СПОСОБ
Антивирусные аналитики отмечают явную тенденцию к коммерциализации вредоносного ПО. Еще 5-7 лет назад почти все вирусы и черви создавались без явной корыстной пели, как полагаю, из хулиганских побуждении или из честолюбия.
А среди современных вредоносных программ большинство составляют программы, заточенные под извлечение выгоды. Основные их разновидности (с точки зрения предназначения) следующие:
• троянские программы для создания зомби-сетей, которые пнем используются для рассылки спама, DoS-атак. организации фишерских сайтов и т.п.; нередко они снабжены механизмом самораспространения:
• так называемое spyware, го есть черви и троянцы для похищении персональных данных - паролей и ключей к платежным системам, реквизитов банковских карточек и других данных, которые можно использовать для мошенничества или хищения:
• так называемое adware, то есть вредоносные программы, скрытно внедряющиеся на персональный компьютер и показывающие пользователю несанкционированную рекламу (иногда к классу adware причисляют не только вредоносные, но и «законопослушные» программы, которые показывают рекламу с ведома пользователя);
• руткиты, служащие для повышения привилегий пользователя и сокрытия его действий на «взломанном» компьютере;
• логические бомбы, которые предназначены для автоматического уничтожения всей чувствительной информации на компьютере в заданное время или при выполнении (при невыполнении) определенных условий;
• так называемое «ransomware» - подвид троянских программ, которые после скрытного внедрения на компьютер жертвы шифруют файлы, содержащие пользовательскую информацию, после чего предъявляют требование об уплате выкупа за возможность восстановления файлов пользователя.
Следует отметить, что так называемые кряки — программы, предназначенные для обхода технических средств защиты авторского права. не относятся к вредоносным. Как по букве закона, гак и по техническим особенностям создания и применения, они стоят особняком. Создание кряков имеет смысл рассматривать отдельно.
ПРЕСТУПНИК
Как современная вредоносная программа является лишь средством, технологическим элементом для криминального бизнеса, так и современный вирусописатель работает не сам по себе, а исполняет заказы других. Эго может быть прямой заказ, когда программист-вирусмейкер получает техническое задание, исполняет его и отдает готовый продукт заказчику. Это может быть непрямой заказ, когда вирусмейкер, зная потребности черного рынка, старается их удовлетворить своим продуктом, который затем и реализует (лицензирует пользователям) самостоятельно.
Давно не отмечалось случаев, когда один человек исполнял весь преступный замысел целиком - писал вредоносную программу, применял ее, использовал результат применения для извлечения дохода.
Таким образом, создатель вредоносной программы это почти всегда член преступной группы. Его деятельность не имеет смысла в отрыве от заказчиков и пользователей вредоносной программы.
Кроме создания вредоносных программ уголовно наказуемо и их применение. Лицо, использующее такую программу, тоже в большинстве случаев не реализует результаты своего труда непосредственно, а продает или передает их дальше, другим членам преступной труппы.
Наконец, третий тип - это реализаторы результатов применения вредоносных программ, то есть спамеры, вымогатели, кардеры, мошенники.
СЛЕДЫ
При изготовлении вредоносных программ можно обнаружить следующие цифровые следы:
• исходный текст вредоносной программы, его промежуточные варианты, исходные тексты других вредоносных или двойного назначения программ, из которых вирусмейкер заимствовал фрагменты кода;
• антивирусное ПО различных производителей, на котором создатель вредоносной программы обязательно тестирует свою, а также средства для дизассемблирования и отладки;
• программные средства для управления вредоносными программами (многие из них работают по схеме «клиент-сервер», одна из частей внедряется на компьютер жертвы, а другая часть работает под непосредственным управлением злоумышленника);
• средства и следы тестирования работы вредоносных программ под различными вариантами ОС;
• следы контактирования с заказчиками или пользователями вредоносной программы, передачи им экземпляров и документации, оплаты.
При распространении и применении вредоносных программ можно обнаружить следующие цифровые следы:
• средства и следы тестирования работы вредоносной программы под различными вариантами ОС;
• контакты с создателем или распространителем-посредником вредоносной программы;
• программные средства дли управления вредоносной программой, данные о внедрениях этой программы к жертвам, результаты деятельности (пароли, отчеты о готовности, похищенные персональные данные);
• средства распространения вредоносной программы или контакты с теми, кто подрядился ее распространять.
Кроме того, на компьютере жертвы должна найтись сама вредоносная программа (ее серверная или клиентская часть). Очень часто обнаруживает ее сам потерпевший при помощи антивирусного НО. При этом вредоносная программа может быть уничтожена по команде пользователя или автоматически, в соответствии с настройками антивируса. Хотя исполняемый код вредоносной программы, обнаруженный в ходе экспертизы, является доказательством по делу, в случае его уничтожения потерпевшим без этого доказательства можно обойтись. Лог антивируса, а также следы деятельности вредоносной программы, будучи исследованы в ходе экспертизы, позволят эксперту категорично утверждать, что на исследуемом компьютере была установлена определенная вредоносная программа, хотя исполняемого кода этой программы и не обнаружено. Лучше поручить такую экспертизу предприятию, которое производит или обслуживает соответствующее антивирусное ПО.
