Вирусология. Часть 1.

Вирусология. Часть 1.

Сегодня моя статья будет посвящена вирусологии. Мы рассмотрим и познакомимся с вами с основными видами вирусов. Также научимся понимать что не всё вредоносное программное обеспечение является вредоносным, возможно это просто товар двойного назначения. ​

Фактически я вас научу и покажу что такое молоток. А дальше вам решать, будете ли вы этим молотком забивать гвозди или разобьёте кому-нибудь голову. Мы с вами сегодня познакомимся с вредоносным программным обеспечением и с программным обеспечением двойного назначения. Но для начала хотела бы передать привет пользователям которые до сих пользуются Windows и не перешли на Linux. Здравствуйте, для вас в дурдоме есть отдельная палата.

Для того чтобы защититься от попадания любого вредоносного обеспечения вам необходимо понимать что вы делаете, ведь самый лучший антивирус это вы. Никакая программа вас не спасёт от этого. Чуть ниже я вам расскажу как абсолютно любой антивирус можно обойти, в этом абсолютно нет ничего сложного. Поэтому пользуйтесь мозгами, и без разницы какое у вас устройство, просто думайте.

Итак, переходим к вирусологии. Назвать конечно мою статью вирусологией довольно помпезно и сложно, намного лучше бы эта тема звучала как "знакомство с миром вредоносного программного обеспечения".

Что такое вредоносное программное обеспечение и вообще для чего оно применяется? Если мы возьмём, 80-е и 90-е годы, то тогда существовало только понятие вирус, это единственное что люди знали. В те года вирусы просто напросто приводили электронно-вычислительные машины в негодность. Был такой очень хороший вирус, он назывался Чернобыль. Попадав на компьютер жертвы, он делал так, что от винчестера можно было очень долгое время прикуривать, точно также как и от материнской платы. В общем, такого плана программное обеспечение существовало и применялось именно для того, чтобы выводить из строя электронно вычислительную технику.


Сейчас же разнообразие различного вредоносного программного обеспечения намного шире, и нет такого человека, который каждый день при сёрфинге в интернете не сталкивался бы с этим, прямо или косвенно, абсолютно по разному. Если кто-нибудь из вас пользовался рутрекером, то я могу вас поздравить, потому что примерно 90% всех кто пользовался любым торрент трекером подвергался атакам заражения. Почему я именно заострила внимание на торрентах? Потому что это один из лучших методов распространения вредоносов.

Давайте разберём какие виды вредоносного программного обеспечения существуют сейчас. Во-первых вирусы которые выводят из строя компьютеры - самые обычные, простые и классические - они остались конечно же. В основном они используются либо ради шутки, либо для достижения какой-то конкретной цели, например вывести из строя компанию конкурента или уничтожить какой-то технологический узел. Такие вирусы существуют абсолютно для любого оборудования.

Что такое вообще вирус? Это программный код который может выполнять различные действия которые в нём запрограммированы. Соответственно, любой программный интерфейс - компьютер, планшет, мобильный телефон, кофеварка с выходом в интернет или банкомат (его вообще можно сравнить с компьютером потому что на 80% банкоматов установлен Windows), и любое другое устройство в котором используются какие-либо языки программирования можно заразить вирусом и заставить это устройство выполнять необходимые нам функции.

Если мы возьмём самые простые вирусы и их задачи, то это может быть удаление операционной системы, либо форматирование жёсткого диска, удаление системных файлов, запись в автозагрузку (даже такое бывает), самый простой вирус который делает так, что при загрузке устройства будет выполняться переполнение буфера, то есть это сразу же уничтожение системы. Ещё есть вирусы которые изменяют вольтаж. Воздействуя на настройки BIOS'а можно изменить вольтаж таким образом, что напряжение на определённые части компьютера вырастет многократно, его составные части просто напросто сгорят и выйдут из строя. Но вирусы данного типа уже отходят на задний план. Почему? Потому что с них особой материальной выгоды получить нельзя. А с чего можно получить выгоду? Тут мы плавно переходим к винлокерам:


