Вредоносное программное обеспечение и защита от него

Кроме того, сообщения электронной почты часто приходят в виде документов HTML, которые могут включать ссылки на элементы управления ActiveX, апплеты Java и другие активные компоненты. При получении сообщения в формате HTML почтовый клиент показывает его содержимое в своем окне. Если сообщение содержит вредоносные активные компоненты, они сразу же запускаются и делают свое черное дело. Чаще всего таким способом распространяются троянские программы и сетевые черви.

Macro - вирусы.

Macro-вирусы (или скриптовые вирусы) используют возможности макроязыков, встроенных в различные операционные системы и средства обработки информации (текстовые редакторы, электронные таблицы, финансовые системы и т.п.). Сегодня широко известны подобные вирусы для приложений пакета MSOffice, так же известны случаи появления macro-вирусов для пакета 1С. Вирусы для ОС Windows, написанные на VISUAL BASIC, так же можно считать разновидностью macro-вирусов.

Отличительной особенностью macro-вирусов является следующее:

- тело вируса представляет собой текстовый файл, содержащий команды и данные macro-языка;

- macro-вирус может активизироваться только в среде, где функционирует интерпретатор данного macro-языка;

- тело macro-вируса, как правило, помещается внутри файла документа, предназначенного для обработки в программном пакете, имеющем в своем составе соответствующий интерпретатор macro-языка;

- тело вируса, при заражении программы, как правило, сохраняется в программе вместе с настройками пользователя (н-р, шаблон normal.dot редактора MSWord), либо с дополнительными подгружаемыми модулями.

Запущенные из зараженного документа macro-вирусы захватывают управление при открытии заражённого файла, перехватывают некоторые файловые функции, и затем заражают файлы, к которым происходит обращение. Macro-вирусы способны «жить» не только на отдельных компьютерах, но и взаимодействовать с сетью, если подобные функции реализованы в среде, в которой обрабатывается зараженный документ.

Среда «жизни» macro-вирусов так же имеет внешние признаки заражения. Например, один из симптомов заражения программы MSWord - отсутствует возможность сохранять файлы с помощью команды «Сохранить как…». Или, если в меню «Сервис» вы не можете войти в пункт «Макрос» - это тоже признак заражения.

Так как, макровирусы под MSWord были наиболее популярны, то остановимся на них подробнее.

Во первых, необходимо помнить, что весь пакет программ MS Office состоит из макросов. Любое действие, совершаемое с документом, выполняется при помощи макроса. Например: печать документа - «FilePrint», сохранение файла - «FileSave», сохранение документа в другом файле - «FileSaveAs».

Для автоматического запуска макроса из шаблона при том или ином событии макрос должен иметь одно из следующих имен:

- AutoExec - Запускается при старте MSWord или загрузке глобального шаблона

- AutoNew - Запускается при создании нового документа

- AutoOpen - Запускается при открытии документа

- AutoClose - Запускается при закрытии документа

- AutoExit - Запускается при выходе из Word или при закрытии глобального шаблона.

В принципе, выполнение таких макросов можно отменить, нажав клавишу Shift при выполнении описанных выше действий.

Кроме того, создатели Microsoft Office облегчили задачу злоумышленников тем, что ввели возможность подменять команды MSWord макросами пользователя. Таким образом, если в загруженном документе есть макрос с именем, например, «FileOpen», то он будет исполняться каждый раз при открытии другого документа. То есть, макровирус, имеющий соответствующее имя, будет запускаться вместо соответствующего встроенного макроса редактора.

При заражении MSWord макровирусы сохраняют свое тело в шаблоне Normal.dot, но могут существовать так же другие шаблоны, подгружаемые при запуске редактора, и содержащие макровирусы. Для этого в редакторе используется параметр настройки «Автозагружаемые» доступный пользователю из меню: Сервис/ Параметры/ Расположение.

В принципе, MSWord сам в состоянии контролировать процесс загрузки макросов при открытии документа. Для этого необходимо выставить уровень безопасности в меню: Сервис \Макрос \Безопасность. Уровень безопасности MSWord управляется ключом реестра, например: MSWord 2000, управляется ключом: HKEY_CURRENT_USER \Software \Microsoft \Office \9.0 \Word \Security, для более поздних версий редактора «9.0» необходимо заменить на «10.0», «11.0», и т.п. Значения ключа, соответственно: 1, 2, 3 и более. 1 - самый низкий уровень безопасности, позволяющий запускать любой макрос без уведомления пользователя. Любой макрос, исполненный под Win 9x, или под ОС Win 2000, Win XP, Win Vista под пользователем с правами администратора, способен изменить значение ключа на 1, и пользователь после этого будет не в состоянии отследить последующие загрузки макровирусов.

Вирусные мистификации.

К ним относятся заведомо ложные сообщения о новых, ранее неизвестных компьютерных вирусах. В таких сообщениях пользователей, как правило, «информируют» о том, что в сетях Интернет появился новый вирус, распространяющийся в письмах и/или через Интернет-сайты и уничтожающий информацию на пораженных компьютерах.

Подобные сообщения запускаются в сеть Интернет умышленно для их дальнейшего распространения наивными пользователями. Обычно текст таких писем написан в достаточно паническом тоне, например:

От: <*****@****.**>

Кому: ********@******.*****.**

Тема: Внимание VIRUS!

Внимание, Вы в нашей Адресной книге, это означает, что, возможно, Ваш компьютер также заражен вирусом, автоматически рассылающим себя по адресам книги. Этот вирус активизируется через 14 дней после проверки вашего почтового ящика и повреждает жесткий диск!

Как удалить вирус.

1. В меню "Пуск" выбрать "Найти"->"Файлы и папки"

2. В строке поиска набрать sulfnbk.exe - это тело вируса.

