva, i to vrtoglavom brzinom. Kako biste doista zaštitili sebe, svoje podatke i svoje šanse za uspjeh u životu, trebate naučiti pronaći načine, a ne naučiti same načine.
- Očistite računalo od važnih informacija. Za razliku od prethodnog savjeta, ovdje je sve jednostavno. Svaki dan izbrišite svoju povijest pregledavanja u pregledniku, ne spremajte lozinke i ne ostanite prijavljeni na web stranicama banaka i sustava plaćanja. To će otežati krađu podataka, jer većinu vremena neće biti na samom računalu.
Najjednostavnije mjere opreza mogu zaštititi ušteđevinu, povjerljivu korespondenciju i važne informacije. Jednostavno ih se ne smije zanemariti. Uostalom, nema ništa komplicirano u instaliranju bilo kojeg besplatnog antivirusa na vaše računalo. Čak i ako to jednostavno učinite, vjerojatnost "upadanja u nevolje" smanjuje se nekoliko puta.
http://www.computermaster.ru/articles/secur2.html
Što trebate znati o računalnim virusima
(c) Aleksandar Frolov, Grigorij Frolov, 2002
[e-mail zaštićen]; http://www.frolov.pp.ru, http://www.datarecovery.ru
Od nastanka osobnih računala, dostupnih stručnjacima i široj javnosti, započela je povijest računalnih virusa. Pokazalo se da osobna računala i programi raspoređeni na disketama predstavljaju samu “okolinu za razmnožavanje” u kojoj nastaju i bezbrižno žive računalni virusi. Mitovi i legende koji nastaju oko sposobnosti računalnih virusa da prodru svugdje i posvuda obavijaju ove zlonamjerne kreature maglom neshvatljivog i nepoznatog.
Nažalost, čak ni iskusni administratori sustava (da ne spominjemo obične korisnike) ne razumiju uvijek točno što su računalni virusi, kako prodiru u računala i računalne mreže i kakvu štetu mogu uzrokovati. Istodobno, bez razumijevanja mehanizma funkcioniranja i širenja virusa nemoguće je organizirati učinkovitu antivirusnu zaštitu. Čak i najbolji antivirusni program bit će nemoćan ako se koristi na pogrešan način.
Kratki tečaj povijesti računalnih virusa
Što je računalni virus?
Najopćenitija definicija računalnog virusa može se dati kao programski kod koji se sam umnožava u informacijskom okruženju računala. Može se ugraditi u izvršne i naredbene datoteke programa, distribuirati kroz sektore za pokretanje disketa i tvrdih diskova, dokumente uredskih aplikacija, putem e-pošte, web stranica, kao i putem drugih elektroničkih kanala.
Nakon što prodre u računalni sustav, virus može biti ograničen na bezopasne vizualne ili zvučne efekte, ali može uzrokovati gubitak ili oštećenje podataka, kao i curenje osobnih i povjerljivih informacija. U najgorem slučaju, računalni sustav zaražen virusom može biti pod potpunom kontrolom napadača.
Danas ljudi vjeruju računalima da će riješiti mnoge kritične probleme. Stoga kvar računalnih sustava može imati vrlo, vrlo ozbiljne posljedice, uključujući i ljudske žrtve (zamislite virus u računalnim sustavima aerodromskih službi). Programeri računalnih informacijskih sustava i administratori sustava to ne bi smjeli zaboraviti.
Danas su poznati deseci tisuća različitih virusa. Unatoč toj brojnosti, postoji prilično ograničen broj tipova virusa koji se međusobno razlikuju po mehanizmu širenja i principu djelovanja. Postoje i kombinirani virusi koji se mogu klasificirati u nekoliko različitih tipova u isto vrijeme. Govorit ćemo o različitim vrstama virusa, slijedeći što je više moguće kronološki redoslijed njihove pojave.
File virusi
Povijesno gledano, datotečni virusi pojavili su se ranije od drugih tipova virusa i isprva su se distribuirali u okruženju operacijskog sustava MS-DOS. Ubacujući se u tijelo COM i EXE programskih datoteka, virusi ih mijenjaju na način da se prilikom pokretanja kontrola ne prenosi na zaraženi program, već na virus. Virus može napisati svoj kod na kraju, početku ili sredini datoteke (slika 1). Virus također može podijeliti svoj kod u blokove, postavljajući ih na različita mjesta u zaraženom programu.
Riža. 1. Virus u datoteci MOUSE.COM
Jednom kontroliran, virus može zaraziti druge programe, upasti u RAM računala i izvesti druge zlonamjerne funkcije. Virus zatim prenosi kontrolu na zaraženi program, koji se izvršava kao i obično. Kao rezultat toga, korisnik koji pokreće program niti ne sumnja da je "bolestan".