Многие слышали, видели и сталкивались с тем, что при загрузке операционной системы у вас появлялось какое-либо окно которое сообщало вам, что ваш компьютер был заблокирован по каким-либо причинам. В основном это причины чисто психологического характера, что незнающий человек не обратится к кому-нибудь, в основном это просмотр порнографии в каких-либо извращённых формах. Если человек в этом дуб дубом, ничего не понимает, но он понимает что где-нибудь, когда-нибудь он какую-нибудь порнуху смотрел и куда-нибудь зайти он мог, то соответственно не коллегам, не сотрудникам правоохранительных органов он постесняется сказать, что он посещал подобные сайты. Это чисто психологический приём применяется до сих пор к таким доверчивым людям, но постепенно число их уменьшается, количество продвинутых пользователей растёт, поэтому именно сами винлокеры как таковые также постепенно отходят на задний план. Винлокер по сути выполняет собой функцию блокировки операционной системы для ограничения действий пользователя с последующим вымоганием средств для разблокировки, фактически это инструмент вымогательства. Подведём небольшой итог для винлокеров: блокируют операционную систему, далее вымогают деньги за разблокировку. Как бороться с ними? Большинство из них отключается в безопасном режиме, либо в режиме командной строки. Нужно в безопасном режиме загрузиться, удалить его из автозагрузки, а далее сам вирусный файл. В принципе данная угроза не сильно серьёзная, но винлокеры по сути своей стали основой и родителями намного более серьёзной атаки, более сложного программного обеспечения. Это вредоносное программное обеспечение называется криптор. Может быть кому-то даже не повезло увидеть подобную картинку в живую на своём компьютере в качестве жертвы:


Что выполняют крипторы и что это такое? Только не путайте данные крипторы с крипторами о которых мы будем говорить далее - с помощью которых можно спрятать вредоносное программное обеспечения, у них просто название одинаковое.

Крипторы предназначены и написаны для того, чтобы зашифровать файлы пользователя. Если винлокер требовал деньги просто за то, чтобы получить доступ к операционной системе, а файлы все оставались на месте и не подвергались никакому риску, а кто шарит может удалить винлокер за одну минуту, то в данном случае при использовании криптора шифруются полностью все или определённая часть файлов, взависимости от того как распорядился его создатель. Зашифровав все файлы криптор просит денег. Можно купить приватный ключ и расшифровать систему:


Картинка скорее всего старая, нашла в гугле для вас, ведь 0,066 BTC на данный момент это 3000 $, никто такую сумму для массового распространения ставить не будет, в основном ставится от 100 до 500$, чтобы среднестатистический человек смог заплатить.

Если у человека имеются какие-либо важные рабочие ********* на своём ПК и вдруг они стали зашифрованы, то конечно же ему придётся эти файлы выкупить. Даже если мы не берём коммерцию, а возьмём файловый архив из несколько тысяч фотографии семейного отдыха за прошедшие 5-6 лет, и они все в единственном экземпляре хранились на ПК, а тут этот криптор пришёл и их зашифровал, то люди заплатят деньги. Если судить по статистике из моего личного опыта, то платят 20% людей, каждый пятый. Данный вид вредоносного программного обеспечения является одним из наиболее перспективных сейчас. Почему? Потому что даже ФБР, спецслужбы самой могущественной страны в мире, рекомендуют платить вымогателям за расшифровку данного программного обеспечения, соответственно данный вредонос можно считать одним из наисперспективнейших среди всех. К тому же. потратив 3-4 месяца на освоение курсов программирования и ещё месяц, чтобы полазить по поисковикам, поизучать техническую сторону вопроса и понять как всё устроено, а так же разобраться в анонимности, какой-нибудь школьник из Кислодрыщинска может себе сделать такой криптор и за пару месяцев заработать несколько миллионов рублей.

Если от винлокеров есть лёгкая возможность избавиться, то если на ваш компьютер попал хороший криптор и вы хотите сохранить свои файлы - вам придётся заплатить выкуп.


Далее у нас идут трояны. Это программное обеспечение которое может получить полный доступ к устройству и предоставить нам полное управление жертвой, а также воровать и подменять данные. Давайте рассмотрим более детально.

Трояны как таковые делятся на четыре основных вида, на самом деле их там больше десятка, но мы рассмотрим четыре самых основных.

1. Ратники или крысы (устройства удалённого администрирования - remote administration tool, сокращённо RAT).
2. *******ы (воры фактически).
3. Кейлогеры (устройства для записи нажатых клавиш).
4. Клиперы (подменяет адреса кошельков).

