Вредоносная программа (зловред). ИТ-Директору, ИБ - Антивирусы, ИБ - Антиспам, ИБ - Межсетевые экраны, ИБ - Предотвращения утечек информации, ИБ - Средства шифрования, Программное обеспечение
 
2017/09/13 14:56:00

Вредоносная программа (зловред)

Вредоносная программа — компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в компьютерной системе, либо для скрытого нецелевого использования ресурсов системы, либо иного воздействия, препятствующего нормальному функционированию компьютерной системы.

Каталог решений и проектов ИБ - Антивирусы доступны на TAdviser

Содержание


К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Независимо от типа, вредоносные программы способны наносить значительный ущерб, реализуя любые угрозы информации — угрозы нарушения целостности, конфиденциальности, доступности.

Типы вредоносных программ

Сетевые черви

К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:

  • проникновения на удаленные компьютеры;
  • запуска своей копии на удаленном компьютере;
  • дальнейшего распространения на другие компьютеры в сети.

Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.

Большинство известных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо веб- или FTP-ресурсе в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P и т. д.

Некоторые черви (так называемые «бесфайловые» или «пакетные» черви) распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.

Для проникновения на удаленные компьютеры и запуска своей копии черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.

Некоторые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, некоторые черви содержат троянские функции или способны заражать выполняемые файлы на локальном диске, т. е. имеют свойство троянской программы и/или компьютерного вируса.

Классические компьютерные вирусы

К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:

  • последующего запуска своего кода при каких-либо действиях пользователя;
  • дальнейшего внедрения в другие ресурсы компьютера.

В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

  • при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
  • вирус скопировал себя на съёмный носитель или заразил файлы на нем;
  • пользователь отослал электронное письмо с зараженным вложением.

Некоторые вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например бэкдор-процедуру или троянскую компоненту уничтожения информации на диске.

Троянские программы

В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).

Хакерские утилиты и прочие вредоносные программы

К данной категории относятся:

  • утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
  • программные библиотеки, разработанные для создания вредоносного ПО;
  • хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
  • «злые шутки», затрудняющие работу с компьютером;
  • программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
  • прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.

История вредоносного ПО

2017

Бизнес столкнулся с ростом числа программ-вымогателей и атак на IoT-устройства

Компания Trend Micro 13 сентября 2017 года опубликовала отчет по информационной безопасности за первое полугодие 2017 года «Цена компрометации» (The Cost of Compromise). В отчете представлены ключевые киберугрозы, которые продолжают бросать вызов развитию сферы информационных технологий. Бизнес столкнулся с ростом количества программ-вымогателей, увеличением случаев мошенничества с использованием корпоративной почты (BEC), атаками на устройства интернета вещей, а также киберпропагандой.

Так, в первой половине 2017 г. Trend Micro зафиксировала более 82 млн атак с использованием программ-вымогателей, а также более 3 тыс. попыток осуществления мошенничества с использованием корпоративной почты (BEC). Все это доказывает необходимость приоритизации мер по реагированию на возникающие угрозы. Несмотря на растущий уровень инвестиций в информационную безопасность, согласно последнему аналитическому отчету компании Forrester, на борьбу с увеличивающимся количеством корпоративных киберугроз все еще выделяется недостаточно средств.

Кроме того, с начала 2017 года:

  • Trend Micro Smart Protection Network заблокировала более 38 млрд угроз, большинство из которых представляли вредоносные электронные письма.
  • Специалистами Zero Day Initiative в программных решениях популярных вендоров были обнаружены 382 новые уязвимости.
  • Было обнаружено порядка 28 новых семейств программ-вымогателей. При этом одна только программа-вымогатель WannaCry смогла заразить беспрецедентное количество компьютеров — 300 тыс. в 150 странах.

В апреле и июне 2017 года атаки с использованием программ-вымогателей WannaCry и Petya нарушили деятельность тысяч компаний из различных отраслей по всему миру. Общая сумма потерь от этих атак, включая последующее снижение производительности и расходы на устранение последствий, по разным подсчетам составили порядка $4 млрд. Кроме того, по данным ФБР, мошенничество с использованием корпоративной почты обошлось компаниям в $5,3 млрд, все это — за первое полугодие 2017 года.

В период с января по июнь 2017 года наблюдался рост количества атак на устройства интернета вещей, а также распространение киберпропаганды. Совместно с Миланским техническим университетом (Politecnico di Milano) Trend Micro продемонстрировала уязвимость промышленных роботов перед действиями хакеров. Подобные атаки в результате могут обернуться серьезными финансовыми потерями и снижением продуктивности.

Так, незащищенные подключенные устройства подвергают риску умные производства: один лишь ботнет Persirai, обнаруженный Trend Micro в апреле 2017 года, атаковал более 1 000 подключенных к сети IP-камер, при этом всего было обнаружено более 120 тыс. камер, уязвимых перед атаками вредоносной программы.

Кроме того, увеличилось количество случаев использования социальных медиа для распространения кибепропаганды. Благодаря инструментам, которые доступны на подпольных рынках, распространение фейковых новостей или негативное освещение в медиа могут приводить к серьезным финансовым потерям для компаний, чья репутация и бренд могут пострадать от киберпропаганды.

« Компаниям необходимо приоритизировать распределение бюджета для обеспечения защиты, поскольку стоимость утечки порой значительно превышает финансовые возможности бизнеса, — отметил Макс Ченг (Max Cheng), директор по информационным технологиям Trend Micro. — Ключевой темой в этом году по-прежнему остается большое количество кибератак на предприятия по всему миру. Тенденция, вероятно, останется такой же и во второй половине 2017 г. Все это происходит на фоне того, что компании перестают относиться к кибербезопасности только как к защите информации, а рассматривают это в качестве инвестиции в свое будущее. »

Герман Клименко: 20-30% всех компьютеров в России заражены вирусом для майнинга биткоинов

Советник президента России по интернету Герман Клименко в интервью RNS в июле заявил о том, что 20-30% всех компьютеров в России заражено вирусом для майнинга биткоинов. «В регионах поменьше в силу отсутствия качества трафика, но считается, что 20-30% устройств заражено этим вирусом — айфоны и Mac поменьше», — пояснил Клименко РБК. [1]

Фото: ystav.com


По его словам, речь идет о бизнес-вирусе, который ворует данные — например, дебетовых карт — и перепродает их. При этом пользователи собственноручно запускают вирус на своих устройствах — посредством установки различных расширений.

Советник президента России по интернету также отметил, что установка вирусов для майнинга криптовалют — это на текущий момент самый прибыльный для хакеров бизнес.

«Самым распространенным и самым опасным вирусом следует считать тот вирус, который вскрывает сервер и ставит на него программу майнинга биткоинов», — указал Герман Клименко, отвечая на вопрос журналиста RNS о том, стоит ли ожидать более мощного повторения хакерской атаки вирусов, похожей на WannaCry.

Мнения игроков рынка информационной безопасности

В «Лаборатории Касперского» подтвердили слова Клименко о распространенности вирусов — майнеров биткоинов, однако не предоставили данные по масштабам заражения.

«Мы не располагаем информацией обо всех компьютерах в Москве и в России. Мы можем говорить только о наших пользователях. Среди них 6% в 2017 году подверглись атакам с целью установки майнеров, что делает это достаточно распространенным типом зловредных программ», — указал эксперт «Лаборатории Касперского» Антон Иванов (цитата по «Интерфаксу»).

