Специалисты «Лаборатории Касперского» обнаружили вредоносную программу для мобильных устройств на платформе Android, обладающую целым спектром технических возможностей. Сотрудники компании подчеркнули, что некоторые из функций троянского вируса (зловреда) были выявлены впервые.

«Большинство троянов похожи друг на друга: пробравшись на устройства, они воруют платёжные данные его владельца, добывают для злоумышленников криптовалюту или шифруют данные, чтобы потребовать выкуп. Но иногда встречаются экземпляры, чьи возможности заставляют вспомнить голливудские фильмы про шпионов», — говорится в посвящённом вирусу сообщении «Лаборатории Касперского».

Там рассказали, что обнаруженная вредоносная программа Skygofree обладает 48 различными функциями, в том числе и уникальными, которые специалисты компании прежде не встречали у зловредов.

Например, троян Skygofree может отслеживать местоположение заражённого устройства и включать запись звука в тот момент, когда его владелец находится в определённом месте.

«Ещё один интересный приём, который освоил Skygofree, — незаметно подключать заражённый смартфон или планшет к Wi-Fi-сетям, находящимся под полным контролем злоумышленников. Даже если владелец устройства вообще отключил Wi-Fi на устройстве», — рассказали в «Лаборатории Касперского».

Это позволяет не только анализировать трафик жертвы, но и считывать вводимые пользователем логины, пароли или номера карт. Также зловред может следить за работой целого ряда мессенджеров, включая Facebook Messenger, WhatsApp, Skype и Viber, собирая их текстовые сообщения.

«Наконец, Skygofree может скрытно включить фронтальную камеру и сделать снимок, когда пользователь разблокирует устройство», — добавили эксперты.

• Reuters
• Robert Galbraith

Специалисты компании обнаружили Skygofree в начале октября 2017 года, однако в ходе изучения зловреда выяснилось, что первоначальные версии этой программы были созданы ещё в конце 2014 года. С тех пор функциональность трояна существенно увеличилась и программа приобрела некоторые уникальные способности.

По данным «Лаборатории Касперского», Skygofree распространялся на интернет-страницах, имитирующих сайты мобильных операторов и посвящённых оптимизации скорости мобильного интернета.

Согласно данным компании, атаке вируса подверглись лишь несколько пользователей, причём исключительно в Италии.

Также в ходе исследования зловреда были обнаружены несколько шпионских инструментов для Windows, однако применялась ли программа для атаки на эту операционную систему, пока неизвестно.

«Он не атакует сотни тысяч пользователей»

RT поговорил с антивирусным экспертом «Лаборатории Касперского» Виктором Чебышевым, который рассказал некоторые подробности о новом вирусе. По его словам, Skygofree удавалось долгое время оставаться незаметным, поскольку этот шпион-троянец использует недокументированные возможности системы и повышает свои привилегии таким образом, что все его действия «остаются за кадром».

«Он находится почти на уровне системы, и все возможности, которые он реализует, они для пользователя абсолютно прозрачны. То есть пользователь не видит никакой активности, не слышит никаких действий, просто остаётся в неведении», — пояснил Чебышев.

Собеседник RT уточнил, что создать подобную программу очень непросто, поэтому над ней, скорее всего, работала целая команда профессионалов высокого уровня, разбирающихся во всех особенностях операционной системы Android.

По словам антивирусного эксперта, ещё одна особенность вируса, позволившая ему действовать незамеченным, — это узкая направленность, заточенность Skygofree под атаку конкретного пользователя.

«Это шпион, который ориентирован не на массовый сегмент. Он не атакует сотни тысяч пользователей, выжимая из них по чуть-чуть. Это шпионское приложение, которое атакует конкретных людей», — рассказал Чебышев.

«Его создают так, чтобы он был невидим и для жертвы, и для всех остальных вокруг. Плюс у него есть механизмы зачистки следов, которые уничтожают его после того, как он отработал», — добавил эксперт.

• Виктор Чебышев: это шпион, который не ориентирован на массовый сегмент

Он уточнил, что целью шпионского вируса стали устройства на платформе Android, поскольку именно эта система позволяет устанавливать приложения из сторонних источников, а не только с официального магазина приложений Google Play. Тем не менее уязвимыми для подобных зловредных программ могут стать не только Android-устройства.

«В других ОС такая возможность отсутствует, все приложения устанавливаются из одного централизованного источника, который модерируется. И вероятность заражения, таким образом, минимальна. Однако она не исключена», — пояснил эксперт.

«Это целая команда, можно сказать, организованная преступная группировка. Ресурсы серьёзные», — отметил Чебышев.

Эксперт уточнил, что основной целью раскрытого троянца никогда не была атака на широкие массы людей. Программа рассчитана именно на шпионаж, слежку за конкретным человеком, в устройства которого она «подсаживается». По его словам, спектр применения этой программы может простираться от промышленного шпионажа до слежки за госслужащими.