Imajte na umu da virusi datoteka mogu zaraziti ne samo COM i EXE programe, već i druge vrste programskih datoteka - MS-DOS preklapanja (OVL, OVI, OVR i drugi), SYS upravljačke programe, DLL biblioteke dinamičkog povezivanja, kao i sve datoteke s programom šifra . Datotečni virusi razvijeni su ne samo za MS-DOS, već i za druge operativne sustave, kao što su Microsoft Windows, Linux, IBM OS/2. Međutim, velika većina virusa ove vrste živi upravo u okruženju MS-DOS-a i Microsoft Windows-a.
U dane MS-DOS-a, virusi s datotekama napredovali su zahvaljujući besplatnoj razmjeni programa, igricama i poslovanju. U to su vrijeme programske datoteke bile relativno male veličine i distribuirane na disketama. Zaraženi program se također može slučajno preuzeti s BBS-a ili interneta. A zajedno s tim programima šire se i virusi datoteka.
Moderni programi zauzimaju znatnu količinu prostora i obično se distribuiraju na CD-ima. Dijeljenje programa na disketama stvar je prošlosti. Instaliranjem programa s licenciranog CD-a obično ne riskirate zarazu računala virusom. Druga stvar su piratski CD-i. Ovdje ne možemo jamčiti ni za što (iako znamo za primjere širenja virusa na licenciranim CD-ima).
Kao rezultat toga, današnji file virusi izgubili su prednost u popularnosti u odnosu na druge vrste virusa, o kojima ćemo govoriti kasnije.
Boot virusi
Virusi pokretanja preuzimaju kontrolu tijekom inicijalizacije računala, čak i prije nego što se operativni sustav počne učitavati. Da biste razumjeli kako rade, morate zapamtiti slijed pokretanja računala i učitavanja operativnog sustava.
Odmah nakon uključivanja napajanja računala počinje s radom POST (Power On Self Test) testna procedura zapisana u BIOS-u. Tijekom skeniranja utvrđuje se konfiguracija računala i provjerava funkcionalnost njegovih glavnih podsustava. POST zatim provjerava je li disketa umetnuta u pogon A:. Ako je disketa umetnuta, onda se daljnje učitavanje operativnog sustava odvija s diskete. U suprotnom, dizanje se vrši s tvrdog diska.
Prilikom dizanja s diskete, POST procedura čita Boot Record (BR) s nje u RAM. Ovaj unos se uvijek nalazi u prvom sektoru diskete i mali je program. Osim programa, BR sadrži strukturu podataka koja određuje format diskete i neke druge karakteristike. POST postupak zatim prenosi kontrolu na BR. Nakon što je primio kontrolu, BR nastavlja izravno s učitavanjem operativnog sustava.
Kada se pokrećete s tvrdog diska, POST čita glavni zapis o pokretanju (MBR) i zapisuje ga u RAM računala. Ovaj unos sadrži program za pokretanje i tablicu particija, koja opisuje sve particije na tvrdom disku. Pohranjuje se u prvom sektoru tvrdog diska.
Nakon čitanja MBR-a, kontrola se prenosi na program za pokretanje koji je upravo pročitao s diska. Analizira sadržaj particijske tablice, odabire aktivnu particiju i čita BR boot zapis aktivne particije. Ovaj unos je sličan BR unosu sistemske diskete i obavlja iste funkcije.
Sada razgovarajmo o tome kako "radi" virus za pokretanje sustava.
Kada je disketa ili tvrdi disk računala zaražen, boot virus zamjenjuje BR boot record ili MBR master boot record (Slika 2). Izvorni BR ili MBR zapisi obično nisu izgubljeni u ovom slučaju (iako se to ne događa uvijek). Virus ih kopira u jedan od slobodnih sektora diska.
Riža. 2. Virus u zapisu za podizanje sustava
Dakle, virus preuzima kontrolu odmah nakon završetka POST postupka. Zatim, u pravilu, djeluje prema standardnom algoritmu. Virus se kopira na kraj RAM-a, čime se smanjuje njegov raspoloživi kapacitet. Nakon toga presreće nekoliko funkcija BIOS-a, tako da pristup njima prenosi kontrolu virusu. Na kraju postupka zaraze, virus učitava pravi boot sektor u RAM računala i na njega prenosi kontrolu. Zatim se računalo pokreće kao i obično, ali virus je već u memoriji i može kontrolirati rad svih programa i upravljačkih programa.
Kombinirani virusi
Vrlo često postoje kombinirani virusi koji kombiniraju svojstva datotečnih i boot virusa.
Primjer je virus za pokretanje datoteka OneHalf, koji je bio široko rasprostranjen u prošlosti. Prodirući u računalo s MS-DOS-om, ovaj virus inficira glavni zapis za pokretanje sustava. Kako se računalo pokreće, virus postupno šifrira sektore tvrdog diska, počevši od najnovijih sektora. Kada je rezidentni modul virusa u memoriji, on nadzire sve pristupe šifriranim sektorima i dekriptira ih, tako da sav računalni softver radi normalno. Ako se OneHalf jednostavno ukloni iz RAM-a i sektora za pokretanje, bit će nemoguće ispravno pročitati informacije zapisane u šifriranim sektorima diska.