Как он добавил, деятельность подобных зловредов заметно сказывается на производительности компьютеров, поскольку они используют вычислительные мощности устройства.

Со своей стороны, ведущий аналитик отдела развития «Доктор Веб» Вячеслав Медведев заявил РБК, что «если бы речь шла о 20-30%, это была бы эпидемия, и об этом бы знал каждый. Заражения майнерами есть, но сказать, что ими заражена треть пользователей, нельзя». По его словам, майнеры составляют порядка трети процента от всех найденных вредоносных программ.

Более 500 млн пользователей под прицелом Andriod-трояна SpyDealer

Эксперты в области информационной безопасности из Palo Alto Networks в июле выявили троян SpyDealer, способный похищать личные данные пользователей более чем 500 млн устройств, работающих под ОС Android. Вредоносная программа использует для этого популярные мессенджеры, SMS и запись телефонных разговоров пользователя. Кроме того, троян может делать фотографии с камеры зараженного смартфона.[2]

SpyDealer распространяется через платформы GoogleService и GoogleUpdate, а также незащищенные Wi-Fi-соединения, которые чаще всего находятся в публичных местах. Проникнув и установившись на устройстве, SpyDealer начинает контролировать все осуществляемые загрузки и статус беспроводного соединения. Вредоносной программой управляют при помощи SMS-команд, число которых достигает 50. Выполняя переданные из удалённого сервера команды, троян может похитить любые личные данные пользователя, включая номер телефона, данные IMEI, IMSI, SMS и MMS, перечень контактов, данные геолокации и информацию о текущих беспроводных соединениях. Перехват сообщений осуществляется с использованием специальных функций Android — AccessibilityService.

Под прицелом зловреда оказались пользователи WeChat, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo и Facebook Messenger. Кроме того, угрозе подвергаются пользователи предустановленного браузера Android, браузеров Firefox и Oupeng, почтовых клиентов QQ Mail, NetEase Mail, Taobao и Baidu Net Disk.

SpyDealer сможет отвечать на телефонные звонки с заданного номера, вести запись телефонных разговоров и делать несанкционированные пользователем снимки с обеих камер смартфона. Всего насчитывается более 40 приложений, к которым троян имеет доступ. Таким образом, SpyDealer, по мнению исследователей, может служить «идеальным шпионом», способным не только похитить информацию, но и вести слежку за своей жертвой.

В настоящее время наибольшее число пострадавших от SpyDealer пользователей сосредоточено в Китае, в этой же стране находится и большинство командных серверов (однако сервера есть и в США). Наибольшей угрозе подвергаются смартфоны с ОС Android версий от 2.2 до 4.4, для последующих версий внесены исправления и некоторые угрозы ликвидированы. Однако SpyDealer способен похитить сведения и из смартфонов, работающих под ОС Android 5 и более высоких версий.

По оценкам специалистов, в мире в данный момент имеется около 2 млрд Android-смартфонов, среди которых около четверти работают под устаревшими версиями операционной системы. Следовательно, около 500 млн пользователей рискуют быть подверженными атаке трояна SpyDealer. При этом SpyDealer динамично развивается и оптимизируется, и в будущем он, возможно, сможет атаковать и смартфоны, работающие под управлением свежих версий ОС Android, полагают в Palo Alto Networks.

Group-IB обнаружила новый зловред для Android, невидимый для антивирусов

Система раннего обнаружения киберугроз компании Group-IB зафиксировала активное распространение новой вредоносной программы, работающей под ОС Android. Вирус использует данные из телефонной книжки зараженного абонента, а антивирусное ПО не детектирует программу как вредоносную. Многие пользователи телефонов на базе Android за последнюю неделю получили MMS-сообщения от кого-то из своего контакт-листа со ссылкой. В начале сообщения вирус подставлял имя из записной книжки зараженного лица (см. картинку ниже).

При переходе по ссылке пользователь видел надпись «Уважаемый пользователь, вам пришла ммс-фотография. Посмотреть вы ее можете по ссылке ниже». При нажатии на кнопку «Посмотреть» на устройство загружалась вредоносная программа с расширением .APK. Также злоумышленники заботливо сопроводили спам инструкцией «Во время установки, нажмите НАСТРОЙКИ -> Разрешить установку из неизвестных источников -> OK».

Механизм работы вируса

Попадая на устройство, вредоносная программа рассылает себя по контактным листам жертвы. Параллельно она делает запрос на номер SMS-банкинга жертвы, узнает баланс счета и переводит деньги на счета, подконтрольные злоумышленникам. При этом происходит перехват входящих SMS-сообщений, в результате чего жертва не подозревает, что у нее снимают деньги, даже если подключена функция SMS-оповещений о списаниях, отметили в Group-IB.

Также в функционал программы входит показ так называемых «веб-фейков» — окон браузера, визуально схожих с окошками авторизации банковских приложений. Вводя в них данные банковских карт, жертва отправляла их злоумышленникам напрямую. В ряде случаев вредоносная программа могла также блокировать телефон.

«Эта угроза направлена на пользователей ОС Android — клиентов банков, использующих SMS-банкинг и пользователей мобильных банковских приложений. Характерно, что антивирусные программы, установленные на телефонах жертв, ни на одном из этапов работы вируса не детектировали приложение как вредоносное (и продолжают его не детектировать). Антивирусы в этой ситуации просто не помогают», — рассказал руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов.

ЛК: Количество зловредов для умных устройств удвоилось

Число вредоносных программ для атак на устройства Интернета вещей превысило семь тысяч, причем более половины из них появились за первые шесть месяцев 2017 года. Такие цифры приводят эксперты «Лаборатории Касперского». Аналитики компании также отмечают, что сейчас по всему миру работают больше 6 миллиардов подключенных к Интернету устройств, и люди подвергаются серьезной опасности. Взламывая умные гаджеты, злоумышленники получают возможность шпионить за пользователями, шантажировать их, а также использовать устройства в качестве промежуточного звена для совершения преступлений.

Специалисты «Лаборатории Касперского» провели эксперимент и настроили несколько ловушек («ханипотов»), которые имитировали различные умные устройства. Первые попытки несанционированного подключения к ним эксперты зафиксировали уже через несколько секунд. За сутки было зарегистрировано несколько десятков тысяч обращений. Среди устройств, атаки с которых наблюдали эксперты, более 63% можно определить как IP-камеры. Около 16% составили различные сетевые устройства и маршрутизаторы. Еще 1% пришелся на Wi-Fi-ретрансляторы, TV-приставки, устройства IP-телефонии, выходные ноды Tor, принтеры, устройства «умного дома». Остальные 20% устройств однозначно опознать не удалось.

Если посмотреть на географическое расположение устройств, с IP-адресов которых эксперты видели атаки на ханипоты, можно наблюдать следующую картину: в топ—3 стран вошли Китай (14% атакующих устройств), Вьетнам (12%) и Россия (7%).

Причина роста числа таких атак проста: Интернет вещей сегодня практически не защищен от киберугроз. Подавляющее большинство устройств работает на Linux, что упрощает жизнь преступникам: они могут написать одну вредоносную программу, которая будет эффективна против большого количества устройств. Кроме того, на большинстве IoT-гаджетов нет никаких защитных решений, а производители редко выпускают обновления безопасности и новые прошивки.

