Глава 3. Антивирусная защита отдельного ПК

Надеюсь, вам еще не очень страшно читать наши веселые истории? Не бойтесь, на этот раз ничего страшного не будет — только сказки с хорошим концом. Где зло сначала торжествует, но в конце его все-таки ловят, называют хакером, и прячут от разъяренных жертв в тюрьму.

Август 2007 года Данный месяц в истории знаменателен тем, что именно в августе компьютерный вирус поразил систему интернет-трейдинга Quik. И в этом нет ничего удивительного, так как вирус был написан специально для данной системы — хакер бил наверняка.

Основное назначение созданного вируса — хищение логинов и паролей. Чем он и занимался до 2008 года. Примечательно, что за это время всего два пользователя системы обратились в прокуратуру — остальные жертвы мошенника решили воздержаться от обвинений. Но и двух пострадавших хватило на то, чтобы обогатить мошенника на 2,5 млн. рублей. Правда, радовался он этому факту недолго, так как в феврале 2008 года хакер был пойман.

Январь 2008 года Эту дату можно считать началом нежных отношений между Microsoft и спамерами (по сведениям лаборатории Avert Lab компании McAfee). Именно в это время спамеры придумали новый способ хранения файлов, ссылки на которые указываются в спам-письмах. Для этого они стали использовать сервис SkyDrive, разработанный Microsoft для того, чтобы посетители могли хранить на нем свои файлы (рабочие файлы, графику, видео и прочие цифровые данные).

Выбор на этот сервис пал не случайно. Ведь все сервисы Microsoft относятся к авторитетным, и не блокируются спам-фильтрами.

Январь 2008 года Как вы относитесь к социальным сетям? Сейчас вокруг них возникла настоящая истерия, и все больше пользователей «подсаживаются» на такие социальные сети, как MySpace, Одноклассники, В контакте, Мой Мир. И даже вредоносных программ не минула сия участь.

По сведениям антивирусной компании McAfee в январе на ряде страниц с профилями пользователей в социальной сети MySpace была обнаружена троянская программа. Как только вы заходили на зараженную страницу, она предлагала вам скачать якобы новое обновление от компании Microsoft. Естественно, что в предлагаемом для скачивания и установки файле новым обновлением даже и не пахло. А пахло там грязной и мерзкой троянской программой (разновидность вредоносной программы TFactory).

Если вы думаете, что это единичный случай, и что социальная сеть MySpace единственное пристанище вредоносных программ, тогда предлагаю вам список других примеров.

• В феврале 2008 года социальная сеть Orkut стала пристанищем очередного червя. Червь Scrapkut распространялся с помощью списка друзей путем инъекции активного кода. До своего обнаружения червь успел заразить 13 тысяч пользователей, что не очень много. Например, предыдущий червь, распространявшийся в социальной сети Orkut, сумел заразить более полумиллиона компьютеров.
• В мае 2008 года социальная сеть В КОНТАКТЕ также обзавелась своим собственным червем. Червь рассылал пользователям социальной сети ссылку на картинку в формате JPG, размещенную на вредоносном сервере в Интернете. На самом деле вместо картинки сервер передавал исполняемый файл deti.scr, который и являлся файлом червя.
• Летом 2008 года пользователи социальной сети ЖИВОЙ ЖУРНАЛ подверглись атаке троянской программы, которая перед этим хорошенько поиграла на нервах пользователей социальной сети ОДНОКЛАССНИКИ. Речь идет об аккаунте с милым именем Наталья, который ежедневно добавляет в свой список друзей примерно несколько десятков новых пользователей. И если вы удивитесь такому поступку девушки с милым именем Наталья, перейдете на ее страницу и кликните по ссылке, тогда… впрочем, вы уже и сами знаете, что будет тогда.
• В августе 2008 года сетевыми червями Net-Worm.Win32.Koobface.a и Net-Worm.Win32.Koobface.b были заражены две социальные сети: MySpace и Facebook. Данные черви оставляли послания всем пользователям из списка друзей зараженной учетной записи. Частью послания была ссылка на сайт, на котором предлагалось просмотреть видео. Однако перед этим требовалось скачать и установить новую версию Flash Player. А точнее, установить новую версию сетевого червя.