Ратники. Remote administration tool. Данное программное обеспечение позволяет получить полный доступ над устройством. И не только полный доступ в том плане, что он может видеть что происходит на вашем ПК, но также он может вашим ПК управлять. Для того, чтобы было более понятно что это такое, я сейчас познакомлю вас с ратником. Данное программное обеспечение носит двойное назначение, даже если вы покупаете ратник, то не факт что вы его будете использовать в вредоносных целях. Ведь фактически утилиты удалённого администрирования это тот же Team Viewer, RAdmin и так далее. Но главное отличие ратников продающихся на форумах в том, что они позволяют скрыть самого себя от жертвы и купить их можно совершенно легально. Ведь согласитесь, если данное программное обеспечение будет применяться на какой-нибудь из фирм где руководитель хочет следить за деятельностью своих сотрудников, мониторить, он будет нарушать закон? Конечно же не будет. Но, а если же человек будет это программное обеспечение распространять по интернету для заражения пользователей, то тогда конечно уже можно расценить как злой умысел. Поэтому я бы отнесла данный вид программного обеспечения именно как раз к товарам двойного назначения. То есть те кто думает что это именно вирус и всё плохо, что его нужно запретить, то у тех просто с мозгами не всё в порядке, и для них палата в дурдоме рядом с пользователями Windows.


Что позволяет делать ратник? Какие у него есть опции?

• 
  
  
  • Удалить сам ратник.
  • Выключить компьютер.
  • Отключить интернет.
  • Использовать заражённую машину как дедик или ****** сервер.
  • Написать хозяину ПК сообщение.
  • Вести **** всех нажатых клавиш.
  • Догружать другие вирусы.
  • Скачать любой файл с компьютера.
  • Открыть вебсайт.
  • Посмотреть вебкамеру и включить запись.
  • Послушать микрофон и включить запись.
  • Наблюдать за рабочим столом жертвы в реальном времени, а также при желании записывать её рабочий стол на видео.
  • Открыть терминал.
  • Своровать все пароли которые хранятся на ПК.
  • Использовать данную машину в качестве части ботнета.
  • Использовать данную машину в качестве DDoS устройства.
  • Полный доступ к абсолютно всем файлам.

И многое другое, зависит от разработчика. Я вам описала, что позволяет стандартный классический ратник. Данный вид программного обеспечения предназначен для полного удалённого контроля устройств на которые он попал.


Где же берётся данное программное обеспечение и где его можно найти вообще? Я не буду проводить никакой рекламы и давать вам ссылки, но скажу что его можно купить не только в даркнете, а на абсолютно белых IT форумах совершенно легально, ведь это по сути является товаром двойного назначения. К слову, у кого стоит Windows или MacOS, то у вас уже вшит ратник в данных системах от компаний производителей. Это подаётся под видом технической поддержки, якобы мало ли у вас что-то сломается и чтобы работник технической поддержки смог к вам подключиться в любое время и помочь.

Как правило, все разработки ратников СНГ кодеров которые я видела, конечно же не могу говорить за всех, не заслуживают никакого вообще внимания. Это кривые, косые уродцы и кодят их очень больные люди. Есть конечно хорошие разработки, но стоимость их начинается от 1000$, поэтому немногие могут себе это позволить.

Можно также пользоваться ратником для подключения к своему домашнему ПК с любой точки мира где бы вы не находились, это очень удобно. Если вы хотите использовать данное программное обеспечение лишь в благих целях, например контролировать компьютер своего ребёнка, это же можно использовать? Вполне можно использовать. Вы же не будете к ребёнку по Team Viewer подключаться, потому что он конечно же увидит, что вы это делаете.

Давайте теперь представим, что мы не благие цели преследуем, а хотим заражать устройства в корыстных целях. У нас в кармане есть 100$, что мы можем сделать? Любой человек зайдя на даркнет или белые IT форумы, может найти всё что ему необходимо. Купив ратник, его исполняемый файл запуска можно внедрить в картинку или текстовый документ, ведь намного меньше людей будут открывать .exe файл. Хочу отметить, что в каждом втором ратнике, которой встречается в СНГ, есть функция криптора, не путайте теперь с тем криптором который мы рассматривали выше и который шифрует файлы на ПК. Но если его там нет, то можно его приобрести буквально за 20$. После этого у вас будет всё будет готово и вы сможете уже заразить большое количество компьютеров. Почему? Потому что среднестатистические пользователи в основном надеются лишь на антивирус.


Для этого нам и нужен был криптор. Если в СНГ за торговлю таким программным обеспечением могут придраться, то на Западе торговать этим программным обеспечением можно абсолютно легально. Торговать вирусами нельзя, но торговать ратниками и крипторами можно, потому что это товары двойного назначения.

Что такое крипторы мы сейчас рассмотрим более детально. Дело в том, что вредоносное программное обеспечение после создания билда (.exe файла) очень часто палится антивирусами. Почему оно палится антивирусами? Потому что антивирусы работают на двух основах:

1. 
   
   
   • Поведенческий анализ.
   • Структурный (сигнатурный) анализ.