Китайское рекламное агентство распространяет зловред, заразивший 250 миллионов устройств

В мае 2017 года команда Threat Intelligence компании Check Point Software Technologies обнаружила чрезвычайную активность китайской вредоносной кампании, от которой пострадали уже более 250 миллионов компьютеров по всему миру. В каждой четвертой российской компании (24.35%) заражен хотя бы один компьютер. Распространяемый зловред Fireball поражает браузеры, превращая их в зомби. У Fireball две основные функции: одна заключается в способности запускать любой код и скачивать любые файлы на компьютер жертвы, а другая позволяет управлять веб-трафиком пользователя, чтобы генерировать прибыль от рекламы. В настоящее время Fireball устанавливает плагины и дополнительные конфигурации для увеличения рекламного трафика, однако он может легко превратиться в распространителя любого другого зловредного ПО.

Check Point Fireball Infection Map

Кампанией управляет крупнейшее маркетинговое агентство Rafotech, расположенное в Пекине. Rafotech использует Fireball, чтобы управлять браузерами жертв и менять поисковые системы и стартовые страницы, установленные по умолчанию, на фейковые поисковики, которые просто перенаправляют запросы на yahoo.com или Google.com. Поддельные поисковики способны собирать персональную информацию пользователей. Fireball также может шпионить за жертвами, доставлять любые зловреды и запускать любой вредоносный код на инфицированных машинах. Fireball попадает на компьютер жертвы обычно в связке с другим ПО, которое скачивает пользователь, часто даже без его согласия. Масштабы распространения Fireball поражают. В соответствии с данными аналитиков Check Point, инфицировано более 250 миллионов компьютеров по всему миру: около 25,3 миллиона в Индии (10,1%), 24,1 миллиона в Бразилии (9,6%), 16,1 миллиона в Мексике (6,4%) и 13,1 миллиона в Индонезии (5,2%). В США обнаружено около 5,5 миллиона заражений (2,2%).

По данным Check Point, процент заражения корпоративных сетей еще выше: около 20% от общего числа всех корпоративных сетей в мире. Значительное число заражений в США (10,7) и в Китае (4,7%), но особенно впечатляют данные по Индонезии (60%), Индии (43%) и Бразилии (38%).

Другим показателем высокой степени распространения является популярность поддельных поисковых систем Rafotech. Согласно аналитической системе Alexa, 14 из этих поддельных поисковых систем входят в число 10 000 наиболее популярных веб-сайтов, причем некоторые из них иногда попадают и в 1000 лучших.

С технической точки зрения, Fireball демонстрирует высокую степень мастерства его создателей: он способен избегать обнаружения, содержит многоуровневую структуру и гибкий C&C и в целом ничем не уступает другим успешным вредоносным программам.

Rafotech не признается в распространении поддельных поисковых систем, однако на своем сайте объявляет себя успешным маркетинговым агентством, охватывающим 300 миллионов пользователей по всему миру, что примерно совпадает с данными о количестве зараженных машин.

Масштабы распространения Fireball дают его модераторам, Rafotech, практически безграничную власть. Полученную из фейковых поисков приватную информацию компания может продавать мошенникам или бизнес-конкурентам жертв. Также она может доставить любой другой зловред на зараженные компьютеры. По нашим оценкам, в случае, если Rafotech решит реализовать этот потенциал, каждая пятая корпорация в мире будет находится в серьезной опасности. Ущерб может быть нанесен критически важным организациям — от крупных поставщиков услуг до операторов инфраструктуры и медицинских учреждений. Возможные потери достигают немыслимых масштабов, и на их восстановление могут уйти годы.

Данные Check Point Threat Index

Check Point Software Technologies обнаружил, что Hummingbad потерял лидерство среди вредоносных программ для мобильных устройств впервые с февраля 2016 года. Данные предоставлены в ежемесячном отчете Check Point Threat Index за январь, подготовленном командой исследователей Threat Intelligence[3].

Место Hummingbad на вершине рейтинга самых популярных мобильных вредоносных программ занял модульный бэкдор для Android Triada. Он предоставляет привилегии супер-пользователя скачанному зловреду, помогая ему проникнуть вглубь системных процессов. В общей сложности на мобильные вредоносные программы приходится 9% всех обнаруженных атак. Лидирующую позицию в общем рейтинге занимает Kelihos, ботнет, который используется для кражи биткоинов, — от него пострадали 5% организаций по всему миру.

Данные рейтинга говорят о том, что хакеры продолжают расширять арсенал инструментов для таргетированных атак на бизнес. Угрозы используются на каждом этапе заражения, включая спам-письма, рассылаемые ботами, которые содержат загрузчики, в свою очередь подселяющие «зловред» на устройство жертвы.

Количество атак на российские компании в январе существенно снизилось: Россия опустилась на 83 строчку в рейтинге самых атакуемых стран, еще месяц назад она располагалась на 55 месте. Самыми активными зловредами, атаковавшими российские организации в январе 2017 стали Conficker, InstalleRex, Cryptowall, Bedep, Kometaur, HackerDefender, Delf, Ramnit, Jeefo, Fareit.

Среди стран, которые больше всего атаковали в январе 2017 года, отметились Парагвай, Уганда и Македония. Самыми благополучными с точки зрения кибербазопасности оказались Аргентина, Черногория и Барбадос.

В общей сложности Kelihos был самым активным видом вредоносного ПО, заразившим 5% организаций по всему миру. За ним следует HackerDefender и Cryptowall, на которые приходится 4,5% атакованных компаний.

Самые активные зловреды января 2017:

  • Kelihos — Ботнет, который используется в основном для кражи биткоинов и спама. Он работает через пиринговую связь, позволяя каждому отдельному узлу выступать в качестве сервера Command & Control.
  • HackerDefender — Пользовательский руткит для Windows, может использоваться для сокрытия файлов, процессов и регистрационных ключей, а также для применения в качестве бэкдора и программы для перенаправления портов, которая работает через порты, открытые существующими службами. В результате скрытый бэкдор невозможно обнаружить традиционными средствами.
  • Cryptowall — Вымогательский зловред, который начал как двойник Cryptolocker, но в конце концов превзошел его. Cryptowall стал одним из самых выдающихся вымогателей. Он известен из-за использования шифрования AES и проведения связи C&C через анонимайзер Tor. Зловред активно распространяется через эксплойт-киты, вредоносную рекламу и фишинговые кампании.

Самые активные мобильные зловреды:

  • Triada — Модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам, поскольку помогает им внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере.
  • Hummingbad — Вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активность, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
  • Hiddad — Зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.

2016: Вредоносная реклама теперь нацелена на роутеры

Вредоносными рекламным кампаниями сегодня трудно кого-либо удивить, но специалисты Proofpoint обнаружили новую тенденцию в данной области. Теперь злоумышленники нацеливаются не на браузеры пользователей, а на их роутеры. Итоговая цель атакующих – внедрить рекламу в каждую страницу, которую посетит зараженная жертва. Интересно, что данная кампания ориентирована не на пользователей IE, как это бывает чаще всего, но на пользователей Chrome (как десктопной, так и мобильной версии)[4][5].