Kada virus šifrira polovicu tvrdog diska, prikazuje sljedeću poruku na ekranu:
Dis je jedna polovica. Pritisni bilo koju tipku za nastavak...
Nakon toga virus čeka da korisnik pritisne tipku i nastavlja s radom
OneHalf virus koristi razne mehanizme kako bi se kamuflirao. To je stealth virus i koristi polimorfne algoritme za širenje. Otkrivanje i uklanjanje virusa OneHalf prilično je složen zadatak i ne mogu ga svi antivirusni programi.
Satelitski virusi
Kao što znate, u operativnim sustavima MS-DOS i Microsoft Windows različitih verzija postoje tri vrste datoteka koje korisnik može pokrenuti za izvršenje. To su BAT naredbene ili batch datoteke, kao i COM i EXE izvršne datoteke. U tom slučaju, nekoliko izvršnih datoteka s istim imenom, ali različitim nastavkom naziva može se istovremeno nalaziti u istom direktoriju.
Kada korisnik pokrene program i zatim unese njegov naziv na upit operativnog sustava, on obično ne navodi ekstenziju datoteke. Koja će se datoteka izvršiti ako u direktoriju postoji nekoliko programa s istim nazivom, ali različitim nastavcima naziva?
Ispada da će se u ovom slučaju pokrenuti COM datoteka. Ako samo EXE i BAT datoteke postoje u trenutnom direktoriju ili direktorijima navedenim u varijabli okruženja PATH, tada će se EXE datoteka izvršiti.
Kada satelitski virus zarazi EXE ili BAT datoteku, stvara drugu datoteku u istom direktoriju s istim imenom, ali s COM ekstenzijom naziva. Virus se zapisuje u ovu COM datoteku. Dakle, kada se program pokrene, kontrolu će prvi preuzeti satelitski virus, koji potom može pokrenuti ovaj program, ali pod svojom kontrolom.
Virusi u batch datotekama
Postoji nekoliko virusa koji mogu zaraziti BAT batch datoteke. Da bi to učinili, koriste vrlo sofisticiranu metodu. Pogledat ćemo to na primjeru virusa BAT.Batman. Kada je batch datoteka zaražena, sljedeći tekst se umeće na njen početak:
@ECHO OFF REM [...] kopiraj %0 b.com>nul b.com del b.com rem [...]
U uglatim zagradama [...] ovdje je shematski dijagram položaja bajtova, koji su upute procesora ili podaci o virusu. Naredba @ECHO OFF onemogućuje prikaz imena izvršenih naredbi. Redak koji počinje naredbom REM je komentar i ne tumači se ni na koji način.
Naredba copy %0 b.com>nul kopira zaraženu batch datoteku u B.COM datoteku. Ta se datoteka zatim izvršava i briše s diska pomoću naredbe del b.com.
Najzanimljivija stvar je da se B.COM datoteka koju je stvorio virus podudara sa zaraženom batch datotekom do jednog bajta. Ispada da ako prva dva retka zaražene BAT datoteke protumačite kao program, ona će se sastojati od CPU naredbi koje zapravo ne rade ništa. CPU izvršava ove naredbe, a zatim počinje izvršavati stvarni virusni kod napisan nakon izjave REM komentara. Nakon što je preuzeo kontrolu, virus presreće prekide OS-a i postaje aktivan.
Tijekom procesa širenja, virus prati zapisivanje podataka u datoteke. Ako prvi redak zapisan u datoteku sadrži naredbu @echo, tada virus misli da se piše batch datoteka i zarazi je.
Šifrirajući i polimorfni virusi
Kako bi otežali otkrivanje, neki virusi šifriraju svoj kod. Svaki put kada virus zarazi novi program, on šifrira vlastiti kod koristeći novi ključ. Kao rezultat toga, dvije kopije takvog virusa mogu se značajno razlikovati jedna od druge, čak imati različite duljine. Šifriranje koda virusa uvelike komplicira proces njegovog istraživanja. Obični programi neće moći rastaviti takav virus.
Naravno, virus može raditi samo ako je izvršni kod dekriptiran. Kada se zaraženi program pokrene (ili pokrene iz zaraženog BR boot zapisa) i virus preuzme kontrolu, mora dešifrirati svoj kod.
Kako bi se otežalo otkrivanje virusa, za šifriranje se ne koriste samo različiti ključevi, već i različiti postupci šifriranja. Dvije kopije takvih virusa nemaju niti jedan odgovarajući niz kodova. Takvi virusi, koji mogu potpuno promijeniti svoj kod, nazivaju se polimorfni virusi.