Если этот файл будет обнаружен на Вашем компьютере, отошлите это сообщение по адресам вашей адресной книги.

Цели распространения подобных сообщений могут быть различны, от банальной шутки, до провокации с целью выявления какой-либо полезной для злоумышленника информации.

3. Классификация других деструктивных программ

3.1 Трояны

Троянами (программами типа «Троянский конь») называют программы, которые содержат внутри себя некие скрытые функции реализующие какие-либо информационные угрозы, либо код, позволяющий инсталлировать деструктивные программы в системе. Внешне незаметные, или выглядящие достаточно безобидно, эти программы, могут: обеспечивать возможность удаленного доступа в зараженную систему (так называемые «back doors»), заниматься обнаружением и отправкой в адрес злоумышленника определенной информации (например - пароли пользователя), внедрять в систему компьютерные вирусы и программы (боты), обеспечивающие скрытое от пользователя использование компьютера в сетевых атаках или рассылке спама. Основное отличие троянов от вирусов в том, что вирусы зависимы от заражаемого ресурса, а трояны, как правило, являются самостоятельными программами. Хотя, в связи с гигантским ростом популярности в последнее время сетевых вирусов, мы можем наблюдать слияние понятий трояна и сетевого вируса.

Основные признаки трояна:

- наличие исполняемого файла;

- использование для загрузки точек автозапуска в системе или методов социальной инженерии;

- как правило, необходимость взаимодействия с компьютерной сетью.

Одним из популярных каналов распространения троянов служит электронная почта. Вместе с письмом может придти вложенный файл в виде например, автозапускаемого Flash-клипа или самораспаковывающегося архива, либо злоумышленник может прислать по электронной почте скрытый вредоносный программный сценарий Visual Basic Script.

Еще один канал распространения - троянские Web-сайты. Даже во время простого просмотра сайтов Интернета пользователи могут «получить» вирус или троянскую программу. Ошибки, либо отсутствие правильных настроек безопасности в браузерах зачастую приводят к тому, что активные компоненты троянских Web-сайтов (элементы управления ActiveX, Java-скрипты или апплеты Java) внедряют на компьютеры вредоносные программы. Здесь используется тот же самый механизм, что и при получении сообщений электронной почты в формате HTML. Но заражение происходит незаметно: активные компоненты Web-страниц могут внешне никак себя не проявлять.

Приглашение посетить троянский сайт можно получить в обычном электронном письме.

3.2 Программы-шпионы (Spyware)

Среди потенциально опасных программ особенно выделяются программы-шпионы (spyware). Данное программное обеспечение позволяет скрытно собирать сведения об отдельном пользователе или целой организации.

Одними из первых подобных программ были сетевые сниферы. Снифер представляет собой программу-сканер сетевого трафика, который следит за сетевыми пакетами, проходящими через контролируемый им сегмент сети. Набор таких программ представлен в богатом ассортименте - тут и софт для протоколирования сообщений ICQ в локальной сети, и средства контроля электронной почты, и инструменты отслеживания вводимых паролей.

На сегодняшний день среди программ-шпионов выделяют следующие типы:

- Считыватели клавиатуры (монитора) -- key/screen loggers. Специальные программы, обеспечивающие сбор и отправку информации, которую пользователь набирает с клавиатуры (выводит на экран).

- Сборщики информации. Программы-шпионы, которые осуществляют поиск на жестком диске определенных данных (пароли, персональные данные, конфиденциальную информацию и т.п.) и отправку их внешнему адресату.

- Программы-загрузчики. Специальный код, позволяющий проделать бреши в системе защиты и загружать на инфицированный компьютер дополнительные вредоносные программы.

Такие программы распространяются разными способами, но чаще всего - массовой спам-рассылкой. В этом случае можно выделить два варианта: одноэтапный и двухэтапный. Для первого характерно, что в качестве распространяемого спам-рассылкой файла выступает одна из разновидностей шпиона, во втором - сначала на компьютер-жертву устанавливается троянская программа-загрузчик, которая затем осуществляет загрузку одной или нескольких шпионских программ рассматриваемой группы.

Другой способ распостранения - с почтовыми червями. Такие черви, попадая на компьютер, либо сами загружают шпионскую программу, либо устанавливают на инфицированной машине загрузчик, который впоследствии осуществляет инсталляцию Spyware. Некоторые версии программ-шпионов используют для распространения HTTP и FTP-сервисы.

Все вышеперечисленные способы распространения программ-шпионов объединяет одна главная причина - необдуманные действия пользователей. Как правило, spyware пападают во внутренние корпоративные сети:

- путем пересылки во вложениях к электронной почте;

- через уязвимости в интернет-браузерах, при загрузке вредоносного содержимого с инфицированного сайта;

- через уязвимости в FTP-клиентах;

- с мобильными накопителями (компакт-диски, USB-накопители);

- во время on-line игр.

3.3 Рекламные коды (Аdware)

Рекламные коды (аdware) - это программное обеспечение, которое проникает на компьютер в рекламных целях. Данное ПО также относится к разряду потенциально опасных. Формально аdware-программы являются легальными, что позволяет производителям открыто их разрабатывать, а рекламным компаниям - свободно распространять. Появившись несколько лет назад в виде простейших скриптов, автоматически открывавших множество дополнительных окон в интернет-браузере, сейчас они рассматриваются наравне с другими видами вредоносных программ. Сегодня рекламные компании стремятся всеми доступными средствами выполнить заказ и показать как можно больше рекламы максимальному количеству пользователей, что отражается, как минимум, на объемах несанкционированного трафика.