Действуют хакеры следующим образом: на легитимных сайтах покупаются рекламные места для размещения объявлений. Для этого атакующие используют рекламные сети AdSupply, OutBrain, Popcash, Propellerads и Taboola. В объявление встраивается вредоносный JavaScript-код, который использует WebRTC-запрос к Mozilla STUN-серверу, чтобы узнать локальный IP-адрес жертвы. Основываясь на этой информации, вредонос определяет, управляется ли локальная сеть пользователя каким-либо домашним роутером. Если ответ положительный, атака продолжается. Если же нет, пользователю показывают обычную, безвредную рекламу, и он избегает неприятностей.

Владельцам роутеров показывают совсем не безобидные объявления. Реклама переадресует их прямиком к эксплоит киту DNSChanger, который продолжает атаку. Используя стеганографию, атакующие отправляют роутеру жертвы изображение, в котором содержится AES-ключ. Вредоносная реклама использует данный ключ для дешифровки дальнейшего трафика, получаемый от DNSChanger. Так злоумышленники скрывают свои операции от внимания ИБ-специалистов.

Поле получения AES-ключа, DNSChanger передает жертве список отличительных черт 166 роутеров (включая различные модели Linksys, Netgear, D-Link, Comtrend, Pirelli и Zyxel), опираясь на который устанавливается типа роутера, который затем передается на управляющий сервер злоумышленников. На сервере лежит список уязвимостей и жестко закодированных учетных данные от различных устройств, которые и используются для перехвата контроля над роутером жертвы. Специалисты Proofpoint отмечают, что в некоторых случаях (если модель устройства позволяет), атакующие стараются создать внешнее подключение к административному порту роутера и перехватить управление напрямую.

Если хакерам удалось получить контроль над устройством, они подменяют DNS-серверы и всю легитимную рекламу своей собственной, а также встраивают рекламу на сайты, где ее не было вовсе.

Единственный способ избежать подобных проблем – не использовать дефолтные учетные данные для роутера, отключить удаленный доступ к панели управления (если это возможно), а также обновить прошивку устройства до последней версии, чтобы закрыть уязвимости и избежать эксплоитов, которые применяет DNSChanger.

2013: Тренды вредоносного ПО и кода навязчивой рекламы в мобильной среде

Корпорация Symantec опубликовало исследование, в котором был проведен обзор последних трендов вредоносного ПО и кода навязчивой рекламы (известного также как adware) в среде мобильных устройств.

Ключевые моменты исследования:

  • Уверенный рост числа программ типа «madware» на Google Play. 23% всех приложений, представленных на площадке Google Play, содержат код агрессивного навязывания рекламы, известного также как madware. В 2012 г. этот показатель составлял всего 15%;
  • Агрессивные действия, совершаемые «madware». Две трети приложений, содержащих madware-код, собирают различную информацию об устройстве, включая номер IMEI, а также имя производителя и модель устройства. Помимо этого, треть всех этих программ публикует рекламные сообщения в панели оповещений, что может раздражать пользователей;
  • Рост числа вредоносного ПО на платформе Android. В период с июня 2012 г. по июнь 2013 г. число неизвестных разновидностей вредоносного кода возросло на 69%, а число известных угроз увеличилось почти в 4 раза.

Более подробную информацию можно найти по этим адресам:

2000 – 2008 гг.

2000 год. В начале года жертвами компьютерных вирусов стали поочередно операционная система Windows 2000 и Visio, популярное приложение для создания диаграмм и блок-схем. В мае грянула попавшая в Книгу Рекордов Гиннеса эпидемия скрипт-вируса I Love You!, поразившего миллионы компьютеров в течение нескольких часов. Расследование показало, что вирус создал филиппинский студент, который не был осужден из-за отсутствия соответствующих нормативных норм в законодательстве Филиппин.

В июле же появились сразу три исключительно интересных вируса. "Star" стал первым вирусом для пакета AutoCAD. "Dilber" отличился тем, что содержал коды сразу пяти вирусов, среди которых "CIH", "SK", "Bolzano и др. В зависимости от текущей даты Dilber активировал деструктивные процедуры той или иной компоненты, из-за чего вирус получил прозвище "Шаттл, полный вирусов". Третьим стал Интернет-червь "Jer", активизировавшийся при открытии соответствующей HTML-страницы.

В августе была обнаружена первая вредоносная программа класса "Троянский конь", под названием "Liberty", предназначавшаяся для операционной системы PalmOS карманных компьютеров Palm Pilot. При запуске "Liberty" стирала файлы, но не имела никаких функций размножения. В сентябре этот новый тип вредоносных программ дополнил первый настоящий вирус для PalmOS - "Phage". Он представлял собой классический вирус-паразит, который вместо внедрения в заражаемые файлы стирал их и на их место записывал свой код. В начале сентября был обнаружен первый известный компьютерный вирус ("Stream"), способный манипулировать дополнительными потоками (ADS) файловой системы NTFS. В октябре появились первый вирус, срывающийся в информационных файлах PIF ("Fable") и первый вирус, написанный на скрипт-языке PHP ("Pirus"). В ноябре был обнаружен вирус "Hybris", автором которого стал известный бразильский вирусописатель по прозвищу Vecna. Он развил идею своего первого самообновляющегося вируса "Babylonia" и учел ранее допущенные ошибки. Главным нововведением было использование как Web-сайтов, так и электронных конференций для загрузки новых модулей вируса на зараженные компьютеры.

В том же году подписано первое международное соглашение о противодействии компьютерным вирусам.

2001 год. Основным событием 2001 г. стало широкое распространение вредоносных программ, использующих для проникновения на компьютеры бреши в системах безопасности операционных систем и приложений (например, CodeRed, Nimda, Aliz, BadtransII и др.). Вызванные ими глобальные эпидемии стали крупнейшими в истории и надолго определили пути развития антивирусной индустрии в целом. Весьма заметными событиями вирусной истории стали многочисленные варианты червя ILoveYou, почтовые черви Magistr и SirCam.

Традиционное доминирование традиционных файловых вирусов постепенно сходит на нет и основным способом размножения для вредоносных программ становится передача своего тела по локальным и глобальным сетям.

Также 2001 год ознаменовался появлением большого количества вредоносных программ, нацеленных на операционную систему Linux. Так сетевой червь Ramen, обнаруженный 19 января, за считанные дни поразил большое количество крупных корпоративных систем. В число жертв червя попали Национальная администрация по аэронавтике и космосу США (НАСА), Техасский университет A&M, Тайваньский производитель компьютерного оборудования Supermicro. Вслед за Ramen появились его клоны и новые оригинальные Linux-черви, также вызвавшие многочисленные инциденты.

Кроме того, в этом же году был обнаружен новый тип вредоносных кодов (CodeRed, BlueCode), способного активно распространяться и работать на зараженных компьютерах без использования файлов. Глобальная эпидемия сетевого червя CodeRed (по некоторым оценкам зараженными оказались более 300.000 компьютеров) подтвердила исключительную действенность технологии, используемой бестелесносными червями.

2002 год. Зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов (Sircam, Hybris, Magistr, CIH, BadtransII, Thus и др.). В течение года вредоносные программы продолжили активно проникать на новые платформы и приложения. Уже в январе с разницей всего в два дня появились flash-вирус LFM и вирус Donut, которые впервые использовали для своего распространения технологию .NET.