Stealth virusi
Stealth virusi pokušavaju sakriti svoju prisutnost na računalu. Imaju rezidentni modul koji se trajno nalazi u RAM-u računala. Ovaj modul se instalira kada se pokrene zaraženi program ili kada se diže s diska zaraženog boot virusom.
Rezidentni modul virusa presreće pozive diskovnom podsustavu računala. Ako operativni sustav ili neki drugi program pročita zaraženu programsku datoteku, virus zamjenjuje pravu, nezaraženu programsku datoteku. Da bi to učinio, rezidentni virusni modul može privremeno ukloniti virus iz zaražene datoteke. Nakon završetka rada s datotekom, ona se ponovno zarazi.
Boot stealth virusi djeluju na isti način. Kada bilo koji program čita podatke iz sektora za pokretanje, zaraženi sektor zamjenjuje se pravim sektorom za pokretanje.
Prikrivanje stealth virusa funkcionira samo ako postoji rezidentni virusni modul u RAM-u računala. Ako se računalo podigne s "čiste", nezaražene sistemske diskete, virus nema šanse preuzeti kontrolu i stoga tajni mehanizam ne radi.
Makro virusi
Do sada smo govorili o virusima koji žive u izvršnim programskim datotekama i sektorima za pokretanje diskova. Raširena uporaba paketa uredskih programa Microsoft Office izazvala je lavinu novih vrsta virusa koji se ne šire s programima, već s dokumentima.
Na prvi pogled to se može činiti nemogućim - zapravo, gdje se virusi mogu sakriti u Microsoft Word tekstualnim dokumentima ili u ćelijama proračunske tablice Microsoft Excela?
Međutim, zapravo datoteke dokumenata Microsoft Officea mogu sadržavati male programe za obradu tih dokumenata, napisane u programskom jeziku Visual Basic for Applications. To se ne odnosi samo na Word i Excel dokumente, već i na Access baze podataka i Power Point prezentacijske datoteke. Takvi se programi stvaraju pomoću makro naredbi, zbog čega se virusi koji žive u uredskim dokumentima nazivaju makro naredbama.
Kako se šire makro virusi?
Zajedno s dokumentima. Korisnici razmjenjuju datoteke putem disketa, mrežnih direktorija na korporativnim intranetskim poslužiteljima datoteka, e-pošte i drugih kanala. Da biste zarazili svoje računalo makro virusom, samo trebate otvoriti datoteku dokumenta u odgovarajućoj uredskoj aplikaciji – i posao je gotov!
Danas su makro virusi vrlo česti, čemu je uvelike pridonijela popularnost Microsoft Officea. Oni ne mogu uzrokovati ništa manje štete, au nekim slučajevima čak i više od "običnih" virusa koji inficiraju izvršne datoteke i sektore za pokretanje diskova i disketa. Najveća opasnost od makro virusa, po našem mišljenju, je u tome što mogu mijenjati zaražene dokumente, a da ostanu neotkriveni dugo vremena.
Virusi, špijuni i dialeri: tko, zašto i kako
Mislim da ako danas pitate bilo kojeg školarca što je lavsan, on vam neće reći o "sintetičkom vlaknu dobivenom polikondenzacijom etilenglikola i dibazične aromatske kiseline". Ne, njegov će odgovor biti otprilike ovaj: "Lo-vesan, poznat i kao msblast, prodire u Microsoft Windows NT obitelj operativnih sustava koristeći ranjivost u Microsoft Windows DCOM RPC servisu." Bojim se pretpostaviti kakve će asocijacije nakon nekog vremena biti uz riječ propast. Očito ne samo s istoimenom igricom.
Kao što možete razumjeti iz naslova i uvoda, današnji razgovor bit će o virusima i njima sličnim. Prije nego prijeđem na odgovore na pitanja postavljena u naslovu, želio bih proći izravno kroz naše današnje „goste“. Ovdje će biti dat odgovor kako sve to dospijeva na naša računala.