Более изощренными и нелегальными становятся приемы доставки рекламного контента на компьютеры пользователей. Некоторые современные adware-программы используют вирусные технологии для проникновения и скрытия себя в системе. Все больше обнаруживаемых программ данного класса содержат черты троянцев. Это отражается в способе инсталляции в систему (например, при помощи уязвимостей в браузерах) либо в поведении на компьютере пользователя. Adware-программы серьезно затрудняют свое обнаружение и деинсталляцию из системы (запись собственного кода в системные файлы или подмена собой системных приложений), ищут и удаляют программы-конкуренты, занимая их место. В них могут содержаться модули для сбора и отправки третьим лицам информации о посещаемых сайтах и вводимых владельцем компьютера данных. Кроме того, представители класса adware могут конфликтовать с установленным программным обеспечением, а это, в свою очередь, чревато серьезными негативными последствиями для информационной системы.

Еще одним отрицательным свойством adware-программ является подмена результатов поиска информации в Интернет. Перехватывая запросы ВЭБ-браузеров, такие программы могут перенаправить пользователя на нужный рекламодателю сайт вне зависимости от того, какой адрес интернет-ресурса он набрал в адресном поле.

3.4 Спам

В последние годы в области информационной безопасности появилось новое понятие - спам. Под спамом понимают несанкционированные массовые не запрошенные электронные почтовые рассылки, не имеющие конкретного адресата. Дело в том, что такие рассылки наносят серьезный ущерб информационным системам. Если изначально спам был просто назойливой рекламой, то сегодня он составляет отдельный вид сетевых информационных угроз [28].

Термин «СПАМ» ведет свое происхождение от от старого (1972 г.) скетча английской комик-группы «Monty Python Flying Circus», в котором посетители ресторанчика, пытающиеся сделать заказ, вынуждены слушать хор викингов, воспевающий мясные консервы (SPAM). В меню этого ресторана все блюда состоят из содержимого этих консервов.

Применительно к навязчивой сетевой рекламе термин «СПАМ» стал употребляться несколько лет назад, когда рекламные компании начали публиковать в новостных конференциях Usenet свои рекламные объявления. На счастье подписчиков таких групп новостей продолжалось это недолго, так как технология Usenet предусматривает любую фильтрацию сообщений, и администраторы конференций просто удаляли спам ранее, чем он достигал большого числа людей. Потерпев здесь неудачу, спамеры переключились на рассылку рекламы по группам адресатов.

Тематика непрошеной корреспонденции варьируется в зависимости от сезона, уровня покупательской способности населения и прочих факторов, однако практически неизменно более половины всего спама отвечает следующим темам: «Для взрослых», «Образование», «Медицина и здоровый образ жизни», «Услуги по электронной рекламе», «Личные финансы», «Отдых и путешествия». Начинает задействоваться спам и в политической агитации. На волне выборов различного уровня доля «политического» спама может серьезно возрасти.

Российские аферисты постепенно перенимают и другой вид мошенничества, развитый за рубежом в силу глобального участия населения в играх на бирже. Появляются спамерские письма, советующие срочно продавать или покупать акции некоей компании. Цель - попытка повлиять на курс акций ради крупной биржевой игры.

По данным ведущих отечественных провайдеров, объем спама в русском сегменте Интернета составляет в среднем до 85% от общего количества входящей электронной почты (от 44,1% до 91% почтового трафика - в 2006 году). Ущерб от спама в России, например - в 2006 году составил более 200 млн евро. Наиболее подробное и объективное исследование такого явления, как спам, в России проводит лаборатория «Спамтест» - подразделение компании «Ашманов и партнеры» (http://www.ashmanov.com/).

Распространение спама приобрело угрожающие масштабы. Его рост превзошел самые пессимистичные прогнозы. Если в конце 2002 г. спам составлял 30-40% от общего числа электронных писем в мире, то уже в 2003 г. его доля превысила 50%, а к концу 2004 года спам составлял около 65-70% всей входящей корреспонденции в публичных почтовых службах Рунета. На сегодняшний день доля спама в русской части Интернета оценивается в 75-80% от общего объема электронной почты.

Убытки от спама, на первый взгляд, незначительные для отдельного пользователя, в масштабах крупных организаций весьма велики. По разным оценкам, на спаме предприятия теряют от $50 до $200 в год в расчете на одного офисного сотрудника. В результате в 2003 г. ущерб от спама по порядку величины стал сравним с потерями, нанесенными мировому сообществу компьютерными вирусами и злоумышленниками. По данным европейских источников, убытки во всем мире составляют $10 млрд ежегодно.

Сегодня спам-рассылки являются одним из основных методов осуществления информационных атак в сети. Такие рассылки являются наиболее распространенным способом доставки почтовых вирусов и других потенциально опасных программ.

Способы рассылки спама различны. Эволюция способов рассылки определялась совершенствованием средств фильтрации. Как только один из методов рассылки начинает преобладать, появляются эффективные средства борьбы с ним, и спамерам приходится менять технологию. В результате, сегодня спам-почта имеет ряд технологических особенностей.

Распределенность спам-рассылок.

Существенная доля спам-сообщений рассылается через сети инфицированных компьютеров (зомби). Для заражения компьютера на него необходимо установить «троянское» программное обеспечение, являющееся proxy-сервером, что позволяет в дальнейшем пользоваться данной машиной - как посредником при пересылке спама. Как правило, отдельный инфицированный компьютер используется для посылки небольшой доли сообщений, при этом в рассылке участвуют сотни и тысячи пользовательских машин. Спамерам удалось наладить сквозной мониторинг доставки сообщений, в результате письмо, отвергнутое при попытке доставки с одного IP-адреса, отправляется заново с другого IP. Это делает фильтрацию почты по «черным спискам», содержащим базу адресов, наиболее часто используемых спамерами (DNSBL-спискам - Dnsbl-DNS Black lists «черные списки доменных имен Интернета») неэффективной.

Уникальность спам-сообщений.