В середине мая были обнаружены сетевые черви Spida (заражающий SQL-серверы) и Benjamin. Последний стал вдохновителем целого семейства вредоносных программ, которые на протяжении 2002 г. непрерывно атаковали членов файлообменной сети KaZaA. Также не прекращались атаки на пользователей Linux. Червь Slapper всего за несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь Scalper также получил довольно широкое распространение.

Несомненным лидером по количеству вызванных инцидентов в 2002 г. является интернет-червь Klez. В течение 2002 года свирепствовали две из десяти существующих разновидностей этого червя - Klez.H (обнаружен 17.04.2002) и Klez.E (обнаружен 11.01.2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны Klez. Ближайшим конкурентом Klez оказался интернет-червь Lentin. В конце 2002 года он смог превзойти Klez по количеству вызванных инцидентов. Весьма заметным оказался и червь Tanatos (также известен как Bugbear), эпидемия которого разразилась в октябре 2002 года.

Среди замеченных в 2002 г. компьютерных вирусов, больше всего себя проявили макро-вирусы. Прежде всего, здесь стоит отметить Thus, TheSecond, Marker и Flop. Эти макро-вирусы для текстового редактора Microsoft Word показали удивительную живучесть. Эпидемии с их участием были зафиксированы еще в конце 90-х, но в 2002 году они пережили второе рождение. Среди Windows-вирусов больше всего заражений вызвали Elkern, CIH, FunLove и Spaces.

2003 год. Сетевой червь Lovesan, появившийся в августе 2003 года, использовал для своего распространения критическую уязвимость в операционной системе Windows. За считанные дни ему удалось заразить миллионы компьютеров по всему миру. Использованный им принцип размножения (через глобальную сеть интернет, с непосредственной атакой заражаемого компьютера, игнорируя традиционные для того времени пути распространения — электронную почту, IRC, P2P-сети) был впервые реализован еще в 1988 году в первом в истории сетевом черве Моррисона, однако затем, на протяжении почти 15 лет, ничего подобного не случалось. Lovesan был не единственным подобным червем в 2003 году. Первым стал червь Slammer, за три дня в январе 2003 сумевший заразить около полумиллиона компьютеров. Он также использовал уязвимость в программном продукте компании Microsoft — MS SQL Server. Slammer поразил компьютеры Госдепартамента США, где повредил базу данных. Консульства США по всему миру вынуждены были на 9 часов прервать процесс выдачи виз.

Почтовый червь Sobig.f появился в самом конце августа 2003 года и буквально за пару дней вызвал крупнейшую в XXI веке эпидемию почтового червя. На пике его активности практически каждое десятое электронное письмо содержало в себе такого червя. Червь не использовал какие-либо уязвимости, имел довольно простенькие темы и тексты писем, но масштабы его проникновения на пользовательские компьютеры стали настолько велики, что обнаруженная в нем функция приема команд извне (бэкдор) заставила всех антивирусных экспертов с тяжелым сердцем ожидать 22 августа 2003 года — дня, когда вирус Sobig.f на всех зараженных им компьютерах должен был получить команду от своего «создателя». Однако команда не пришла, серверы, откуда она могла быть послана, были оперативно закрыты.

В сентябре объявился червь Swen, который использовал для размножения традиционные способы — электронную почту, IRC, P2P-каналы. Особенностью данного червя стал мощнейший метод социального инжиниринга: Swen выдавал себя за специальный патч от компании Microsoft, якобы устраняющий все известные уязвимости. Письмо, содержавшее легко узнаваемые элементы официального сайта Microsoft, ссылки на другие ресурсы данной компании и грамотно составленный текст, неотразимо действовало не только на неискушенных, но и на многих опытных пользователей, заставляя их запускать приложенный к письму файл.

Последним ярким представителем 2003 года стал почтовый червь Sober. Написанный как подражание Sobig, червь использовал множество различных текстов писем, причем на разных языках, выбираемых в зависимости от страны получателя письма, и выдавал себя за утилиту для удаления Sobig.

2004 год. В начале января тысячам пользователей ICQ было разослано сообщение с просьбой посетить некий сайт. На сайте была размещена троянская программа, которая, используя одну из множества уязвимостей Internet Explorer, скрытно устанавливала и запускала троянский прокси-сервер Mitglieder,, открывавший на зараженной машине порты для рассылки спама.

Также в 2004 году произошли две эпидемии, которые смело можно назвать крупнейшими за всю историю сети интернет - распространение почтового червя MyDoom.a (январь-февраль 2004 г.) и сетевого червя Sasser.a (май 2004 г.). Mydoom известен массированной 12-дневной DDoS-атакой на веб-сайт компании SCO, начавшейся 1 февраля 2004 года. За пару часов работа сервера была полностью парализована и вернуться в нормальный режим www.sco.com смог только 5 марта. Червь Sasser в мае 2004 года поразил более 8 млн. компьютеров, а убытки от него оцениваются в 979 млн. долларов США. Для проникновения Sasser использовал уязвимость в службе LSASS Microsoft Windows.

В июне объявился Cabir — первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OS Symbian. При каждом включении зараженного телефона вирус получал управление и начинал сканировать список активных Bluetooth-соединений. Затем выбирал первое доступное соединение и пытался передать туда свой основной файл caribe.sis. Ничего деструктивного Cabir не делал - только снижал стабильность работы телефона за счет постоянных попыток сканирования активных Bluetooth-устройств.

Вскоре, в августе 2004 года появились и вирусы для PocketPC — классический вирус Duts и троянская программа Brador. Этот год также запомнился масштабными арестами вирусописателей - было осуждено около 100 хакеров, причем трое из них находились в двадцатке самых разыскиваемых ФБР преступников.

2005 год. В 2005 году наметился некоторый спад активности почтовых червей. По данным Лаборатории Касперского всего в 2005 году было 14 вирусных эпидемий, втрое меньше аналогичного показателя 2004 года (46 эпидемий). Крупнейших же эпидемий было зафиксировано всего четыре - модификации почтового червя Bagle с индексами .ах и .ау (январь), сетевой вирус-червь Mytob.c (март) и две модификации почтового червя Sober - Sober.p (май) и Sober.y (ноябрь). Самым массовым и распространенным из всех появившихся в 2005 году стало семейство червей Mytob. Это выразилось в более чем 120 обнаруженных разновидностях червей данного семейства. Вариации Mytob в течение всего года составляли более половины от общего числа вредоносных программ, выловленных в почтовом трафике.

2006 год. 2006 год продолжил основные тенденции в развитии вредоносных программ, выявленные в прошлые годы. Это преобладание троянских программ над червями и увеличение в новых образцах вредоносного кода доли программ, ориентированных на нанесение финансового ущерба пользователям. В 2006 году, по данным Лаборатории Касперского, среди всех новых семейств и вариантов вредоносных программ доля троянских программ превысила 90%. Заметными событиями года стали первые «настоящие» вирусы и черви для операционной системы MacOS, троянские программы для мобильной платформы J2ME и связанный с ними способ кражи денег у пользователя с мобильного счета. Рост числа всех новых вредоносных программ по сравнению с 2005 годом составил 41%. В 2006 году было зафиксировано 7 крупных вирусных эпидемий - вдвое меньше показателя прошлого года (14 эпидемий). Эпидемии 2006 года можно разделить на четыре группы. Это червь Nyxem.e, черви семейств Bagle и Warezov, а также несколько вариантов троянца-шифровальщика Gpсode.