Virusi
Virusi su programi koji imaju neke destruktivne posljedice. I nije važno što su: ovdje se može dogoditi sve - od banalne promjene dopuštenja datoteke i oštećenja njezinog internog sadržaja do prekida interneta i pada operativnog sustava. Virus također znači program koji ne samo da ima destruktivne funkcije, već je i sposoban za reprodukciju. Evo što o tome kaže jedna pametna knjiga: “Obvezno (neophodno) svojstvo računalnog virusa je sposobnost stvaranja vlastitih duplikata (ne nužno identičnih originalu) i njihovo uvođenje u računalne mreže i/ili datoteke, područja sustava računala i drugih izvršnih objekata. Istodobno duplikati zadržavaju sposobnost daljnjeg širenja" ((c) Evgeniy Kaspersky. "Računalni virusi"). Doista, da bi preživjeli, virusi se moraju razmnožavati, a to je dokazala znanost poput biologije. Inače, od istih bioloških virusa dolazi i naziv računalni virusi. I sami su u potpunosti opravdali svoje ime: svi virusi su jednostavni i, unatoč naporima antivirusnih tvrtki, čiji se troškovi izračunavaju u ogromnim iznosima, žive i napreduju. Ne morate daleko tražiti primjere: uzmimo, na primjer, virus poput I-Worm.Mydoom.b. Koliko puta su rekli da ne otvarate priložene datoteke nepoznatih osoba, a poruke poznatih osoba treba tretirati s oprezom, pogotovo ako se niste dogovorili oko toga. Osim toga, ako tekst pisma sadrži nešto poput sljedećeg: "Pogledajte cool fotografiju moje djevojke", tada ga treba odmah poslati u smeće. Ali ako u gornjem primjeru tekst još ima smisla, onda je sadržaj pisama zaraženih mydoomom prilično čudan. Prosudite sami:
Poruka se ne može predstaviti u 7-bitnom ASCII kodiranju i poslana je kao binarni privitak sendmail daemon prijavljen: Došlo je do pogreške #804 tijekom SMTP sesije. Primljena je djelomična poruka. Poruka sadrži Unicode znakove i poslana je kao binarni privitak. Poruka sadrži MIME kodiranu grafiku i poslana je kao binarni privitak. Transakcija pošte nije uspjela. Dostupna je djelomična poruka.
Pismo sadrži datoteku s 9 opcija naziva datoteke privitka i 5 opcija proširenja. U inbox su mi stigle dvije varijante. Prvi je zip arhiva s navodno doc datotekom, a drugi je obični exe s ikonom zamijenjenom ikonom notepada. Ako u drugom slučaju svaki korisnik može primijetiti kvaku gledajući rezoluciju, onda je u prvom je to teže učiniti. Sklon sam pripisati najveći broj infekcija prvom slučaju. Neću vam reći što ovaj virus radi, jer je to već mnogo puta rečeno u tiskanim publikacijama i online izvorima. Korištenje Mydooma kao Na primjer, upoznali smo se s prvim načinom širenja virusa - putem e-pošte.
Pogledajmo sljedeću metodu koristeći Worm.Win32.Lovesan (također poznat kao msblast) kao primjer. Što je izvanredno u vezi s ovim virusom i zašto je infekcija njime postala široko rasprostranjena? Ovaj je pojedinac vrijedan pažnje po tome što u načelu ne utječe na performanse sustava u cjelini. Računalo zaraženo njime jednostavno ne može normalno surfati internetom. Nakon nekog vremena pojavljuje se znak s porukom o RPC pogrešci, nakon čega se računalo ponovno pokreće. Kako dolazi do infekcije? Ovaj virus iskorištava ranjivost u DCOM RPC servisu u sustavu Microsoft Windows 2000/XP/2003 i ulazi u računalo korisnika preko porta 135 određene IP adrese. Kako napadač sazna točno vašu adresu? Da, vrlo jednostavno. Sada je napisano toliko mnogo IP skenera da čak i dijete predškolske dobi može lako saznati IP adrese i vidjeti otvorene portove preko kojih se virus može preuzeti na računalo. Radi jasnoće, pokazat ću kako dolazi do infekcije izravno Lovesan virusom. Crv skenira IP adrese kako bi pronašao otvorene i nezaštićene portove. Proces je prikazan na dijagramu:
20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- pauza 1,8 sekundi
20.40.50.20
...
20.40.50.39
----------- pauza 1,8 sekundi
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
i nastavlja u istom duhu dalje.
Crv odabire jednu od dvije metode skeniranja. Prva metoda: skeniranje nasumične osnovne adrese (A.B.C.D), gdje je D 0, a A, B, C su nasumično odabrani iz raspona 1-255. Raspon skeniranja je sljedeći: ...0.
Druga metoda: crv određuje adresu lokalnog računala (A.B.C.D), postavlja D na nulu i odabire vrijednost C. Ako je C veći od 20, crv odabire slučajni broj između 1 i 20. Ako je C manji od ili jednako 20, crv ga ne mijenja. Dakle, drugi način širenja virusa je kroz nezaštićene priključke računala, koristeći rupe u softveru.
Treći način je putem interneta, kada preuzimate datoteke (u željenoj ili neželjenoj verziji). Opet ću objasniti na primjerima. Primjer onoga što je poželjno. Skinete neki novi vic, ili program, ili igricu s interneta, a ona je zaražena virusom. Nakon preuzimanja pokreće se program/igra/gag, i - voila - vi ste vlasnik virusa. Što da kažem? Budite oprezni, redovito ažurirajte svoju antivirusnu bazu, skenirajte sve programe antivirusom i ne zaboravite barem na osnove računalne sigurnosti. Netko bi mogao reći: "Zašto bih, na primjer, skenirao programe koji nisu mogli biti zaraženi virusom?" Želio bih pitati: "Kakvi su to programi?" Zaraziti se mogu bilo koji programi, pogotovo ako su preuzeti s Vareznika ili web stranica hakerskih skupina.