Спам-сообщения, рекламирующие один и тот же товар или услугу, но отправленные пользователям разными маршрутами, могут быть уникальны. Другими словами, в каждое отдельное письмо вносятся случайные последовательности символов, персональные обращения, анекдоты, большие куски связного текста и так далее, что делает спам-сообщения невидимыми для фильтров, основанных на технологии проверки сигнатуры или одинакового текста..

К середине 2003 г. сформировался механизм спамерской рассылки, обладающий определенными характерными признаками, своеобразная типовая «спам-машина»:

- участие в рассылке нескольких десятков тысяч инфицированных пользовательских машин;

- наличие профессионального ПО для спама и автоматическое скачивание обновлений данного ПО;

- автоматическая модификация писем при посылке, в том числе, модификация и частичный перебор почтовых адресов;

- организация постоянного обмена информацией между спам-серверами.

Организация «псевдорассылок».

Для борьбы со спам-фильтрами нередко спамерами используется прием - «спамерские псевдорассылки». Это анонимные рассылки, не содержащие никаких предложений. Чаще всего в тексте подобных писем содержится бессмысленный набор символов или дата, или письмо вообще не имеет никакого текста, ни аттачмента. Целью подобных рассылок является общее «замусоривание» почтового трафика, и затруднение работы антиспамового ПО, особенно вероятностных статистических (байесовских) фильтров.

Использование графики.

Другим известным приемом борьбы со спам-фильтрами является создание рассылок, в которых рекламный текст сообщения представлен в виде изображения. Начиная от замены на картинки отдельных букв сообщения, до полностью графических объявлений. Наиболее активно в рассылках представлены форматы *.gif и *.jpeg, что связано с хорошим сжатием изображений в этих форматах.

Технология модифицируемого графического спама была опробована в 2003-2004 годах и тогда же была фактически заморожена, в основном из-за нехватки вычислительных ресурсов на генерацию разных картинок в ходе одной рассылки. Тогда спамеры достаточно быстро вернулись к использованию средств языка HTML.

В 2005 году спамеры в основном стремились обойти спам-фильтры за счет увеличения скорости рассылки спама. Однако в 2006 году большая часть антиспам-модулей стала реагировать на спам быстрее, чем раньше. По этой причине спамерам, которые уже не имели возможности принципиально увеличивать скорость рассылок, пришлось возрождать и развивать старые трюки по уникальному изменению каждого почтового сообщения.

В 2006 году спамеры снова сделали ставку на графику. Наиболее успешными при использовании «графического» спама оказались две технологии:

- доведенная до совершенства модификация графических вложений в пределах одной рассылки (в каждом отдельном образце спам-рассылки меняются параметры вложенной «картинки» - шрит, цвет символов, фон)

- новинка 2006 года - анимированный спам.

Анимированный спам.

В августе 2006 года спамеры начали активно использовать технологию анимированного спама. Пик анимированного спама пришелся на сентябрь-октябрь, с ноября и до конца года количество и доля анимации резко уменьшились.

Спамеры использовали GIF-анимацию, т.к. она воспроизводится всеми популярными браузерами. Анимированное вложение содержало от трех до нескольких десятков кадров. При этом значимым являлся один или часть кадров, т.е. только они содержали информационную составляющую. Все остальные кадры были предназначены для «зашумливания» анимации. Они не несли смысловой нагрузки и содержали элементы фона, геометрические фигуры и т.п.

Значимые кадры демонстрировались пользователю от нескольких секунд до 10 минут, а вспомогательные - всего десятые доли секунды, и человеческий глаз просто не успевал их воспринять. Потом изображение повторялось. Дальнейшее развитие технологии: текст спамерского предложения разносится по разным кадрам, на каждом - по 1-2 строчки из рекламного письма. Кадры накладываются друг на друга, и в итоге пользователь видит полный текст спамерского предложения. В анимации по-прежнему сохранены «зашумленные» кадры в начале и в конце. Данная мера предназначена для борьбы с OCR-технологиями (распознавание текста из графики), которые разработчики спам-фильтров могут противопоставить спамерам.

Несмотря на то что с появлением спамерской анимации все разработчики антиспамерского ПО столкнулись с определенными сложностями, с технической точки зрения проблема оказалась не так сложна, и серьезной угрозы для почты анимированный спам не представляет.

Модификация текста сообщения.

Один из наиболее популярных технических приемов спамеров - это всевозможные модификации текста сообщения. Самым распространенным является метод модификации слов в тексте письма. Для реализации данного метода используются следующие подходы:

- использование небуквенных символов для разбиения слова (например, пробелов или точек, как в слове «v.i.a.g.r.a»);

- использование одинаковых по написанию букв разных алфавитов (например, буква «эс» русского и «си» латинского алфавитов не отличаются внешне, но использование случайных замен на латинские буквы в русских словах может привести к существенному ухудшению качества работы лексических фильтров);

- произвольное удвоение букв в словах или «дребезг клавиатуры» в терминологии спамеров («уддвоеение»);

- внедрение в текст непечатаемых символов (символов, которые не отображаются в текстовом режиме в данной кодировке).

Генерация подобных сообщений сегодня происходит в автоматическом режиме, с использованием специальных шаблонов. С некоторыми из этих способов современные спам-фильтры могут справиться достаточно легко (тот же «дребезг клавиатуры»), с другими ситуация сложнее, но главное - при использовании этого метода «читаемость» сообщения может пострадать.

HTML-трюки.

Еще одной разновидностью модификации текста сообщения являются технические приемы, основанные на возможностях использования языка HTML, и на отличиях в отображении текстов HTML различными браузерами. Наиболее распространены следующие приемы:

- добавление в сообщения «невидимого» текста (например, набранного тем же цветом, что и фон сообщения);

- использование различных размеров шрифта - крупным шрифтом отображаются смысловые фрагменты текста, а мелким, практически невидимым шрифтом набирается случайный текст.