Что такое структурный анализ? Есть определённые антивирусные базы которые у владельцев антивирусов обновляются каждый день. Что это значит? Дело в том, что антивирусы анализируют структуру, то есть внутреннее составляющее программного обеспечения и определяют несёт ли оно какой-то вредоносный характер или нет.

Сказать так конечно нельзя, но скажу по простому, что-то типо реверс инженеринга, они рассматривают программу изнутри. Для того чтобы защититься от такого метода анализа вирусов антивирусами нам и нужны крипторы. Они запутывают код программы при этом не нарушая её функционал. Объясню по простому, вы умеете читать на русском языке и когда вы видите слово "вирус", то понимаете что оно означает, но если слово "вирус" перевести на китайский язык, то вы не поймёте что там написано, по такому же принципу работают антивирусы, после обработки вируса криптором они не смогут его прочитать, но и переводчик должен быть профессиональный, а не гугл переводчик, чтобы смысл сохранился, иначе программа не будет работать. Немного неточный пример, но я думаю суть вам теперь ясна. Поэтому хакеры используют крипторы. В рунете найти криптор который будет фудом - FUD, то есть Fully UnDetectable:


FUD означает, что 0 антивирусов увидели наш вирус после проверки.
довольно таки сложно, и если найти его, то максимальный срок жизни у него будет всего 1-2 дня максимум. Зато на западных порталах найти криптор который держится неделю и месяц не составит особого труда. Есть так же трояны уже со встроенным криптором, то есть этот криптор сам связывается с антивирусными базами, проверяет их и в случае если в антивирусных базах находится что-то что может указать на этот вредонос, то он сам себя шифрует. Фактически такое программное обеспечение может жить на компьютере пользователя и пол года и год, пока разработчик не прекратит его поддержку. Но не забывайте, что криптор товар двойного назначения. Вы можете им зашифровать вредоносное программное обеспечение, но вы также можете зашифровать какую-то вашу полезную программу, чтобы никто не смог, в том числе конкуренты, провести реверс инженеринг и украсть ваши разработки.

Далее из троянов у нас идёт *******.
Опишу его очень кратко. Он вытаскивает куки и все введённые вами пароли из браузеров. Поэтому, чтобы избежать данной угрозы используйте устройства хранения как тот же KeePass. Замечательная программа, нигде вы не найдёте, чтобы у вас ваши пароли своровали из KeePass'а. Соответственно, тот кто хранит пароли в браузере - это третья палата. Я сегодня две палаты уже определила в дурдоме. В первой палате дурдома живут люди которые пользуются Windows, во второй палате лежат те, кто думает что ратник это вирусная программа, ну и в третьей палате у нас теперь лежат люди которые хранят пароли в браузере.

В общем, взял любой школьник 100 долларов, ну что такое 100 долларов, ребёнок в школе сэкономит на завтраках за пару недель, снял себе VDSку, купил ******* и превратился в "хакера".

Теперь поговорим о клипере.
Клипер позволяет заменять у людей платёжные данные на свои. Представьте себе, вы сделали рассылку этого клипера на 100 тысяч компьютеров, из 100 тысяч пусть 25 тысяч его скачало. И вот фактически 25 тысяч устройств вы контролируете постоянно, из этих устройств идут какие-либо платежи. Хотя бы 5 тысяч людей делают платежи, а их данные Клипер подменяет в автоматическом режиме. Например, человек переводит деньги со своего **** кошелька на другой, вставляет номер +79001002030 и отправляет деньги, но они уходят не туда, а на ваш **** кошелёк который прописан в панели клипера. Тоже самое происходит с криптовалютными и другими кошельками.

Ещё существует сетевой червь:

То, что сейчас вы видите на картинке выше ярко иллюстрирует собой работу данного червяка. Что такое сетевой червь? Это программное обеспечение которое настроено на самораспространение. При попадании в локальную сеть оно распространяется на все находящиеся там устройства. Это одно из немногочисленных явлений в рунете, встречается довольно редко и ещё реже пользователи которые заражаются червяком знают что это действительно червяк. Механику его я рассматривать не буду потому что она скучна, половина заснёт, а половина не поймёт о чём я пишу. Просто запомните что есть такое вредоносное программное обеспечение которое позволяет хакеру произвести заражение полностью всей локальной сети. Если в ваш компьютер нельзя проникнуть из вне, то в него можно проникнуть изнутри, и одно заражённое устройство заразит все остальные устройства которые находятся в вашей сети.