2007 год. Количество вредоносных компьютерных программ в 2007 году выросло более чем вдвое. По данным ЛК, в целом за год было зарегистрировано более 220 тыс. новых вирусов. В 2007 году ежемесячно появлялось 18,348 тысячи новых компьютерных вирусов, что также более чем в два раза превышает уровень предыдущего года (8,563 тысячи.) Более половины всех вредоносных программ, рассылаемых по электронной почте в 2007 году, составляли почтовые "черви" (54,55%), за ними шли программы семейства Trojan-Downloader (универсальные загрузчики произвольного вредоносного кода из интернета, 14,87%) и Trojan-Spy (программы, ворующие конфиденциальную информацию с компьютеров пользователей и организаций, 13,41%).

Доля "троянцев" в общем объеме вредоносных программ составила 91,73%, а число таких программ выросло по сравнению с 2006 годом на 2,28%. В 2007 году значительно возросло число вредоносных программ, ориентированных исключительно на игроков онлайн-игр. Если в 2006 году было обнаружено чуть более 15 тысяч программ, ворующих пароли от онлайн-игр, то по итогам 2007 года их число приблизилось к 35 тысячам.

2008 год. В первом полугодии 2008 года аналитики «Лаборатории Касперского» обнаружили 367 772 новые вредоносные программы - в 2,9 раз больше, чем во втором полугодии 2007 года. Среднее число новых вредоносных программ, обнаруживаемых за месяц, составило 61 295,33. По сравнению со второй половиной 2007 года число новых программ увеличилось на 188,85%. Такие темпы роста значительно превосходят итоги 2007 года, когда было обнаружено на 114% вредоносных программ больше, чем в 2006 году.

2008 год не внес значительных изменений в соотношение классов вредоносных программ. Абсолютным лидером по-прежнему являются троянские программы, на которые приходится более 92% всех вредоносных программ. При этом доля троянов выросла лишь на 0,43% - это значительно меньше, чем их рост на два с лишним процента в 2007 году. Число новых троянских программ, обнаруженных в первом полугодии 2008 года, увеличилось на 190,2% по сравнению с предыдущим полугодием.

1990 – 1999 гг.

1990 год. Появились первые полиморфные вирусы – Chameleon (1260, V2P1, V2P2 и V2P6). В Болгарии появился так называемый "завод по производству вирусов". В течение этого года и ряда последующих лет было обнаружено огромное количество новых вирусов, которые имели именно болгарское происхождение. Это были целые семейства вирусов - Murphy, Nomenclatura, Beast (или 512, Number-of-Beast), новые модификации вируса Eddie и многие другие. Особенную активность проявлял некто Dark Avenger, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и сокрытия себя в системе. Там же, в Болгарии, появилась и первая BBS (VX BBS), ориентированная на обмен вирусами и информацией для вирусописателей. В этом же году были обнаружены и первые известные отечественные вирусы: "Peterburg", "Voronezh" и ростовский "LoveChild".

В июле 1990 г. произошел серьезный инцидент с английским компьютерным журналом PC Today. К каждому номеру журнала бесплатно прилагался флоппи-диск, как оказалось впоследствии, зараженный вирусом DiskKiller.

В декабре 1990 г. в Гамбурге (Германия) был создан Европейский институт компьютерных антивирусных исследований (EICAR - European Institute for Computer Anti-virus Research). Примерно в это же время, компания Symantec представила свой антивирусный продуктNorton AntiVirus.

1991 год. Вслед за болгарской VX BBS и неуловимым Dark Avenger по всему миру появляются другие станции, ориентированные на обмен вирусами, и новые вирусописатели. В Италии появляется Cracker Jack (Italian Virus Research Laboratory BBS), в Германии - Gonorrhoea, в Швеции - Demoralized Youth, в США - Hellpit, в Англии - Dead On Arrival и Semaj.

1992 год. Все большую значимость начинают приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы MS-DOS на компьютере IBM-PC. Количество вирусов растет в геометрической прогрессии. Развиваются различные антивирусные программы, выходят десятки книг и несколько регулярных журналов, посвященных вирусам. Появляется первый полиморфик-генератор MtE. Его главное предназначение - возможность интеграции в другие вирусы для обеспечения их полиморфизма. Появляются первые вирусы класса анти-антивирус, способные обходить защиту и оставался незаметными. В июле 1992 года появились первые конструкторы вирусов - VCL и PS-MPC, позволявшие создавать вирусы различных типов и модификаций. В конце этого же года появился первый вирус для Windows - Win.Vir_1_4 (10), заражающий исполняемые файлы операционной системы.

1993 год. Вирус Satan Bug поражает сотни компьютеров в Вашингтоне. Страдают даже компьютеры Белого дома. ФБР арестовало автора - им оказался 12-летний подросток. Зафиксировано появление «бомб замедленного действия» — вирусов, которые проникают в компьютеры и активизируются лишь при наступлении определенной даты. Корпорация Microsoft выпустила свой собственный антивирус – Microsoft AntiVirus (MSAV), который включался в стандартную поставку операционных систем MS-DOS и Windows. Первые тесты, проведенные независимыми испытательными лабораториями, показали высокую надежность продукта. Однако, впоследствии его качество стало постепенно ухудшаться, и через некоторое время Microsoft решила закрыть этот проект.

1994 год. Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярным, этот тип носителей оказался одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии компакт-дисков.

В начале года в Великобритании появились два крайне сложных полиморфик-вируса - SMEG.Pathogen и SMEG.Queeg. Автор вирусов помещал зараженные файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации. В январе 94-го появился Shifter - первый вирус, заражающий объектные модули (OBJ-файлы). В апреле - SrcVir - семейство вирусов, заражающих исходные тексты программ (C и Pascal). В июне началась эпидемия полиморфного вируса OneHalf. В сентябре - эпидемия файлово-загрузочного вируса "3APA3A", использующего крайне необычный способ внедрения в MS-DOS. Примерно в это же время, состоялся международный дебют антивирусной программы AntiViral Toolkit Pro (AVP).

1995 год. Широкое распространение получили вирусы ByWay и DieHard2 - сообщения о зараженных компьютерах были получены практически со всего мира. В феврале корпорация Microsoft выпустила бета-версию новой системы Windows 95 на дискетах, зараженных вирусом "Form". В августе в "живом виде" обнаружен первый вирус для Microsoft Word ("Concept"). Буквально за месяц вирус "облетел" весь земной шар, заполонил компьютеры пользователей текстового процессора. В 1995 г. дважды отличился английский филиал издательского дома Ziff-Davis. В сентябре принадлежащий ему журнал PC Magazine (английская редакция) распространил среди своих подписчиков дискету, содержащую загрузочный вирус Sampo. В середине декабря другой журнал из семейства Ziff-Davis, Computer Life, разослал читателям дискету с рождественскими поздравлениями. Помимо поздравления, диск также содержал загрузочный вирус Parity_Boot.