Спамеры пытаются использовать особенности показа текста сообщения в формате HTML широко распространенных браузеров, чтобы создать ситуацию, когда один и тот же текст по-разному воспринимается человеком и фильтром. В результате контентные фильтры (фильтры по смысловому содержимому) не срабатывают, так как пытаются обработать текст, значительно отличающийся от того, который видит пользователь.

Использование технологии социальной инженерии.

Социальная инженерия представляет собой технологию использования человеческого фактора для взлома информационной безопасности. Именно человек является наиболее слабым звеном в системах защиты. Даже если корпоративная сеть оснащена самой совершенной техникой и программным обеспечением, виновником взлома может стать неопытный сотрудник, который поддался на мошеннические действия злоумышленника.

Чтобы заставить пользователя внимательно прочесть полученное письмо и отреагировать так, как нужно рекламодателю (позвонить по телефону, кликнуть по ссылке и т.п.), спамеры активно осваивают психологические способы воздействия на получателей сообщений. В частности, чтобы привлечь их внимание и спровоцировать чтение писем, спамеры пытались заставить получателей поверить, что перед ними не спам, а личные сообщения. Наиболее примитивный прием, когда спамеры добавляют в тему сообщения метки RE или FW как показатель того, что данное сообщение является ответом на предыдущую переписку или отправлено кем-то из известных адресатов. Но этот подход срабатывает не всегда, поэтому такие «простые» приемы начинают дополняться более изощренной маскировкой.

Спамеры обратились непосредственно к тексту сообщений. Теперь некоторые спамерские тексты стилистически и лексически оформляются, как личная переписка. Часто такой спам не содержит обращений или содержит обращения вида «подруга», «малышка» и т.п., чтобы создать у пользователя иллюзию, что письмо было адресовано именно ему. Иногда в подделке под личную переписку упоминаются и имена. В любом случае, пользователь может захотеть разобраться, что это за сообщение, откуда, не надо ли его куда-то переслать, и, как минимум, прочтет экземпляр спама.

Ниже приведен пример спама, замаскированного под частное письмо:

Привет ДРУЖИЩЕ!

Помнишь ты сетовал на дороговизну расходки для Своей конторы?Я нашёл ребят, которые помогают здорово сэкономит

Представляешь, они мне заправили 3 картриджа за 900 рублей, оплату приняли безналом, все доки привезли, мой бух просто прется

Их номер {xxx-xx-xx}, Ты, если, что звони не стесняйся

Пока!

Среди спамовых писем, замаскированных под личную переписку, попадаются настолько убедительные образцы, что даже специалист может ошибиться при первом взгляде на текст, не говоря уже о не слишком опытных пользователях.

3.5 Фишинг

Фишинг (англ. phishing, от fishing - рыбная ловля, выуживание и password - пароль) - вид интернет-мошенничества, цель которого - получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.

Фишинг представляет собой пришедшие на электронный почтовый ящик поддельные уведомления от банков, провайдеров, платежных систем и других организаций о том, что по какой-либо причине получателю срочно нужно передать или обновить личные данные. Причины могут называться различные. Это может быть утеря данных, поломка в системе и модификация баз данных, и т.д.

Атаки фишеров становятся все более продуманными, применяются методы социальной инженерии. Клиента пытаются напугать, придумать критичную причину для того, чтобы он выдал свою личную информацию. Как правило, сообщения содержат угрозы, например, заблокировать счет в случае невыполнения получателем требований, изложенных в сообщении («если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован»). Забавно, но часто в качестве причины, по которой пользователь якобы должен выдать конфиденциальную информацию, фишеры называют необходимость улучшить антифишинговые системы («если хотите обезопасить себя от фишинга, пройдите по этой ссылке и введите свое имя пользователя и пароль»).

Внешний вид фишинговых сайтов совпадает с официальным сайтом, под который пытаются замаскироваться мошенники. Зайдя на поддельный сайт, пользователь вводит в соответствующие строки свое имя пользователя и пароль, а далее аферисты получают доступ в лучшем случае к его почтовому ящику, в худшем - к электронному счету.

Наиболее частые жертвы фишинга - банки, электронные платежные системы, аукционы. То есть мошенников интересуют те персональные данные, которые дают доступ к деньгам. Также популярна кража личных данных электронной почты - эти данные могут пригодиться тем, кто рассылает спам или вирусы.

Характерной особенностью фишинговых писем является очень высокое качество подделки. Адресат получает письмо с логотипами банка, сайта, провайдера, выглядящее в точности так же, как настоящее. Ничего не подозревающий пользователь переходит по ссыке «Перейти на сайт и авторизоваться», но попадает на самом деле не на официальный сайт, а на фишерский его аналог, выполненный с высочайшей точностью.

Еще одной хитростью фишеров являются ссылки на сайты, очень похожие на URL оригинальных сайтов. Они могут включать в себя название настоящего URL, дополненное расширениями (например, вместо www.examplebank.com стоит www.login-examplebank.com).

Также в самом теле письма может высвечиваться ссылка на легитимный сайт, но реальный URL, на который она ссылается, будет другим. Бдительность пользователя притупляется еще тем, что в письме может быть несколько второстепенных ссылок, ведущих на официальный сайт, но основная ссылка, по которой пользователю надо пройти и авторизоваться, ведет на сайт мошенников.

Технологии фишеров совершенствуются. Так, появилось сопряженное с фишингом понятие - фарминг. Это тоже мошенничество, ставящее целью получить персональные данные пользователей, но не через почту, а прямо через официальные веб-сайты. Фармеры заменяют на серверах DNS цифровые адреса легитимных веб-сайтов на адреса поддельных, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенничества еще опасней, так как заметить подделку практически невозможно.