Sada prijeđimo na neželjena preuzimanja. Istaknuo bih dvije vrste takvog opterećenja. Prvo: kada korisnik niti ne sluti da se nešto preuzima na njegovo računalo. Ovo preuzimanje se izvodi izvršavanjem skripti. Druga vrsta neželjenog preuzimanja je kada se preuzme pogrešna stvar. Dat ću vam primjer. Svojedobno je jedna stranica s crackovima, neposredno prije preuzimanja datoteke, predložila instaliranje ili “Free XXX bar” ili “100% Internet crack”. Ako se korisnik s tim složio (a siguran sam da je takvih bilo, jer se još sjećam pitanja mjeseca u “Virtualnim radostima” o “100% internet cracku”), onda je preuzet trojanac ili virus. Razlika je, u principu, mala. No, to nije ono najzanimljivije: ako bi tako primamljiva ponuda bila odbijena, pojavio bi se znak s natpisom otprilike ovako: “Site error” i tipkom OK ili Continue, nakon čega bi se trojanac ipak skinuo. , iako bez znanja korisnika. A od ovoga vas može spasiti samo vatrozid.
Koje nuspojave, osim glavnih destruktivnih funkcija, mogu imati virusi? Jedna od "besplatnih aplikacija" je DOS (Denial of service) funkcija napada na bilo koje stranice. U većini slučajeva žrtve su stranice antivirusnih tvrtki, anti-spam stranice i – kako ne bismo – stranice napaćene tvrtke Microsoft. Druga nuspojava je instalacija backdoor komponente, čime napadač stječe potpunu kontrolu nad računalom korisnika. Nije teško pogoditi što to prijeti.
Špijuni
Sljedeća skupina uključuje špijunski softver, a tu spadaju i reklamni moduli. Glavni način distribucije programa ove vrste je njihovo instaliranje kao komponente, često neodvojive, u program. Osim toga, postoji neželjeno preuzimanje (vidi gore za opise) i preuzimanje kolačića za praćenje.
Što ti pojedinci rade? Počnimo s onim što je zajedničko između spywarea i adwarea. Obje vrste skupljaju podatke o korisniku i njegovom računalu, nadziru njegove radnje, vrsta špijuna - reyloggeri - također bilježe u datoteku sve što tipkate na tipkovnici.Prati se i vaša aktivnost na internetu: što posjećujete, gdje se zadržavate najviše , na koje poveznice kliknete. Nakon prikupljanja podataka sve informacije šalju se vlasniku. I tu se putevi špijuna i oglasnih modula razilaze. Nakon što podatke prikupe oglasni moduli, informacije se najčešće preprodaju treća strana, koja to pažljivo proučava. Nakon toga se u najboljem slučaju sastavlja program internetske politike tipa treće strane: što ponuditi, gdje staviti svoje reklame. Ali to je u najboljem slučaju, au najgorem , mega/kilogrami/tone neželjenih pisama jednostavno će se početi slijevati u vaš poštanski sandučić.
Po čemu se špijuni razlikuju? Nakon proučavanja podataka istog reylogera, napadač može saznati vaše osobne, strogo povjerljive podatke, koje kasnije može koristiti za ucjene, a takvih slučajeva je bilo, osim toga, može saznati korisničke lozinke, ali i pronaći slabosti u sustavu kako bi se iskoristilo sve ovo je za instaliranje trojanaca i backdoor komponenti. Pročitajte gore o opasnostima ovoga.
Brojčanici
Metode njihovog prodiranja ne razlikuju se od gore opisanih. Stoga, prijeđimo odmah na razmatranje. Ovdje je potrebno napomenuti da postoje potpuno mirni dialeri, popularno nazvani "dialeri". Ovi programi služe da pomognu dial-up korisnicima da dođu do davatelja i, ako je moguće, održe stabilnu vezu s njim čak i na starim ili "moderniziranim" linijama. Oni o kojima ćemo govoriti imaju drugačiji naziv - borbeni dialeri. Korištenje rupa u operativnom sustavu, a ponekad zbog nemara ili naivnosti korisnika (vidi gore o 100% kraku interneta), ovi programi zamjenjuju telefon pružatelja usluga telefonom telekom operatera iz neke egzotične zemlje. Štoviše, u većini slučajevima, dobri stari telefon pružatelja usluga ostaje u prozoru za biranje. Dialeri također upisuju u planer zadatak za poziv u određeno vrijeme. I dobro je ako korisnik ima naviku isključiti modem ili ima vanjski i viče toliko da se mama ne brine.A ako je modem tih i ugrađen?O tome ti pričam.A jadnik će saznati za svoju tugu tek nakon što stigne ovoliki telefonski račun.
