Хакерские утилиты и прочие вредоносные программы

Спам

Английское слово Spam произошло от словосочетания spiced ham - "ветчина со специями". Это название родилось в стенах американской компании Hormel, которая запатентовала его как торговую марку. История началась в 30-е годы, когда у компании скопился огромный запас второсортного мяса, и Hormel начала массированную маркетинговую кампанию по сбыту своих залёжей. Новоиспеченный спам удалось в большом количестве продать американской армии, которая не смогла справиться с ним в одиночку и поспешила поделиться со странами-союзниками. Запасов хватило до конца сороковых, в послевоенной Англии спам являлся одним из немногих продуктов питания.

Если говорить о спаме как о массовой непрошеной рассылке по электронной почте, то его история берет свое начало 5 марта 1994 года. В этот день американская юридическая компания Саntеr аnd Siеgе1 отправила по нескольким конференциям Usenet рекламную информацию о лотерее US Green Саr.

Год от года объем спамерcких рассылок растет, развиваются технологии рассылки спама, спам меняет свою тематику, стиль обращения к пользователям.

В последнее время характер спама становится все более криминальным, спамерские письма все чаще маскируются под служебные сообщения известных интернет-сервисов и общественных организаций.

К основным видам спама относятся:

• влияние на котировки акций:

• фитинг;

• черный пиар;

• нигерийские письма;

• источник слухов;

• пустые письма.

Влияние на котировки акций. В настоящее время происходит стремительный рост количества рассылок предложений по инвестициям и игре на фондовой бирже. Этот спам предлагает информацию о динамике акций той или иной компании на фондовой бирже. Часто информация подается как "инсайдерская", случайно попавшая к данному отправителю письма. Фактически это попытка повлиять на предпочтения инвесторов и курс акций.

Фишинг (ловля на удочку) - это распространение поддельных сообщений от имени банков или финансовых компаний. Целью такого сообщения является сбор логинов, паролей и пин-кодов пользователей.

Обычно такой спам содержит текст с предупреждением об обнаруженых дырах в безопасности денежных операций "онлайн", в качестве мер предосторожности предлагается зайти на сайт и подтвердить/сменить пароль доступа к счету или пин-код банковской карты.

Естественно, ссылки в таком письме ведут не на настоящие банковские сайты, а на поддельные (спамерские) сайты. Ворованные коды/пароли можно использовать как для доступа к счету, так и для оплаты покупок в интернет-магазинах. К настоящему времени спамеры перешли на новые технологии, и теперь фишинг-сообщения могут содержать "шпионский" скрипт, который перехватывает коды и/или пароли при вводе их на официальном банковском сайте и пересылает спамеру. Для активации скрипта достаточно просто открыть сообщение.

Пример типичного фишинг-сообщения.

From: CityBank

То: Иванов Иван Иванович

Subject: Уведомление о получении платежа

Уважаемый клиент!

На Ваш текущий счет был получен перевод в иностранной валюте на сумму, превышающую USD 2.000. В соответствии с пользовательским соглашением CityBank, Вам необходимо подтвердить этот перевод для его успешного зачисления на Ваш счет. Для подтверждения платежа просим Вас зайти в программу управления Вашим счетом CityBank и следовать предложенным инструкциям.

Если подтверждение не будет получено в течение 48 часов, платеж будет возвращен отправителю.

Длявхода в программу CityBank, нажмите сюда >>

С уважением, Служба CityBank

Черный пиар. Это акция, которая имеет цель - опорочить ту или иную фирму, компанию, политического кандидата и т.п. Эти рассылки имеют "негативный" характер, т.е. они агитируют не "за", а "против" (в письмах даются причины, почему не надо голосовать за того или иного кандидата)

Нигерийские письма. Так называют спам, написанный от имени пленных лиц, обычно - граждан стран с нестабильной экономической ситуацией, воспринимаемых публикой как рассадник коррупции. Первый зафиксированный спам такого типа рассылался от имени вымышленных чиновников, именно поэтому он и получил название "нигерийских писем". Автор такого письма обычно утверждает, что он располагает миллионами, но они приобретены не совсем законными способами или же хранятся в обход закону. Например, это украденные иностранные инвестиции или гранты ООН. Дальше автор письма объясняет, что по этой причине он не может более держать деньги на счету в нигерийском банке, и что ему срочно требуется счет в банке, куда можно перечислить "грязные" деньги. В качестве вознаграждения за помощь предлагается от 10% до 30% от заявленной в письме суммы. Идея мошенничества заключается в том, что доверчивый пользователь предоставит автору письма доступ к своему счету. Нетрудно предугадать результат - все деньги с этого счета будут сняты и уйдут в неизвестном направлении.

Источник слухов. Нежелательная корреспонденция бывает разных видов. Пользователи Рунета привыкли считать спамом сообщения, несущие более или менее ярко выраженную рекламную компоненту, но спам более разнообразен, чем это кажется на первый взгляд. Организаторы данной рассылки инициируют первые несколько писем, содержащих эмоционально нагруженные сведения о потенциальной опасности (сведения о заражении питьевых источников, готовящемся теракте и т.п.) или просьбы о помощи жертвам стихийных бедствий.

Пользователи склонны доверчиво относится к таким письмам и рассылаю их копии дальше по спискам адресов в своих адресных книгах. По массовости такие пересылки оказываются вполне сопоставимы со средней спамерской рассылкой, и уступают они только в скорости распространения. Пример такого письма.