Конец января 2008 года Именно этого времени с трепетом, ужасом и робкой надеждой ожидал 25-летний хакер, осужденный по трем статьям УК РФ. А сделал он не очень много. Просто скачал троянскую программу. Просто внедрил ее в другую программу. А потом просто выложил в файлообменную сеть бесплатную программу с такой «ядерной начинкой». Ну и, в самом конце, просто использовал пароли для доступа в Интернет, добытые троянской программой у доверчивых пользователей, позарившихся на бесплатный сыр в мышеловке.

Примерно за 2-3 месяца на компьютере у нашего хакера скопилось около 400 логинов и паролей доверчивых пользователей. Кстати, а вы, случайно, в последнее время никаких бесплатных программ с Интернета не скачивали?

Конец января 2008 года Этого же времени с ужасом ожидали и 150 других граждан, обвиняемых в пособничестве в ограблении банка. И ведь сделали они сущие мелочи — соблазнились на объявления, в которых обещали заплатить проценты за посредничество. Заключалось же посредничество в переводе крупной суммы на другой счет в банке через счета посредников.

Таким образом неизвестные хакеры пытались перевести 200 тысяч долларов, украденных у клиентов банка Nordea с помощью спама и заражения троянскими программами. Сначала хакеры рассылали электронные письма якобы от имени службы технической поддержки банка. Они предлагали воспользоваться ссылкой, чтобы перейти на страницу банка и обновить сведения системы безопасности: личный номер, номер банковской карточки и пин-код. Но через некоторое время банк предупредил всех клиентов об опасности. И после этого хакеры начали рассылать троянскую программу, которая воровала учетные данные, вводимые пользователем на страницах банка Nordea.

Банк Nordea очень долго не обращался в правоохранительные органы, боясь огласки и потери репутации. Ущерб, которые наносили хакеры клиентам банка, возмещался из средств банка, и клиентов просили не разглашать сведения о случившемся. Если бы не такие «меры предосторожности» ущерб от хакеров был бы меньше.

Весна 2008 года В последнее время все большее количество сайтов взламывается для того, чтобы разместить на них вредоносные коды. Так, по данным ScanSafe 68% обнаруженного в мае 2008 года вредоносного ПО было размещено на зараженных веб-страницах.

Существует два способа внедрения вредоносных сценариев на сайты. Первый заключается в создании сценария, который бы искал в сайтах определенную уязвимость, и в случае ее обнаружения инфицировал сайт. Данный способ не избирателен, заражению подвергаются любые сайты, от корпоративного сайта до домашнее странички Васи Пупкина. Но зато данный способ может поразить своей массовостью — как вам заражение сотен тысяч сайтов за несколько дней?

Причем далеко за примером ходить не нужно — весной 2008 года ИТ-компании Websence и F-Secure сообщили о взломе почти 500 000 сайтов, работающих на базе ПО Microsoft. И все это натворил один единственный сценарий, использующий для внедрения SQL-инъекции.

Второй способ направлен на конкретный сайт. Злоумышленник специально ищет жертву среди сайтов, которые недавно стали очень популярны, после чего заражает его. Именно такой способ использовался для заражения сайта, продающего билеты на Euro 2008. Именно такой способ использовался для заражения сайта во время прошлых состязаний. И именно такой способ будет использоваться для заражения сайта на будущих состязаниях.

Май 2008 года Эта дата вошла в сердца заядлых геймеров. Ведь именно в начале мая появилась в продаже игра Grand Theft Auto IV. В день релиза игры миллионы геймеров пожелали первыми приобрести столь долго ожидаемое чудо. Некоторым удалось исполнить свое желание. Счастливцы. Другие же с грустью отправились домой — первая партия игры быстро разошлась. Грустные и несчастные они заглянули на свой электронный ящик — и о чудо! Им предлагают принять участие в специальном розыгрыше, победитель которого сможет получить заветную игру!