WHO
Došao je trenutak da progovorimo o tome tko sve te gluposti piše i plasira na internet. Ovdje ću pokušati svrstati one skupine ljudi koji se bave ovim nedoličnim poslom. Ovdje nećemo govoriti o takozvanim “white hat” hakerima. Objasnit ću zašto. Ova sorta ne predstavlja opasnost za društvo, već mu koristi. Oni su ti koji najčešće pišu antivirusne viruse za neutralizaciju posebno štetnih pojedinaca. Zašto virusi? Ti se programi šire koristeći isti mehanizam kao i virusi. Zašto anti? Zato što blokiraju ili uklanjaju određenu vrstu virusa s računala. Njihova glavna razlika od virusa također je njihovo samouništenje nakon izvršenja zadaće i odsutnost bilo kakvih destruktivnih funkcija. Primjer je sličan virus koji se pojavio na internetu neko vrijeme nakon Lovesanovog recidiva. Nakon preuzimanja antivirusnog virusa, Lovesan je uklonjen, a od korisnika je zatraženo da preuzme ažuriranja za Windows. White hat hakeri također pronalaze rupe u softveru i računalnim sustavima, nakon čega je izvješće pronašlo pogreške tvrtkama. Sada prijeđimo izravno na našu klasifikaciju.
Tip jedan: “djeca skripti”. Zovu se ni manje ni više nego 37717 (00|_ HaCkeR-rr, čitaju časopis Hacker, ne znaju niti jedan programski jezik, a sve “svoje” trojance i viruse stvaraju skidanjem gotovih programa s interneta. ( Da bih izbjegao napade, reći ću: časopis "Hacker", u principu, nije loš, a materijal u njemu predstavljen je u prilično jednostavnom obliku - na nekim mjestima, istina. Ali u jednostavnom obliku za ljudi koji već imaju neko znanje. I mudro prezentiraju gradivo - ne ispričaju sve do kraja - da ih nigdje ne privučete, morate razmišljati.) Ti "hakeri" obično, nakon što nekome pošalju trojanac skinut odnekud, a ovo drugo radi, odmah se po forumima počnu derati kako su cool itd. itd. Za što odmah sasvim opravdano dobiju hrpu nimalo laskavih izjava na svoj račun, jer to nije poanta. Napravio zlo, onda je bolje šutjeti. Ove osobe ne predstavljaju neku posebnu opasnost, jer se bave manje-više velikom stvari jednostavno nemaju dovoljno iskustva ili (u nekim slučajevima) mozga .
Tip dva: "početnik". Ova vrsta je izravni potomak prve. Neki od predstavnika prve vrste nakon određenog vremena počnu shvaćati da nisu tako cool kao što su mislili, da, pokazalo se, postoje neki programski jezici, da možete učiniti nešto i onda ne vikati. cijelom svijetu o tome kakav sam ja sjajan tip. Neki od njih u budućnosti će se možda pretvoriti u predstavnika profesionalne klase. Ti ljudi počinju učiti jezik, pokušavaju nešto napisati i u njima se počinje buditi kreativna misao. I pritom počinju predstavljati određenu opasnost za društvo, jer tko zna kakvo bi zastrašujuće djelo takav predstavnik klase pisaca virusa mogao napisati zbog neiskustva. Uostalom, kada profesionalac piše kod, on ipak shvaća da neke stvari ne treba raditi, jer... mogu igrati protiv njega. Početnik nema takvo znanje i to ga čini opasnim.
Tip tri: "pro". Razvijaju se iz drugog tipa. “Profesionalci” se odlikuju dubokim poznavanjem programskih jezika, mrežne sigurnosti, razumiju dubine operativnih sustava i, što je najvažnije, imaju vrlo ozbiljno znanje i razumijevanje mehanizma rada mreža i računalnih sustava. Štoviše, "profesionalci" ne samo da uče o prazninama u sigurnosnim sustavima iz biltena tvrtki, već ih i sami pronalaze. Često se udružuju u hakerske skupine kako bi poboljšali kvalitetu svog "rada". Ovi ljudi su uglavnom tajnoviti i nisu pohlepni za slavom; kada izvode neku uspješnu operaciju, ne trče o tome govoriti cijelom svijetu, već radije mirno slave uspjeh među prijateljima. Naravno, oni predstavljaju veliku opasnost, ali budući da su svi upućeni ljudi, neće poduzeti radnje koje bi mogle uzrokovati globalni kolaps bilo kojeg sustava - primjerice interneta. Iako postoje iznimke (nisu svi zaboravili na Slammera).