Антивирусные аналитики отмечают явную тенденцию к коммерциализации вредоносного ПО. Еще 5-7 лет назад почти все вирусы и черви создавались без явной корыстной пели, как полагаю, из хулиганских побуждении или из честолюбия.
А среди современных вредоносных программ большинство составляют программы, заточенные под извлечение выгоды. Основные их разновидности (с точки зрения предназначения) следующие:
• троянские программы для создания зомби-сетей, которые пнем используются для рассылки спама, DoS-атак. организации фишерских сайтов и т.п.; нередко они снабжены механизмом самораспространения:
• так называемое spyware, го есть черви и троянцы для похищении персональных данных - паролей и ключей к платежным системам, реквизитов банковских карточек и других данных, которые можно использовать для мошенничества или хищения:
• так называемое adware, то есть вредоносные программы, скрытно внедряющиеся на персональный компьютер и показывающие пользователю несанкционированную рекламу (иногда к классу adware причисляют не только вредоносные, но и «законопослушные» программы, которые показывают рекламу с ведома пользователя);
• руткиты, служащие для повышения привилегий пользователя и сокрытия его действий на «взломанном» компьютере;
• логические бомбы, которые предназначены для автоматического уничтожения всей чувствительной информации на компьютере в заданное время или при выполнении (при невыполнении) определенных условий;
• так называемое «ransomware» - подвид троянских программ, которые после скрытного внедрения на компьютер жертвы шифруют файлы, содержащие пользовательскую информацию, после чего предъявляют требование об уплате выкупа за возможность восстановления файлов пользователя.
Следует отметить, что так называемые кряки — программы, предназначенные для обхода технических средств защиты авторского права. не относятся к вредоносным. Как по букве закона, гак и по техническим особенностям создания и применения, они стоят особняком. Создание кряков имеет смысл рассматривать отдельно.
ПРЕСТУПНИК
Как современная вредоносная программа является лишь средством, технологическим элементом для криминального бизнеса, так и современный вирусописатель работает не сам по себе, а исполняет заказы других. Эго может быть прямой заказ, когда программист-вирусмейкер получает техническое задание, исполняет его и отдает готовый продукт заказчику. Это может быть непрямой заказ, когда вирусмейкер, зная потребности черного рынка, старается их удовлетворить своим продуктом, который затем и реализует (лицензирует пользователям) самостоятельно.
Давно не отмечалось случаев, когда один человек исполнял весь преступный замысел целиком - писал вредоносную программу, применял ее, использовал результат применения для извлечения дохода.
Таким образом, создатель вредоносной программы это почти всегда член преступной группы. Его деятельность не имеет смысла в отрыве от заказчиков и пользователей вредоносной программы.
Кроме создания вредоносных программ уголовно наказуемо и их применение. Лицо, использующее такую программу, тоже в большинстве случаев не реализует результаты своего труда непосредственно, а продает или передает их дальше, другим членам преступной труппы.
Наконец, третий тип - это реализаторы результатов применения вредоносных программ, то есть спамеры, вымогатели, кардеры, мошенники.
СЛЕДЫ
При изготовлении вредоносных программ можно обнаружить следующие цифровые следы:
• исходный текст вредоносной программы, его промежуточные варианты, исходные тексты других вредоносных или двойного назначения программ, из которых вирусмейкер заимствовал фрагменты кода;
• антивирусное ПО различных производителей, на котором создатель вредоносной программы обязательно тестирует свою, а также средства для дизассемблирования и отладки;
• программные средства для управления вредоносными программами (многие из них работают по схеме «клиент-сервер», одна из частей внедряется на компьютер жертвы, а другая часть работает под непосредственным управлением злоумышленника);
• средства и следы тестирования работы вредоносных программ под различными вариантами ОС;
• следы контактирования с заказчиками или пользователями вредоносной программы, передачи им экземпляров и документации, оплаты.
При распространении и применении вредоносных программ можно обнаружить следующие цифровые следы:
• средства и следы тестирования работы вредоносной программы под различными вариантами ОС;
• контакты с создателем или распространителем-посредником вредоносной программы;
• программные средства дли управления вредоносной программой, данные о внедрениях этой программы к жертвам, результаты деятельности (пароли, отчеты о готовности, похищенные персональные данные);
• средства распространения вредоносной программы или контакты с теми, кто подрядился ее распространять.
Кроме того, на компьютере жертвы должна найтись сама вредоносная программа (ее серверная или клиентская часть). Очень часто обнаруживает ее сам потерпевший при помощи антивирусного НО. При этом вредоносная программа может быть уничтожена по команде пользователя или автоматически, в соответствии с настройками антивируса. Хотя исполняемый код вредоносной программы, обнаруженный в ходе экспертизы, является доказательством по делу, в случае его уничтожения потерпевшим без этого доказательства можно обойтись. Лог антивируса, а также следы деятельности вредоносной программы, будучи исследованы в ходе экспертизы, позволят эксперту категорично утверждать, что на исследуемом компьютере была установлена определенная вредоносная программа, хотя исполняемого кода этой программы и не обнаружено. Лучше поручить такую экспертизу предприятию, которое производит или обслуживает соответствующее антивирусное ПО.
Комментариев нет:
Отправить комментарий