У геймеров большое сердце. Они доверчивы как дети. Собственно, они чаще всего детьми и являются. Естественно, что они откликнулись на зов удачи. И на крыльях мечты начали загружать вредоносное ПО, которое жадные спамеры разработали специально для кражи банковских паролей.

Май 2008 года Вам не нравится браузер Internet Explorer? Вы пользуетесь сторонними браузерами? В таком случае вам будет интересно узнать о браузере Mozilla Firefox и ложке дегтя, которую по неосторожности в него вложили.

Целых несколько месяцев вьетнамский языковой пакет для браузера Mozilla Firefox был заражен троянской программой Xorer. Припомните, не загружали ли вы данную локализацию с 18 февраля по начало мая 2008 года? Загружали? Тогда можете не удивляться, почему это ваш браузер отображает так много рекламных сообщений.

Не спорю, с тех пор много воды утекло. Но поверьте, человеческий фактор от этого нисколько не изменился. Поэтому будьте бдительны и не доверяйте даже мега популярным продуктам.

Глава 4. Антивирусная защита корпоративной компьютерной системы

Рейтинг уязвимостей в серверном ПО за 2007 год.

Веб сервера: Apache HTTP Server (степень опасности не выше средней) — 7 уязвимостей, из них исправлено 6; Lotus Domino Web Server (степень опасности не выше средней) — 2 уязвимости, все исправлены; Microsoft IIS (степень опасности не выше средней) — 1, исправлена; Sun One Web Server (степень опасности не выше средней) — 6 уязвимостей, все исправлены; IBM HTTP Server (степень опасности низкая) — 4 уязвимости, все исправлены; Другие Веб сервера (степень опасности не выше высокой) — 28 уязвимостей, из них исправлено 18.

Почтовые сервера: CommuniGate Pro (степень опасности низкая) — 1 уязвимость, исправлена; Ipswitch IMail Server (степень опасности не выше высокой) — 3 уязвимости, из них исправлено 2; Microsoft Exchange (степень опасности критическая) — 1 уязвимость, исправлена; Sendmail (степень опасности средняя) — 1 уязвимость, исправлена; MDaemon (степень опасности средняя) — 1 уязвимость, исправлена; MailEnable (степень опасности средняя) — 3 уязвимости, из них исправлено 2; Courier (степень опасности высокая) — 1 уязвимость, исправлена; Другие (есть уязвимости с критической степенью опасности) — 21 уязвимость, из них исправлено 14.

Базы данных: IBM DB2 (степень опасности не выше средней) — 7 уязвимостей, исправлены; Informix (степень опасности низкая) — 1 уязвимость, исправлена; InterBase/Firebird (степень опасности не выше средней) — 5 уязвимостей, из них исправлено 4; Microsoft SQL Server — уязвимостей не было; MySQL (степень опасности низкая) — 6 уязвимостей, исправлены; Oracle (есть уязвимости критической степени опасности) — 6 уязвимостей, из них исправлено 5; PostgreSQL (степень опасности низкая) — 2 уязвимостей, исправлены; Другие (степень опасности не выше средней) — 6 уязвимостей, из них исправлено 5.

Спамеры вызывают в суд Вас уже не удивить «нигерийскими» письмами и сообщениями от работников банка? Вы сразу же удаляете такие сообщения? Правильно, так и нужно.

А что вы будете делать, если к вам придет сообщение с повесткой в суд? Причем, в сообщении будут указаны ваше имя и фамилия. Именно такие сообщения были разосланы многим руководителям известных компаний. В повестках предлагалось перейти по ссылке, чтобы подробнее ознакомиться с повесткой. Вы бы перешли по такой ссылке?