Tip četiri: "industrijski hakeri". Najopasniji predstavnici hakerske obitelji za društvo. Oni se s pravom mogu nazvati pravim kriminalcima. Oni su odgovorni za pisanje većine dialera i hakiranje mreža banaka, velikih tvrtki i državnih agencija. Zašto i za što to rade, govorit ćemo u nastavku. „Industralci“ ne uzimaju u obzir ništa i nikoga, te osobe su u stanju učiniti sve za postizanje svojih ciljeva.
Sada rezimiramo napisano. “Djeca scenarija”: mlada, zelena i neiskusna. Želim pokazati da si najcool, a jedini cooler od tebe je Cool Sam.
“Početnik”: Imam želju da nešto sam napišem. Neki od njih, srećom, nakon pokušaja svladavanja zamršenosti internetskih protokola i programskih jezika odustanu i odu se baviti nečim mirnijim.
"Pro": ako se iznenada pojavi stanje "shvatio svoju krivnju, opseg, stupanj, dubinu", tada predstavnik ove vrste postaje visokokvalificirani stručnjak za računalnu sigurnost. Volio bih da više profesionalaca dođe do ove točke.
„Industralci“: ništa sveto. Narodna mudrost dobro govori o takvim ljudima: "Grbava će grob ispraviti."
Ovo je gruba podjela na tipove predstavnika klase računalnih napadača. Sada prijeđimo na pitanje zašto to rade.
Za što
Ali zapravo, zašto se pišu virusi, trojanci, dialeri i drugi zli duhovi? Jedan od razloga je želja za samopotvrđivanjem. Tipično je za predstavnike prvog i drugog tipa. Jedan samo treba pokazati svojim prijateljima da je "tako nešto, pravi, cool klinac", drugi - prvenstveno podići razinu samopoštovanja. Drugi razlog je stjecanje iskustva. Tipično za početnike. Nakon što napišete svoje prvo remek-djelo, prirodno ga želite isprobati na nekome. Ne na sebi, zapravo. Tako se na Internetu pojavljuje određeni broj novih, ne uvijek vrlo opasnih virusa. Sljedeći razlog je natjecateljski duh. Jeste li ikada čuli za hakerska natjecanja? Posljednji za koji znam dogodio se u ljeto. Pobijedila je brazilska hakerska grupa (pokazalo se da nisu jaki samo u nogometu). Zadatak je bio sljedeći: tko će srušiti najviše stranica. Ali siguran sam da postoje natjecanja i za najsofisticiraniji virus i za najboljeg keyloggera. Adrenalin je još jedan razlog. Zamislite: noć, svjetlo monitora, prsti prelaze preko tipkovnice, jučer je pronađena rupa u sigurnosnom sustavu, danas morate pokušati pristupiti sustavu i pokazati svom kolegi administratoru tko je gazda. Nakon ovog razloga dolazi sljedeći - romansa. Dakle, neki ljudi vole gledati zalazak sunca, neki vole gledati zvijezde, a neki vole pisati viruse i kvariti web stranice. Koliko ljudi, toliko ukusa. Razlog je sljedeći - politički ili društveni protest. Iz tog razloga hakirana je većina vladinih web stranica, web stranica političkih stranaka, tiskanih i online publikacija, kao i velikih korporacija. Ne morate daleko tražiti primjere. Neposredno nakon početka rata u Iraku, uslijedili su napadi na web stranice američke vlade od strane nezadovoljnih Bushevom politikom, kao i na web stranice arapskih novina Al-Jazeera i niz drugih arapskih resursa sa suprotne strane. I, možda, posljednji razlog je sveprisutnost novca. Zbog njih industrijski hakeri, tako reći, uglavnom rade. Hakiranjem u bankovne mreže dobivaju pristup računima klijenata. Nije teško pogoditi što će uslijediti. Prikupljajući podatke o bilo kojem korisniku interneta putem spywarea, oni se zatim bave banalnom ucjenom. Akcije koje su poduzeli "industrijalci" mogu se nabrajati jako dugo, samo želim još jednom reći da su oni pravi računalni kriminalci i da ih treba tretirati kao kriminalce.
Kako bih izbjegao ljutita pisma upućena tebi na temu: “Jesu li drugi tako ljubazni i pahuljasti da ih toliko štitiš?”, reći ću sljedeće. Nisam imao namjeru nikoga štititi, a nitko od predstavnika četiriju opisanih vrsta nije anđeo u tijelu - svi nose određeno zlo. Ali hakeri nam povremeno daju do znanja da nije sve savršeno na ovom svijetu. Dat ću vam primjer. Virus Slammer, koji je privremeno paralizirao internet, iskoristio je bug koji je Microsoft otkrio i zakrpao tri mjeseca ranije. Ali treba imati na umu da je navedeni primjer iznimka. Stoga je potrebno pridržavati se barem osnova računalne sigurnosti.
Andrej Rađevič
Članak koristi materijale iz Velike virusne enciklopedije, viruslist.com