1996 год. В январе появился первый вирус для операционной системы Windows 95 - Boza, и произошла эпидемия крайне сложного полиморфного вируса Zhengxi, написанного российским программистом из Санкт-Петербурга Денисом Петровым. В марте произошла первая эпидемия вируса для Windows 3.x. - Win.Tentacle. Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во Франции. В июне появился "OS2.AEP" - первый вирус для OS/2, корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом "компаньон".

В июле обнаружен "Laroux" - первый вирус для Microsoft Excel, к тому же пойманный в "живом виде" практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР. Как и у MS Word-вирусов, принцип действия "Laroux" основывается на наличии в файлах так называемых макросов - программ на языке программирования Visual Basic. В конце лета вирусописатели под псевдонимами Nightmare Joker и Wild Worker практически одновременно выпускают конструкторы макро-вирусов для соответственно немецкой и английской версий MS Word - Word Macro Virus Construction Kit и Macro Virus Development Kit. В середине октября на сайте Microsoft, в одном из документов Word, посвященных технической поддержке программных продуктов Microsoft в Швейцарии, был обнаружен максро-вирус Wazzu. В декабре объявился первый резидентный вирус для Windows 95 - "Win95.Punch". Он загружался в систему как VxD-драйвер, перехватывал обращения к файлам и заражал их. В целом 1996 год можно считать началом широкомасштабного наступления компьютерного андерграунда на операционные системы Windows95 и Windows NT, а также на приложения Microsoft Office.

1997 год. В феврале появляется первый вирус для операционной системы Linux - "Linux.Bliss". Одновременно в выходом очередной версии пакета офисных приложений Microsoft Office 97 отмечается постепенное "переползание" макро-вирусов на эту платформу. Март 1997 года ознаменовался появлением макро-вируса "ShareFun" для MS Word 6/7, открывшего новую страницу в истории компьютерной индустрии. Он стал первым вирусом, использовавшим для своего распространения возможности современной электронной почты, в частности, почтовую программу MS Mail. В апреле обнаружен вирус "Homer" - первый сетевой вирус-червь, использующий для своего распространения протокол передачи данных File Transfer Protocol (FTP). В июне появился первый самошифрующийся вирус для Windows 95 - "Win95.Mad". Вирус, имеющий российское происхождение, был разослан на несколько станций BBS в Москве, что стало причиной довольно крупной эпидемии. В декабре появляется принципиально новый тип компьютерных червей, использующих каналы IRC (Internet Relay Chat). Также в 1997 году антивирусное подразделения фирмы КАМИ, возглавляемого Евгением Касперским, отделилось в независимую компанию "Лаборатория Касперского".

1998 год. В начале года зафиксирована эпидемия целого семейства вирусов Win32.HLLP.DeTroie, не только заражающих выполняемые файлы Windows, но и способных передавать своему "хозяину" информацию о зараженном компьютере. В феврале зафиксировано появление нового типа вируса для документов Excel - Excel4.Paix (или Formula.Paix). Данный тип макро-вируса для своего внедрения в таблицы Excel испольовал не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код. В этом же месяце, зарегистрированы Win95.HPS и Win95.Marburg - первые полиморфные Win32-вирусы.

В марте был обнаружен AccessiV - первый вирус для Microsoft Access. Примерно в то же время было зафиксировано появление Cross -первого многоплатформенного макро-вируса, заражающего документы одновременно двух приложений MS Office: Access и Word. Следом за ним появились еще несколько макро-вирусов, переносящих свой код из одного Office-приложения в другое. Наиболее заметным из них стал "Triplicate" (также известный под именем "Tristate"), способный заражать Word, Excel и PowerPoint.

В мае объявился вирус "RedTeam", который стал первым вирусом, заражающим EXE-файлы Windows, и распространяющимся по электронной почте при помощи программы Eudora. В июне началась эпидемия вируса Win95.CIH, ставшая сначала массовой, а затем глобальной. В зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы. Август ознаменовался появлением BackOrifice (Backdoor.BO) - утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за BackOrifice появились несколько других аналогичных программ: NetBus, Phase и прочие. Также в августе появился первый вирус, заражающий выполняемые модули Java - Java.StangeBrew. В декабре жертвой компьютерных вирусов ("Attach", "ShapeShift" и "ShapeMaster") становится еще одно приложение из состава MS Office. Им стала программа для создания презентаций - PowerPoint.

1999 год. В январе разразилась глобальная эпидемия интернет-червя Happy99 (также известного как Ska). Это был первый современный червь, использовавший для своего распространения программу MS Outlook. В марте вирус Melissa поразил десятки тысяч компьютеров. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал по первым 50 найденным адресам свои копии. Правоохранительные органы США исключительно быстро отреагировали на эпидемию "Melissa". Через некоторое время был обнаружен и арестован автор вируса, которым оказался 31-летний программист из Нью Джерси (США), некий Дэвид Л. Смит (David L. Smith). 9 декабря он был признан виновным и осужден на 10 лет тюремного заключения и штрафу в размере 400 000 долларов США.

В мае появился вирус "Gala" (также известный как GaLaDRieL), написанный на скрипт-языке Corel SCRIPT. "Gala" стал первым вирусом, способным заражать файлы как самого Corel DRAW!, так и Corel PHOTO-PAINT и Corel VENTURA. В самом начале лета грянула эпидемия весьма опасного Интернет-червя "ZippedFiles" (также известного как ExploreZip). Он представлял собой EXE-файл, который после внедрения в систему уничтожал файлы некоторых популярных приложений.

В августе был обнаружен вирус-червь "Toadie" ("Termite"), который, помимо заражения файлов DOS и Windows, также прикреплял свои копии к письмам, отсылаемым по электронной почте при помощи программы Pegasus и пытался распространяться по каналам IRC. В ноябре мир потрясло появление нового поколения червей-невидимок, распространявшихся по электронной почте без использования вложенных файлов и проникавших на компьютеры сразу же после прочтения зараженного письма. Первым из них стал Bubbleboy, вслед за которым последовал "KakWorm". Все вирусы этого типа использовали "дыру", обнаруженную в системе безопасности Internet Explorer. В том же месяце в США и Европе было зарегистрировано много случаев заражения Windows-вирусом FunLove.

В декабре был обнаружен "Babylonia" - первый вирус-червь, который имел функции удаленного самообновления: ежеминутно он пытался соединиться с сервером, находящемся в Японии и загрузить оттуда список вирусных модулей.

1980 – 1989 гг.

1981 год. Вирус Elk Cloner поражает компьютеры Apple. Вирус записывался в загрузочные сектора дискет, к которым шло обращение. Elk Cloner переворачивал изображение на экране, заставлял мигать текст, выводил разнообразные сообщения

1983 год. Лен Эйделман впервые употребляет термин "вирус" в применении к саморазмножающимся компьютерным программам. 10 ноября 1983 г. Фред Коэн, родоначальник современной компьютерной вирусологии, на семинаре по компьютерной безопасности в Лехайском университете (США) демонстрирует на системе VAX 11/750 вирусоподобную программу, способную внедряться в другие объекты. Годом позже, на 7-й конференции по безопасности информации, он дает научное определение термину "компьютерный вирус", как программе, способной "заражать" другие программы при помощи их модификации с целью внедрения своих копий.