Согласно данным Gartner, в США в 2006 году ущерб, нанесенный одной жертве фишинга, в среднем составил 1244 долларов США. В 2005 году эта сумма не превышала 257 долларов, что свидетельствует о невероятном успехе фишеров. В России ситуация несколько иная. Из-за того, что у нас электронные платежные системы пока не столь распространены, как на Западе, ущерб от фишинга не столь велик. Но с распространением в России электронных платежных систем доля фишинга в общем почтовом потоке возрастет, и, соответственно, возрастет и ущерб от него.

Успеху фишинг-афер способствует низкий уровень осведомленности пользователей о правилах работы компаний, от имени которых действуют преступники. И хотя на многих сайтах, требующих конфиденциальной информации, опубликованы специальные предупреждения о том, что они никогда не просят сообщать свои конфиденциальные данные в письмах, пользователи продолжают слать свои пароли мошенникам. Поэтому несколько лет назад была создана Anti-Phishing Working Group (APWG) - группа по борьбе с фишингом, в которую входят как компании-«мишени» фишеров, так и компании, разрабатывающие анти-фишинговый/анти-спамерский софт. В рамках деятельности APWG проводятся ознакомительные мероприятия для пользователей, также члены APWG информируют друг друга о новых фишерских сайтах и угрозах. Сейчас APWG насчитывает более 2500 участников, среди которых есть крупнейшие мировые банки и ведущие IT-компании. Так что, по оптимистическим прогнозам, через некоторое время пользователи научатся остерегаться фишерских сайтов. Пока же основной защитой от фишинга остаются спам-фильтры.

4. Классификация методов защиты от вредоносного ПО

4.1 Основные методы защиты от компьютерных вирусов

На сегодняшний день основными предпосылками активности вирусного да и другого вредоносного программного обеспечения являются, в первую очередь, отсутствие встроенных средств контроля в операционных системах семейства WINDOWS, непродуманность самой идеологии безопасности этих операционных систем (хотя, в последнее время разработчик старается повысить защищенность системы путем «навешивания» дополнительных программных средств); во-вторых, наличие огромного количества ошибок в новых версиях операционных систем; и в-третьих, сложность и громоздкость коммерческого антивирусного ПО. При этом, немалую роль играет неподготовленность пользователей информационных систем в вопросах информационной безопасности.

Для защиты от вирусов, троянов и шпионского программного обеспечения, в первую очередь, конечно необходимо использовать пакеты антивирусных программ [17]. На сегодняшний день это самый распространенный и универсальный вариант антивирусной защиты персональной ЭВМ и узлов компьютерной сети - серверов и рабочих станций. Антивирусные программы позволяют обнаружить, блокировать и уничтожить основную массу вредоносного ПО. Современные антивирусы существуют как в персональном, так и в корпоративном вариантах, с возможностью удаленного администрирования.

На сегодняшний день наиболее популярными являются следующие типы программ, входящих в пакет антивирусного ПО:

- сканер - программа, проверяющая носители информации, подключенные к ЭВМ (жеские диски, компакт-диски, и т. п.) на наличие тел компьютерных вирусов, содержащихся в файлах и системных секторах;

- монитор - резидентный модуль, находящийся постоянно в оперативной памяти, либо автоматически подгружаемый в определенные периоды работы компьютера, и отслеживающий все файловые операции в системе. Позволяет обнаружить и удалить вирус до момента реального заражения системы в целом. Резидентный модуль может быть реализован как в функционально интегрированном исполнении, так и в виде подмодулей, выполняющих отдельные функции;

- инспектор (ревизор) - ранее - отдельная программа, в настоящее время - функционально вошедшая в некоторые реализации антивирусных сканеров. Она позволяет контролировать состояние файловой системы ЭВМ, производить поиск измененных и новых файлов, сравнивая состояние файлов и каталогов с исходным, отраженным в собственной базе данных.

Сегодня используется несколько основных методик программного обнаружения и защиты от компьютерных вирусов:

- сканирование;

- эвристический анализ;

- использование антивирусных мониторов;

- обнаружение изменений;

- поведенческие блокираторы;

- использование антивирусов, встроенных в BIOS компьютера.

Кроме того, практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов (конечно, если это возможно).

Сканирование.

Самая простая методика поиска вирусов заключается в том, что антивирусный сканер последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. (Под сигнатурой понимается уникальная последовательность байтов, принадлежащая телу вируса и не встречающаяся в других программах).

Антивирусные сканеры способны найти только уже известные вирусы, для которых определена сигнатура. Сигнатура должна быть помещена в базу данных каждого проинсталлированного антивирусного пакета. При отсутствии сигнатуры какого-либо вируса в антивирусной базе, сканер данный вирус не обнаружит, даже при наличии вторичных признаков заражения системы. Поэтому, применение одних программ-сканеров не защищает компьютер от проникновения новых вирусов.

Для полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, также сложно выделить сигнатуру, поэтому антивирусные сканеры их обнаруживают не всегда.

Не менее сложно обнаружить в системе стелс - вирусы, т.к. они маскируют свое тело на диске с помощью различных «уловок» (Stealth - уловка, англ.), доступных в операционной системе.

Эвристический анализ.

Считается, что эвристический анализ позволяет обнаруживать неизвестные ранее вирусы при отсутствии сигнатур в базе данных антивирусного ПО.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные сектора дисков и внешних накопителей, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы. Практически все современные антивирусные программы реализуют собственные методы эвристического анализа.

Антивирусные мониторы.

Существует целый класс антивирусных программ-мониторов, которые постоянно находятся в памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами, особенно если эти действия касаются работы с файлами.

