Главная » Безопасность » Громкие провалы в борьбе с вирусописателями

Громкие провалы в борьбе с вирусописателями

Громкие провалы в борьбе с вирусописателямиВ последнее время со стороны компаний, занимающихся антивирусной безопасностью, стало довольно модно сообщать об успешных операциях по закрытию ботнетов (принадлежащих хакерам сетей зараженных компьютеров) и аресту их владельцев. Цель этой статьи — показать, что далеко не всё так гладко в Датском королевстве. Автор не претендует на исчерпывающую информацию, но в любом случае полезно знать о провалах антивирусной индустрии.

1. Conficker (также известен как Downup, Downadup и Kido). Один из самых опасных компьютерных червей. Впервые появился 21 ноября 2008 года. Благодаря эксплуатации ряда уязвимостей, червь на январь 2009 года поразил 12 млн. систем. На данный момент заражено около 5 млн. систем, однако не фиксируется никакой активности, свидетельствующей об активации этого ботнета, однако он существует.
Несмотря на обещание со стороны Microsoft премии в $250000 за поимку авторов червя и владельцев ботнета 12 февраля 2009 года, они всё ещё на свободе.

2. Троянские программы семейства Zeus (ZBot) появились в 2007 году. Благодаря простоте конфигурации и удобству использования для кражи веб-данных, ZeuS стал одной из самых распространяемых и продаваемых программ-шпионов на черном рынке интернета, а ботнет Zeus — №1 в мире, насчитывая более 3,6 млн. только в одном США. Автор троянца, известный как «Slavik» или «Monstr» на хакерских форумах — активно продавал своё детище вплоть до середины-конца 2010 года, после чего заявил о прекращении деятельности. Суммы, вырученные на одних только продажах троянца оцениваются в семизначные (в долларах, естественно), не говоря уже о кардерских и конфиденциальных составляющих.
Обсуждение ZeuS стало фирменной фишкой любой уважающей себя компании, занимающейся цифровой безопасностью, был создан специальный сайт для отслеживания деятельности ботнета, однако «Slavik» по-прежнему на свободе.

3. SpyEye, как много в этом слове… Троянец появился в конце 2009 — начале 2010 года и сразу стал противопоставляться Zeus. Автор троянца, известный в форумах как «Gribodemon» или «Harderman», активно продвигал свой продукт, однажды даже снабдив его Zeus Killer’ом — функционалом, предназначенным для устранения конкурента на системах-зомби.
Как только автор Zeus решил отойти от дел, он передал (продал?) исходные коды Gribodemon’у, с условием поддержки существующих «пользователей». На данный момент уже не секрет, что новые версии SpyEye обладают многими функциями своего преемника.
Найти «Грибодемона» не так уж и сложно — как по активности его ботнета, так и на хакерских форумах. Его предложения всё ещё активны.

4. TDL/TDSS (Alureon, TidServ). Один из наиболее технологичных руткитов на настоящий момент. TDL4 — первый и один из немногих руткитов для платформы х64. Постоянно используются новые механизмы, новые уязвимости класса 0-day, позволяющие обойти существующие антивирусные системы. Отдельные фрагменты кода, поведение и фразы в конфигурационном файле позволяют сделать предположение, что авторы тоже уроженцы некогда Единого и Могучего.
Ботнет TidServ — третий в мире по размерам, однако информация довольно устаревшая, а новой антивирусные корпорации не спешат делиться.

5. В июле 2010 года словенская полиция арестовала трёх студентов по подозрению в создании Mariposa/Palevo. Ранее, весной того же года в Испании были арестованы три оператора того же ботнета. Считается, что этот ботнет «обезглавлен», «устранён», «неактивен», было много смеха, когда подследственные студенты пытались найти работу в компаниях по безопасности, но — всегда есть «но»! На данный момент создаются и обнаруживаются всё новые версии Kolab/Palevo. Да и появление каждый день новых C&C как-то не успокаивает… Кроме того надо отметить особый профессионализм написания кода этого червя, который возможно и был бы по силам студентам — но талантливым студентам. Ботнет пал? Хм…