1986 год. Впервые создан вирус для IBM PC - The Brain. Два брата-программиста из Пакистана написали программу, которая должна была "наказать" местных "пиратов", ворующих программное обеспечение у их фирмы. В программке значились имена, адрес и телефоны братьев. Однако неожиданно для всех The Brain вышел за границы Пакистана и заразил сотни компьютеров по всему миру. Успех вируса был обеспечен тем, что компьютерное сообщество было абсолютно не готово к подобному развитию событий. Интересно, что вирус Brain являлся также и первым вирусом-невидимкой. При обнаружении попытки чтения зараженного сектора диска вирус незаметно "подставлял" его незараженный оригинал. В том же году немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS-файлам формата COM. Опытный образец программы, получившей название Virdem и имевшей такую способность, был представлен Бюргером в декабре 1986 года, в Гамбурге, на форуме компьютерного "андерграунда" - Chaos Computer Club. В то время форум собирал хакеров, специализировавшихся на взломе VAX/VMS-систем.

1987 год. Появление вируса Vienna. Его происхождение и распространение практически по всему миру имело большой резонанс и вызвало горячие споры о настоящем авторе. В этом же году, один из претендентов на авторство - Ральф Бергер, написал первую книгу об искусстве создания и борьбы с вирусами. Книга называлась "Компьютерные вирусы. Болезнь высоких технологий" (Computer Viruses. The Decease of High Technologies) и стала "букварем" начинающих создателей вирусов. Кроме того, в 1987 году независимо друг от друга появляется еще несколько вирусов для IBM-совместимых компьютеров: знаменитый Лехайский вирус (Lehigh), названный в честь университета г. Бетлехэм, штат Пенсильвания, США; семейство вирусов Suriv; ряд загрузочных вирусов (Yale в США, Stoned в Новой Зеландии, Ping-pong в Италии) и первый в истории компьютеров самошифрующийся файловый вирус Cascade.

1988 год. Одно из наиболее знаменательных событий в области вирусов в 1988 года - глобальная эпидемия, вызванная вирусом Suriv-3, более известным как Jerusalem. Вирус был обнаружен одновременно в компьютерных сетях многих коммерческих фирм, государственных организаций и учебных заведений. По сути дела вирус обнаружился сам: в пятницу, 13-го, он уничтожал все запускаемые на зараженном компьютере файлы. В 1988 году этой черной датой стало 13 мая. Именно в этот день сообщения о тысячах инцидентах с участием Jerusalem поступили со всех концов планеты, в первую очередь из Америки, Европы и с Ближнего Востока. В этом же году, 23-летний американский программист создал червя, поразившего 6 тыс. компьютеров в сети ARPANET. И впервые суд приговорил автора этого вируса к штрафу в 10 тыс. долл. и 3 годам испытательного срока.

22 апреля 1988 года создан первый электронный форум по проблеме антивирусной безопасности. Ею стала конференция Virus-L в сети Usenet, которая была создана Кеном Ван Уайком (Ken van Wyk). Помимо этого, 1988 год ознаменовался появлением антивирусной программы - Dr. Solomon's Anti-Virus Toolkit. Программа была создана английским программистом Аланом Соломоном (Alan Solomon), завоевала огромную популярность и просуществовала до 1998 года, когда компания была поглощена другим производителем антивирусов - американской Network Associates (NAI).

1989 год. ARPANET официально переименован в Интернет. Появляются новые вирусы - Datacrime, FuManchu (модификация вируса Jerusalem) и целые семейства - Vacsina и Yankee. Вирус Datacrime имел крайне опасное проявление - с 13 октября по 31 декабря он инициировал низкоуровневое форматирование нулевого цилиндра жесткого диска, что приводило к уничтожению таблицы размещения файлов (FAT) и безвозвратной потере данных.

4 октября 1989 года появился в продаже антивирус IBM Virscan для MS-DOS. 16 октября 1989 г. на компьютерах VAX/VMS в сети SPAN была зафиксирована эпидемия вируса-червя WANK Worm. Для распространения червь использовал протокол DECNet и менял системные сообщения на сообщение "WORMS AGAINST NUCLEAR KILLERS", сопровождаемое текстом "Your System Has Been Officially WANKed". WANK также менял системный пароль пользователя на набор случайных знаков и пересылал его на имя GEMPAK в сети SPAN.

В декабре этого же года появился первый «троянский конь» — AIDS, который делал недоступной всю информацию на жестком диске компьютера и высвечивал на экране лишь одну надпись: «Пришлите чек на 189 долл. на такой-то адрес». Автор программы был осужден за вымогательство.

До 1980-х годов

1949 год. Американский ученый венгерского происхождения Джон фон Науманн (John von Naumann) разработал математическую теорию создания самовоспроизводящихся программ. Это была первая теория создания компьютерных вирусов, вызвавшая весьма ограниченный интерес у научного сообщества.

В начале 60-х инженеры из американской компании Bell Telephone Laboratories - В.А. Высотский, Г.Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предполагала присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, создававшихся игроками. Программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в удалении всех копий программы противника и захвате поля битвы.

Конец 60-х – начало 70-х годов. Появление первых вирусов. В ряде случаев это были ошибки в программах, приводивших к тому, что программы копировали сами себя, засоряя жесткий диск компьютеров, что снижало их продуктивность, однако считается, что в большинстве случаев вирусы сознательно создавались для разрушения. Вероятно, первой жертвой настоящего вируса, написанного программистом для развлечения, стал компьютер Univax 1108. Вирус назывался Pervading Animal и заразил только один компьютер - на котором и был создан.

1974 год. Создана сеть Telenet - коммерческая версия ARPANET. На компьютерах этого времени появляется программа, получившая название "кролик" (Rabbit). Это имя она получила потому, что кроме размножения и распространения по носителям информации она ничего не делала. Программа клонировала себя, занимала системные ресурсы и таким образом снижала производительность системы. Достигнув определенного уровня распространения на зараженной машине "кролик" нередко вызывал сбой в ее работе.

1975 год. Через Telenet распространяется первый в истории сетевой вирус The Creeper. Написанная для некогда популярной операционной системы Tenex, эта программа была в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. На зараженных системах вирус обнаруживал себя сообщением: "I'M THE CREEPER : CATCH ME IF YOU CAN". Для противодействия вирусу впервые в истории написана особая антивирусная программа The Reeper.

1979 год. Инженеры из исследовательского центра компании Xerox создали первого компьютерного червя.

См. также

Примечания

  1. Клименко заявил о вирусе для майнинга биткоинов на 30% компьютеров
  2. Троян SpyDealer похищает данные из Android-приложений
  3. Данные для Threat Map предоставлены Check Point’s ThreatCloud — крупнейшей сетью для совместной борьбы с киберпреступлениями, которая собирает данные об атаках с помощью глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, анализируемых на наличие ботов, более 11 миллионов сигнатур вредоносного ПО и более 5,5 миллионов адресов зараженных веб-сайтов. Каждый день система обнаруживает свыше одного миллиона типов вредоносного ПО.С января 2017 года Check Point пересмотрел методику подсчета индекса активности вредоносных программ: теперь она основывается на доле организаций по всему миру, пострадавших от каждого семейства вредоносного ПО. Таким образом, в индексе теперь представлены самые доминирующие зловреды, атакующие сети. Это дает более точное представление о реальном влиянии угроз на компании в мире.
  4. Home Routers Under Attack via Malvertising on Windows, Android Devices
  5. Вредоносная реклама теперь нацелена на роутеры