Теперь я бы хотела углубиться в момент защиты от всего этого. Каким он может быть? Принято считать, что от вредоносного программного обеспечения вас защитит антивирус. Как я уже говорила антивирусы работают на двух основных постулатах, первое это поведенческий анализ, второй это анализ структурный. Структурный анализ можно обойти с использованием криптора, купить его за 20$ и все антивирусы становятся бесполезными. Поведенческий анализ можно обойти просто напросто правильным написанием функций, поэтому фактически антивирус как таковой ничем вам помочь не может, вообще ничем. Вот у меня антивируса вообще не установлено на ПК, никакой такой программы.

Может быть вам может помочь браузер как-нибудь? Он же вас вроде бы иногда предупреждает если вы заходите на какой-то вредоносный сайт, но и браузер защитить вас никак не может потому что браузер может лишь только связаться с антивирусными базами, проанализировать в некоторых случаях сайт, но больше ничего сделать он не может как таковой. То есть опять же, это становится для вас бесполезным.

Что же может вам помочь? Мы не будем рассматривать сейчас песочницы и виртуалки, это тема для отдельной статьи. В основном если брать вредоносное программное обеспечение, то вам бы замечательным образом конечно помог Linux. Почему? Потому что большинство вредоносного программного обеспечения написано для Windows. Не потому что его проще написать, а потому что 90% всех людей в мире используют Windows. Поэтому экономически выгодно писать вирусы именно под данную ОС, так как больше людей можно заразить. Поэтому найти рабочий вирус под Linux в 10 раз сложнее и в 10 раз дороже, и шанс что вас заразят в 10 раз меньше. Это самое первое хорошее бы средство защиты было для вас. Но что вам может помочь ещё больше? Вам может Firewall:


Почему? Потому что для общения того же ратника необходимо интернет соединение. Нет не доступа по интернету, потому что интернета на нём просто нет. Можно ли будет извлечь из него какую-либо информацию? С помощью подобного программного обеспечения нет. Но извлечь всё-таки можно. Вот посмотрите например на данную статью:


https://www.securitylab.ru/news/479598.php

Дистанционно через электромагнитное излучение был получен ключ от криптоконтейнера. Многие говорят, что компьютер без интернета это самый лучший способ защиты. К сожалению нет, можно извлечь данные из компьютера даже по его электромагнитному излучению. Теперь же кто-то умный мог подумать про клетку Фарадея, скажет, что можно хранить компьютер там, но так не получится. Как только вы смастерите клетку Фарадея, то она станет таким невероятным образом фонить в центре радиочастот, что к вам сразу же прибегут спецслужбы поинтересоваться, а что это такое у вас там происходит. Клетка Фарадея фонит нереально.


Подведу итог.
Антивирусы помочь вам не могут, как и браузеры. Фаерволы помочь вам могут, хорошо могут помочь. Что вам ещё может помочь? Как вы можете обезопасить сами себя и проверить свой компьютер на наличие вредносного программного обеспечения?

Вы можете провести анализ сетевой активности, это то что может вам помочь. Вы сможете понять какие именно программы у вас пытаются выйти в сеть и с чем соединиться. Есть такая замечательная программа для этого, называется GlassWire, заодно увидите куда ломится ваш Windows каждые несколько секунд и куда сливают всю информацию. Вы сможете посмотреть какое программное обеспечение запущено, куда оно непосредственно хочет зайти, где оно находится и какой тип трафика сейчас на вашем ПК используется.

Приведу вам простой пример из своей практики который случился у меня пару лет назад. Была ситуация, меня попросили проверить ПК пользователя на заражение его вредоносным программным обеспечением. С помощью данной утилиты я проверила компьютер, в следствии чего обнаружила ip адрес куда отстукивался ратник. Отстукивался он даже не на выделенный сервер, а прямиком на компьютер "хакера", у него даже *** не стоял, это дурость конечно же полнейшая. По данному ip я провела анализ по скайпу, узнала какой скайп пользуется данным ip, а далее уже нашла его почту и страницу vk. Фактически благодаря банальной сетевой активности я обнаружила вредносное программное обеспечение и был человек обнаружен и деанонимизирован, им оказался 15-летний школьник из Краснодара, поэтому я не стала его кошмарить. Помимо самого фаервола проведя анализ сетевой активности вашего ПК вы можете замечательным образом его обезопасить.

Да кстати, специально для тех кто лежит в первой палате бросаю ссылочку такую сейчас, чтобы вы могли сами проверить и посмотреть что ваша операционная система Windows соединяется с серверами Microsoft 4000 раз за 1 день:

https://xakep.ru/2016/02/12/windows-10-watching-you


взято с https://teletype.in/@hacker_place/wr_z6EB7JCP