6. Декабрь 2010 года… Совместно с сотрудниками отдела «К» МВД РФ и зарубежными коллегами, которые занимаются IT-безопасностью, был обнаружен огромный ботнет, который насчитывает порядка 600000 систем по всему миру. C&C ботнета располагались преимущественно на российских серверах. Также удалось установить владельца ботнета, им оказался некто под ником «crazyese». Известно, что «crazyese» замешан в DDoS атаках на правительственные сайты разных стран, больше ничего не известно. После обнаружения ботнета владельцем этой сети заинтересовались спецслужбы разных стран.
9 февраля 2011 года в сеть попал ICQ номер (609684624) того самого «crazyese», номер в сети опубликовал один из его конкурентов. Тем не менее, владелец номера это и не скрывает, продолжая открыто предлагать свои услуги.

7. Вирус Stuxnet — уникальный и эпичный, настоящий шедевр вирусописательства! По данным профильных изданий, стоимость технической реализации Win32/Stuxnet превышает сумму 500.000 Евро. В него было встроено 15 различных модулей и 5 механизмов самоскрытия, два руткита: один для ПК и один для контроллера Siemens. Авторы использовали два подлинных цифровых сертификата (цифровые подписи), принадлежащих компаниям Realtek и JMicron. В вирус было запрограммировано 6 неизвестных ранее инфекций и использовались 4 неизвестные ранее уязвимости Windows. Десятки специалистов по компьютерой безопасности во всём мире в течении многих месяцев расшифровывали функционал данного вируса, но так до конца и не расшифровали (когда обычно на это уходит до одного дня). И заразил он половину мира, как в последствии оказалось, с одной-единственной целью: вывести из строя конкретные центрифуги по обогащению урана на конкретной электростанции в Иране. Все экземпляры данного вируса должны самоуничтожится 24 июня 2012 года (видимо его авторы предполагали, что к этой дате он поразит все свои цели). Такое злонамеренное ПО под силу создать только какой-то очень влиятельной или правительственной организациии. Похоже что здесь мы имеем дело с первым выстрелом кибернетических войн будущего.

Резюмируя, скажу, что 100% защиты от всяких компьютерных напастей не существует. Высказывания, что «антивирус *** — самый лучший на земле и ловит абсолютно всё вирусы» — безпочвенны. Пропускают ВСЕ. Отличие хорошего антивируса от плохого только в проценте пропускаемых вирусов: хороший антивирус пропускает 3-5% вирусов, не очень хороший — больше. Необходимо придерживаться элементарных правил безопастности: поддерживать антивирус в актуальном состоянии, следить за обновлением Windows, flash-проигрывателя, java (если установлен) и браузеров, быть внимательным по отношению к программам, которые устанавливаете и источникам, от куда Вы их берёте (обычно под видом различных «программ просмотра скрытых профилей вконтакте» всякая зараза и распространяется!) и периодически проверять компьютер на наличие вредоносного ПО. Ну и, понятно, не шастать по интернету непонятно где, по пути нажимая на всё, что мигает и шевелится: в этом случае Вас не спасёт ни один антивирус!

Источник

Похожие материалы:

Как удалить троянскую программу – описание борьбы с вирусом, который в данное время терроризирует множество пользователей, когда на флешке пропадают папки, а вместо них появляются ярлыки.

Как определить, есть ли на компьютере вредоносное ПО – обзор антишпионского программного обеспечения. Одна из таких программ обязательно должна быть установлена на компьютере так как антивирусы не всегда достойно справляются со своими обязанностями!

Как убрать стартовую страницу Webalta, apeha.ru, ctel.ru, smaxi.net, wonderpage.org – некоторые веб-сайты используют нелигитимные способы завоевания пользовательской аудитории, от которых порой очень трудно избавиться. Описаны способы борьбы с этой напастью.

Как удалить вирус Conficker (он же Downup, он же Downadup, он же Kido) – об определении и удалении одного старого, но очень вредного вируса, который ещё до сих пор встречается у пользователей.

Понравилась статья - поддержи проект материально:
Понравилась статья - поделись с друзьями:

Похожие записи:

1 комментарий

  1. Спасибо, было очень познавательно. Мне кажется, что сюда можно также добавить информацию о трояне Winlock

Оставить комментарий

Ваш email нигде не будет показанОбязательные для заполнения поля помечены *

*