И совершенно напрасно. Ведь именно таким способом спамеры пытались заразить компьютеры высокопоставленных служащих. Если бы служащий перешел по ссылке, на его компьютер была бы загружена вредоносная программа.

И не только в суд… Но просто вызов в суд — это еще цветочки. А как вам понравится сообщение от лица компании Media Defender, в котором вам сообщается, что вас застукали за скачиванием с Интернета пиратских файлов мультимедиа? И что против вас даже собраны неопровержимые улики, посмотреть на которые можно перейдя по ссылке. Если бы вы перешли по ссылке, указанной в таком письме, тогда на ваш компьютер была бы установлена вредоносная программа.

Компания Media Defender раньше являлась неким следственным отделом Американской Ассоциации Звукозаписи (RIAA). Она занималась поиском и привлечением к суду пользователей, которые скачивали нелицензионные файлы мультимедиа. Поэтому даже мысль о письме с таким содержимым бросала в жар любого любителя «халявы».

Банки с трещиной В предыдущей главе мы уже прочитали множество историй об отдельных пользователях, которые потеряли свои кровные сбережения из-за вредоносных программ. Но ведь такое может грозить не только частным лицам, но и целым коммерческим организациям. И уж поверьте, масштаб ущерба у предприятий несопоставим с тем ущербом, который причиняют нехорошие люди обычным пользователям.

Например, в сентябре 2008 года директор одного Уральского предприятия за день потеряла 1,5 миллиона рублей. Эти деньги были переведены со счета предприятия в банке на другие счета, и дальше затерялись в пучине мировых событий. Кто в этом виноват?

Примерно в это же время на сайте банка было опубликовано сообщение об обнаружении вируса, похищающего секретные ключи клиентов. Естественно, что директор фирмы уверена, что деньги ее предприятия были похищены с помощью данного вируса, и, в частности, из-за некачественной программы доступа к клиентскому счету, которую банк ей предоставил. А значит банк должен возместить ей потери.

Банк же категорически не согласен с такой позицией, и заявляет, что предоставленная банком программа полностью защищена. И вообще, директор предприятия сама виновата в случившемся.

В этой истории присутствует и третья сторона — правоохранительные органы. Как ни странно, они также не согласны с мнением банка. Проведя исследования, они сообщили, что программа, предоставляемая банком своим клиентам, показала себя далеко не с лучшей стороны. И что каждый день к ним обращаются представители одной или двух организаций, которые также являются клиентами данного банка и потеряли свои деньги из-за вируса, некачественной банковской программы или причины, о которой заявляет банк.

Обокрасть страну Да что там кража денег у предприятий — как вам инцидент, произошедший в ноябре 2008 года? В это время вирус помог преступникам обокрасть целый американский город Сэндвич. В течение 10 дней мошенники вывели более 50 000 долларов из городского бюджета.

Глава 6. Комплексная защита компьютерной информации

Открыть очередную и последнюю рубрику веселых историй хотелось бы результатами анализа, который сделала компания Trend Micro на основе вредоносного ПО, собранного в период с 1 января по 25 ноября 2008 года.

Итак, по результатам анализа 53% вредоносных программ заражает компьютер вследствие посещения вредоносных сайтов или перехода по ссылкам в почтовых сообщениях. 43% вредоносных программ попадают на компьютер, который уже заражен (предыдущая зараза скачивает новую).

Поражены? Возьмите себя в руки и вернитесь немного назад — еще раз почитайте основные правила безопасности, которые нужно соблюдать, чтобы не заразить ваш компьютер.

А теперь давайте посмотрим на данные той же компании, но уже на декабрь 2008 года.

По сведениям Trend Micro в 2008 году только в 5% случаев заражения компьютера произошло из-за уязвимости в программном обеспечении. В остальных случаях заражение компьютера произошло по вине пользователя. В 53% случаев вредоносной программе удалось убедить жертву скачать и установить свой файл. А 12% пользователей инфицировали свой компьютер путем открытия вложения из электронного письма.

Продолжение следует