Монитор автоматически проверяет все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопированные на жесткий диск с дискеты либо компакт диска. Антивирусный монитор сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие.

Пример такой программы - сторож Spider Guard, который входит в комплект сканера Doctor Web, разработанного Игорем Даниловым (http://www.drweb.ru/), и выполняет функции антивирусного монитора.

Обнаружение изменений.

Антивирусные программы, называемые ревизорами (инспекторами) диска, не выполняют поиск вирусов по сигнатурам. Они предварительно запоминают характеристики файловых систем логических дисков (наличие, размер, контрольная сумма и место расположения файлов, и т.д.), а затем проверяют их при следующих запусках. Ревизор может обнаружить изменения, сделанные как известным, так и неизвестным вирусом. Результаты «инспекции» заносятся в специальный файл отчета, и доступны для визуальной оценки, после проверки, статистика изменений заносится в базу данных программы. При наличии интеграции с антивирусным сканером, список изменений передается ему в качестве задания для сканирования. В этом случае время сканирования значительно сокращается.

Из характера работы программы-ревизора можно сделать вывод, что её инсталляцию и первый запуск необходимо проводить на «чистой» ЭВМ.

В качестве примеров ревизоров диска можно привести программу Advanced Diskinfoscope (ADinf), разработанную в ЗАО "ДиалогНаука" (http://www.dials.ru/, http://www.adinf.ru/), и ревизор AVP Inspector производства ЗАО "Лаборатория Касперского" (http://www.kaspersky.ru/).

К сожалению, и у ревизоров есть свои недостатки. Во-первых, сегодня известны сетевые черви (н-р slammer) которые обитают исключительно в памяти ЭВМ, внедряясь в запущенные программы и сервисы, и никаких изменений на дисках не делают. Во-вторых, ревизоры неспособны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус обосновался на компьютере. И в-третьих, они не могут обнаружить однозначное наличие вируса в новых файлах, появившихся на компьютере, поскольку в их базах данных отсутствует необходимая информация, что обязывает проверять все новые файлы антивирусным сканером.

Поведенческие блокираторы.

Технология поведенческого анализа на сегодняшний день является наиболее перспективной. Она позволяет обнаруживать и новые версии вредоносного ПО, и те, сигнатуры которых есть в антивирусной базе. Поведенческий блокиратор - это резидентная программа, следящая за всеми действиями запущенных приложений и проверяющая их на допустимость.

Узкое звено этой технологии - определение вредоносности действий. Если бы все операции можно было четко разделить на две группы - свойственные вирусам и свойственные всем остальным программам, то проблем с вирусами больше никогда бы не было. На практике даже операционная система в процессе работы осуществляет вирусоподобные действия, вызывающие реакцию поведенческого блокиратора.

Чтобы решить эту проблему, существует несколько путей. Самый простой: обеспечить постоянный контроль над программой со стороны пользователя. При обнаружении подозрительных действий блокиратор выдает диалоговое окно, содержащее данные о программе-нарушителе и ее «желаниях», и запрашивает разрешение у пользователя. Этот способ не прошел испытания временем, так как человеку приходится постоянно реагировать на системные события.

Второй способ был реализован, в частности, «Лабораторией Касперского» в модуле Office Guard - специализированном модуле, предназначенном для работы в приложениях Microsoft Office. Его отличительная особенность состоит в том, что блокиратор реагирует лишь на события, возникающие в результате выполнения макрокоманд MSOffice, число которых неизмеримо меньше, чем общее число событий системы и приложений. Более того, все действия, которые может совершить макропрограмма, строго ограничены и зависят лишь от языка Visual Basic for Application. Таким образом, среди них легко вычленить опасные и предотвратить их. В этом случае, когда множество всех операций конечно и исследуемо, модуль Office Guard дает 100%-ную гарантию безопасности (защиты от макровирусов).

В VBA существует ограниченный набор команд, которые макровирусы могут использовать для своих нужд. Наиболее употребительные из них - отключение запроса на сохранение шаблона Normal.dot (команда Application.Options.SaveNormalPrompt = False), отключение защиты от вирусов (Application.Options.VirusProtection = False), попытка вставить свой код в другой макрос (функция WordBasic.MacroCopy) и другие. Как только макровирус попытается выполнить хотя бы одно из этих действий, поведенческий блокиратор в зависимости от настроек либо полностью блокирует вредоносную операцию, либо приостановит ее выполнение и запросит разрешение у пользователя.

Следует обратить внимание, что из-за коммерциализации антивирусного ПО, поведенческий блокиратор, как правило, только предотвращает опасные действия вирусов, но не идентифицирует вредителя и тем более не лечит зараженные объекты. Таким образом, использование только поведенческого блокиратора вряд ли позволит создать полноценную антивирусную защиту. Это важное дополнение к антивирусной системе, включающей сканер, монитор и ревизор, которое поможет затруднить проникновение в ЭВМ неизвестных вирусов и не допустит их дальнейшего распространения в уже пораженной системе.

Защита, встроенная в BIOS компьютера.

В BIOS ЭВМ тоже иногда встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. Если какая-либо программа пытается изменить содержимое загрузочных секторов, срабатывает защита, и пользователь получает соответствующее предупреждение.

4.2 Дополнительные рекомендации по защите от вредоносного ПО

Системный администратор всегда должен помнить, что вредоносная программа имеет в системе такие же права, что и пользователь, под чьим сеансом она активизировалась на зараженном компьютере (исключение составляют вирусы, использующие уязвимости системных сервисов, запущенных в режиме сервера, и имеющих полный доступ к системе). То есть, он может попасть во все каталоги, в том числе и сетевые, доступные этому пользователю, и поразить все возможные ресурсы данного пользователя в системе.