Здравствуйте

Сообщаемая мной информация не слух, а официальная информация,

разосланная ФСБ телеграммами по администрациям больниц, поликлиник, скорой помощи Москвы и Московской области (это стандартная процедура в случае угрозы вреда здоровью массе людей, т.к. данные службы должны быть в первую очередь в курсе). Информация получена от моего родственника, который как раз и работает в "скорой", соответствующие объявления уже развешены во многих лечебных учреждениях.

Информация: "По имеющейся у спецслужб информации в настоящее время планируется террористическая акция по отравлению питьевой воды в Москве или в Московской области, биологическое (например, сальмонэлиоз) или химическое (например, цианид). К сожалению, точной информации по месту и характеру отравления нет. Но необходимо уделить особое внимание всем случаям отравлений, особенно массовым".

Меры предосторожности:

Пить только кипяченую воду (ни в коем случае сырую), желательно предварительно пропущенную через очищающие фильтры. Предупредить всех.

Пустые письма. С 2003 года у спамеров сложилась практика периодически проводить рассылки содержательно "пустых", т.е. не рекламных сообщений. Иногда это действительно пустые письма (нет контента), иногда письма с единственны словом "привет" или "тест", довольно часто рассылки, содержат бессмысленные последовательности символов.

Такие рассылки преследуют сразу несколько целей. С одной стороны, это обычное тестирование нового или модифицированного спамерского программного обеспечения и т. п. С другой стороны, "пустые" рассылки довольно легко проходят антиспам-фильтры (не содержат спамерского контента), вызывая у пользователе понятное раздражение и скепсис по отношению к фильтрации спама.

Они также создают большую дополнительную нагрузку на каналы связи, что может выражаться в существенном снижении скорости обмена электронной корреспонденцией на время прохождения спамерской рассылки.

К данной категории относятся:

· утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);

· программные библиотеки, разработанные для создания вредоносных программ;

· хакерские утилиты сокрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов)

· «злые шутки», затрудняющие работу с компьютером;

· программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;

· прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.

Классификация прочих вредоносных программ. К прочим вредоносным относятся разнообразные программы, которые не представляют угрозы непосредственно компьютеру, на котором исполняются, а разработаны для создания других вирусов или троянских программ, организации DOS-атак на удаленные сервера, взлома, других компьютеров и т. п.

DOS,DDOS - сетевые атаки. Программы данного типа реализуют атаки на удаленные сервера, посылая на них запросы, что приводит к отказу в обслуживании, если ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов (DOS - Denial of Service). DOS-атаки реализуют атаку с одного компьютера с ведома пользователя. DDOS-программы (Distributed DOS) реализуют распределенные атаки компьютеров, причем без ведома пользователя зараженного компьютера. Для этого DDOS-программа засылается любым способом на компьютер «жертв-посредников» и после запуска в зависимости от текущей даты или по команде от «хозяина» начинает DOS-атаку на указанный сервер в сети.

Некоторые компьютерные черви содержат в себе DOS--процедуры, атакующие сайты, которые по каким-либо причинам «невзлюбил» автор червя. Так, червь Codered 20 августа 2001 организовал успешную атаку на официальный сайт президента США, а червь Муdооm.а 1 февраля 2004 года «выключил» сайт SСО, производителя дистрибутивов UNIX.

Exploit, HackТооl - взломщики удаленных компьютеров. Хакерские утилиты данного класса предназначены для проникновения в удаленные компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа «bасkdооr») или для внедрения во взломанную систему вредоносных программ.

Хакерские утилиты типа «exploit» при этом используют уязвимости в ОС или приложениях, установленных на атакуемом компьютере.

Flooder-«замусоривание» сети. Эти утилиты используются для загрузки бесполезными сообщениями IRС-каналов, компьютерных пейджинговых сетей и т. д.

Constructor — конструкторы вирусов и троянских программ. Конструкторвирусов и троянских программ - это утилиты, предназначены для изготовления новых компьютерных вирусов и троянских программ. Известны конструкторы вирусов для DOS, Windows и макро-вирусов. Они позволяют генерировать исходные тексты вирусов, объектные модули, и/или непосредственно зараженные файлы.

Некоторые конструкторы снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты, наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, выбрать эффекты, сопровождающие работу вируса и т. п. Прочие конструкторы не имеют интерфейса и считывают информацию о типе вируса из конфигурационного файла.

Nuker - фатальные сетевые атаки. Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении.

Ваd-Jоkе, Ноах - злые шутки, введение пользователя в заблуждение. К ним относятся программы, которые не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности. К «злым шуткам» относятся, например, программы, которые «пугают» пользователя сообщениями о форматировании диска (хотя никакого форматирования насамом деле не происходит), детектируют вирусы в незараженных файлах, выводят странные вирусоподобные сообщения и т. д. в зависимости от чувства юмора автора такой программы.

FileCryptor, Ро1уCryptor - скрытие от антивирусных программ. Хакерские утилиты, использующиеся для шифрования других вредоносных программ с целью скрытия их содержимого от антивирусной проверки.

Ро1уЕnginе - полиморфныегенераторы. Полиморфные генераторы не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т.е. открытия, закрытия и записи в файлы, чтения и записи секторов и т.д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика.

Обычно полиморфные генераторы распространяются их авторами без ограничений в виде файла-архива. Основным файлом в архиве любого генератора является объектный модуль, содержащий этот генератор. Во всех встречавшихся генераторах этот модуль содержит внешнюю (ехtеrnа1) функцию - вызов программы генератора.

VirТоо1 - утилиты, предназначенные для облегчения написания компьютерных вирусов и для их изучения в хакерских целях.