Валентин Холмогоров - PRO вирусы. Версия 4.0

Еще одна крупная эпидемия разразилась в 2008 году: ее причиной стал почтовый червь Confcker, заразивший более 12 миллионов компьютеров во всем мире. Этот червь распространялся, используя уязвимости в архитектуре ОС Microsof Windows, и потому в течение довольно длительного времени борьба с ним была весьма затруднена — до тех пор, пока корпорация Microsof не выпустила соответствующие обновления безопасности. По оценкам экспертов, червь нанес совокупный ущерб пользователям в размере, превышающем 9 млрд долларов, а в устранении последствий эпидемии помимо Microsof принимали участие крупнейшие мировые антивирусные компании. В том же 2008 году появились первые банковские троянцы, предназначенные для хищения денежных средств непосредственно с банковских счетов своих жертв, использующих системы дистанционного банковского обслуживания («банк — клиент»).

Примерно в 2008 году появились первые троянцы-энкодеры (шифровальщики). Эти вредоносные программы также традиционно относят к категории троянцев-вымогателей , однако они представляют более серьезную опасность для пользователей, поскольку шифруют хранящиеся на дисках компьютера файлы и требуют оплаты выкупа за их расшифровку. На момент написания этой книги специалистам по информационной безопасности известно несколько десятков тысяч модификаций троянцев-шифровальщиков, причем новые их разновидности появляются с завидной регулярностью. Так, эпидемия червя-шифровальщика WannaCry, начавшаяся в мае 2017 года, привела к заражению более 500 000 компьютеров в 200 государствах мира. Этим червем были заражены сети многих коммерческих и государственных учреждений. Из-за эпидемии в ряде британских госпиталей было отложено выполнение ранее назначенных медицинских процедур, обследований и срочных операций. Известный бывший сотрудник ЦРУ, американский диссидент Эдвард Сноуден утверждал, что уязвимость операционных систем семейства MS Windows, благодаря которой WannaCry распространялся по планете, была давно известна техническим специалистам АНБ. Однако они не посчитали нужным проинформировать об этом компанию Microsof, а заявили об уязвимости только тогда, когда заражение компьютеров приобрело глобальный характер.

Уже спустя месяц, в июне 2017 года, случилось массовое распространение шифровальщика Petya, от которого пострадали в основном жители Украины (но досталось пользователям и в других странах мира). Этот червь использовал уязвимость в протоколе SMB, и заражал загрузочную запись, перехватывая управление на этапе запуска операционной системы, после чего шифровал файлы на жестких дисках инфицированной машины. От действия Petya пострадало множество частных лиц и организаций, многие из которых безвозвратно потеряли ценную информацию.

С ростом популярности мобильной операционной системы Google Android к ней заметно повысился и интерес со стороны злоумышленников: первые вредоносные программы для портативных устройств под управлением Android появились в 2010 году. А в 2012 году специалисты российской антивирусной компании «Доктор Веб» выявили первый в истории ботнет, состоящий из компьютеров Apple с установленной на них операционной системой macOS, зараженных троянцем-бэкдором BackDoor.Flashback.39. В момент пика своей деятельности бот-сеть BackDoor.Flashback.39 насчитывала более 650 тысяч зараженных компьютеров Apple по всему миру.

Во второй половине «десятых» годов (и вплоть до 2020-го) вирусописатели стали проявлять повышенный интерес к операционным системам семейства Linux. Ранее Linux не пользовался особым «спросом» среди злоумышленников, прежде всего, из-за малой распространенности и особенностей архитектуры этой ОС. Гораздо проще было заражать Windows, работавшую на компьютерах миллионов пользователей по всему миру.

Все изменилось с появлением и широким распространением так недорогих «умных» устройств, лежащих в основе так называемого «интернета вещей» (Internet of Tings, IoT). В эту категорию, в частности, входят многочисленные роутеры, IP-видеокамеры, телевизионные приставки, медиаплееры, сетевые накопители и хранилища. Действительно: вряд ли кому-то придет в голову искать вредоносную программу в недрах телеприставки. Вместе с тем, такие устройства часто подключены к высокоскоростному каналу Интернета, и могут использоваться киберпреступниками для массированных DDoS-атак, рассылки спама и демонстрации навязчивой рекламы.

Отдельную категорию вредоносных программ составляют опасные скрипты , способные заражать веб-сайты. Распространяются они чаще всего с использованием уязвимостей в системах управления контентом («движках») сайтов, а также в пиратских версиях платных шаблонов и плагинов для различных CMS — WordPress, Joomla, Drupal и других. Подобные скрипты используются их создателями, как правило, в рекламных целях: для размещения ссылок, показа рекламных баннеров на инфицированном сайте, а иногда — для несанкционированной загрузки на сервер различных файлов и получения управления (шелла) на скомпрометированном сайте.

В настоящий момент в лаборатории антивирусных компаний поступает на анализ до миллиона файлов различных типов ежедневно, из них вредоносными признаются десятки и сотни тысяч. А вирусописатели непрерывно изыскивают все более изощренные способы избежать детектирования своих творений современными антивирусными программами.

В настоящий момент в мире отсутствует какая-либо общепринятая единая система классификации вредоносных программ: каждая антивирусная компания использует собственный метод их идентификации и наименования. Вместе с тем существует определенная исторически сложившаяся практика, позволяющая относить вредоносные приложения к различным типам и категориям.

Так, наиболее очевидной (и наименее точной) методикой классификации вредоносного ПО можно считать распределение угроз по системным платформам, на заражение которых ориентировано то или иное опасное приложение. В этом отношении абсолютным и безоговорочным лидером являются операционные системы семейства Microsof Windows, на которые сегодня рассчитано порядка 95 % всех существующих в мире вредоносных программ.

На втором месте по числу опасных приложений располагается мобильная платформа Google Android. Согласно статистическим данным, опубликованным российской антивирусной компанией «Доктор Веб», в 2010 году специалистам по информационной безопасности было известно всего лишь порядка 30 вредоносных, нежелательных и потенциально опасных Android-программ, к 2011 году их количество составило уже 630, еще через год оно возросло до 1267, к концу 2014 года превысило 5600, в июне 2015 года достигло 10 144, а в начале 2017 года составило уже 61 413. К августу 2018 года количество известных вредоносных и потенциально опасных программ для платформы Android достигло 128 017 и продолжило расти. Эти цифры наглядно демонстрируют, что прирост числа угроз для платформы Android постепенно принимает экспоненциальный характер.