Исходя из вышесказанного, можно сделать вывод, что пользователь в повседневной деятельности должен использовать сеансы работы с ограниченными правами. Мысль сама по себе не нова, но увы, очень часто можно встретить рабочие станции (особенно под управлением ОС Windows), на которых по умолчанию настроен только один пользователь - администратор системы.

В литературе весьма настойчиво пропагандируется, что защититься от вирусов и другого вредоносного ПО можно лишь при помощи сложных (и дорогостоящих) антивирусных программ, и якобы только под их защитой вы можете чувствовать себя в полной безопасности. Это не совсем так - знакомство с особенностями строения и способами внедрения компьютерных вирусов позволяет вовремя их обнаружить и локализовать, даже если под рукой нет подходящей антивирусной программы. Давайте рассмотрим: какие дополнительные приемы борьбы существуют. Так как ОС Windows пока еще является наиболее распространенной операционной системой, то основная часть приемов будет относится к ней.

Дополнительные рекомендации по борьбе с Почтовыми вирусами.

Никогда не стоит открывать прикрепленные к письмам файлы, в случае получения писем со странным или подозрительным содержимым, даже если в качестве адреса отправителя прописан адрес вашего доверенного абонента. Компьютер абонента может быть заражен почтовым вирусом. Помните: спам так же может быть источником заразы!

Сегодня вирусописатели нередко используют приемы социального инжиниринга. Например, можно получить такое письмо:

От: <*****@****.**>

Кому: ********@******.*****.**

Тема: Привет от Иришки!

Приветик! Давно не виделись! Что молчишь? А помнишь как здорово было летом…

Я решила сделать тебе подарок. Отправляю тебе Flash-ролик, который я сделала о нас с тобой, и о нашем отдыхе. Просто запусти его, и наслаждайся…

К письму прикреплен файл «Privet.exe». Файл может оказаться трояном, действительно запускающим какой-либо медиа-ролик, и одновременно заражающим вашу систему, а может оказаться банальным зараженным исполняемым файлом, который в лучшем случае выдаст вам надпись, что программа-плеер не может быть запущена из-за системной ошибки. Наслаждайтесь …

В любом случае, к подобным письмам нужно отнестись серьезно. Если письмо не вызывает интереса - удалите его. Если прикрепленный файл может быть вам нужен для каких-либо целей - проверьте его антивирусной программой (многие популярные почтовые сервисы сейчас дают такую возможность), при отсутствии такой возможности - сохраните файл с расширением « .txt», чтобы случайно не запустить его, и исследуйте при помощи какого-либо подходящего редактора.

Дополнительные рекомендации по борьбе с сетевыми червями, троянами, рекламным и шпионским ПО.

Программы данной группы должны иметь возможность самостоятельного запуска в системе. Исходя из этого, в ОС WINDOWS необходимо контролировать папку «Автозагрузка», ключи системного реестра, отвечающие за автоматическую загрузку программ, а так же загрузку дополнительных модулей сторонних разработчиков для некоторых программ.

Путь к папке «Автозагрузка» в Windows по умолчанию выглядит так:

…\Documents and Settings\<Имя пользователя>\ Главное меню \Программы\Автозагрузка

где, <Имя пользователя> - имя домашнего каталога пользователя

или

…\Documents and Settings\All Users\Главное меню \Программы \Автозагрузка

папка автозагрузки программ для всех пользователей.

Имея права администратора системы, вы при помощи любого файлового менеджера можете добраться до содержимого этих папок. Либо войдите через меню: Пуск/ Программы/ Автозагрузка , но в этом случае вам будет доступна только папка текущего пользователя.

Корме того, возможен такой прием, как подмена ярлыка программы в папках автозагрузки. В свойствах ярлыка, в поле «Объект» Троян может прописать путь к требуемому запускаемому файлу, заменив «хозяина», или, что еще более эффективно, к командному файлу, запускающему как пользовательскую программу, так и вредоносное ПО.

Если при входе пользователя в систему удерживать нажатой клавишу «Shift», то программы из папок «Автозагрузка» запускаться не будут.

В Windows 9х можно найти строки автозапуска в системных файлах Win.ini и System.ini. Иногда троян изменяет их, добавляя ссылки на себя в секциях «run=» или «load=». Эти файлы расположены в директории Windows.

Ключи системного реестра можно проконтролировать с помощью редактора реестра regedit, (regedt32 в Windows 2000 и более поздних) или других подобных программ. При этом необходимо помнить, что повреждение реестра ведет к потере работоспособности операционной системы.

Нас интересуют следующие ключи системного реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunServices;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunОnce;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunServicesOnce.

Ключи, в наименовании которых присутствует слово «… Once», используются только в процессе инсталляции или деинсталляции программ, и при обычном режиме работы они должны быть пусты.

В операционных системах Windows серии NT (Win NT, Win 2000, Win XP) способы автозапуска программ в целом почти идентичны системам Windows 9x, однако имеется ряд разделов в реестре, специфичных только для этих систем.

Например, ключ реестра, указывающий адрес папки автозагрузки, общей для всех пользователей:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer \User Shell Folders

параметр «Common Startup»

или, ключ реестра, указывающий адрес папки автозагрузки для текущего пользователя:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer \User Shell Folders параметр «Startup»

В Windows серии NT могут иметь место дополнительные параметры автозапуска. В следующих разделах реестра:

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion \Windows

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT \CurrentVersion\Windows

могут присутствовать строковые параметры Load (программы, запуск которых в нем прописан, загружаются минимизированными) и Run, в которые при установке Windows серии NT поверх Windows 9x переносится соответствующий список программ для автозапуска из аналогичных параметров файла win.ini.

К этим параметрам реестра применимы те же правила написания, что и к соответствующим параметрам win.ini. Если же наследования этого списка из предыдущей ОС не происходит, то по умолчанию значением этих параметров является пробел.

...