«Основная задача этого троянца — понимание того, что происходит с жертвой, вокруг неё, что она делает, куда она ходит, с кем разговаривает, с какими документами она взаимодействует... Он умеет снимать видеокамерой, снимать фотографии, записывать разговоры в конкретной ситуации», — рассказал сотрудник «Лаборатории Касперского».

• Виктор Чебышев: этот троян следит за конкретными людьми

Антивирусный эксперт уточнил, что сразу после обнаружения вируса компания обеспечила своим клиентам защиту. Говоря об угрозе обычным пользователям по всему миру, Чебышев отметил, что они никогда не были целью зловреда, но призвал не расслабляться.

«Если говорить про масс-рынок, про нас с вами, то атака, скорее всего, нам не грозила с самого начала. Атакуют конкретных лиц. Тем не менее (массовую атаку. — RT ) не стоит списывать со счетов: то, что реализовано в этом троянце, может быть растиражировано, оно может быть распространено на огромное число пользователей», — подчеркнул собеседник RT.

Говоря о способах противостояния вирусной угрозе, эксперт призвал всех пользователей в первую очередь не устанавливать приложения из сторонних источников. Кроме того, он посоветовал потребителям обезопасить свои мобильные устройства, установив хорошее защитное решение, которое не позволит пройти по вредоносной ссылке и заблокирует установку вирусного приложения.

«Обязательно нужно применять меры личной гигиены своего девайса. Потому что не ровён час атакуют вас, и тогда всё будет печально. С защитным решением же всё будет хорошо», — подытожил Чебышев.

Вирусы - это вредоносные программы, которые могут нанести вред Вашему компьютеру, программам и важным документам. Вирусы обычно создаются преступно настроенными программистами, желающими проверить свой профессионализм или доказать всему миру, что они превосходят специалистов в области компьютерной безопасности. Подобные вирусы нацелены принести определенный урон конкретному лицу или даже целой организации, спровоцировать потерю или кражу конфиденциальной информации. Страшнее всего то, что время от времени вирусы выходят из под контроля и распространяются на большое количество компьютеров.

Заразить компьютер можно множеством способов. К примеру, Вы можете просто запустить незнакомую программу или же перемещаться по сети и вдруг обнаружить, что Ваш компьютер начал вести себя довольно странно. Скажем, обнаруживается критическая ошибка когда Вы пытаетесь запустить некую программу, которая еще вчера отлично функционировала, или же Ваш компьютер стал самостоятельно производить непонятные операции. Обычно подобные вирусы не очень опасны, т.к. их можно быстро обнаружить популярными анти-вирусными программами, такими как True Sword. Но существует другая категория вирусов, которые не обнаруживают себя каким-либо специфическим поведением. Но в то же время, подобный вирус может быть активизирован таймером или удаленной командой. Последствия могут быть печальными: физические повреждения дорогостоящих компонентов компьютера и потеря важной информации.

Обнаруживает и уничтожает более 4000 опаснейших вирусов. удаляет даже неизвестные вирусы благодаря уникальной технологии эвристических алгоритмов.

Троянские кони (трояны)

Значение термина "троянский конь (троян)" источник информации - Вебопедия:
«Это разрушительные программы, которые маскируются под безопасные. В отличие от вирусов, трояны не размножаются, но это не делает их менее опасными. Один из самых коварных типов троянских коней - программа, которая предлагает избавится от вирусов на Вашем компьютере, но при этом, наоборот, впускающая их. Сам термин был заимствован из Илиады Гомера, повествующей о том, как греки подарили гигантского коня в знак примирения своим врагам, троянцам. Но после того, как троянцы разместили деревянного коня в стенах своего города, группа греческих солдат появилась из брюшной полости подарка и открыла ворота остальным войскам государства Древней Греции.»

Наши продукты - и - уничтожают большое количество распространенных троянов. Процесс уничтожения схож с удалением вирусов.

Шпионское ПО

«Это любое программное обеспечение, которое скрытно собирает пользовательскую информацию посредством интернет соединения без ведома самого пользователя. Данная информация собирается с целью предложения ее хозяину принудительной рекламы. Приложения шпионского ПО, как правило, являются скрытыми компонентами бесплатного или условно-бесплатного программного обеспечения, которое может быть загружено откуда угодно из интернета. Однако, необходимо сделать оговорку, что большинство бесплатного или условно-бесплатного программного обеспечения идут в комплекте со шпионскими программами. После установки шпионские приложения следят за активностью пользователя в Интернете и передают всю информацию в фоновом режиме третьим лицам. Шпионское ПО также может собирать сведения об адресах электронной почты и даже паролях и номерах кредитных карт. Шпионское программное обеспечение схоже в троянскими конями в том, что пользователи сами неосознанно устанавливают эти продукты, когда пытаются загрузить что-нибудь еще. Обычно пользователи заражают свои ПК путем скачивания неких программ для работы с пиринговыми сетями (торренты и др.).

Прочь от вопросов этики и защиты конфиденциальности, шпионское программное обеспечение обворовывает пользователей, используя ресурсы компьютерной памяти, а также снижая производительность, т.к. оно отсылает информацию третьим лицам, используя пользовательское интернет соединение. Поскольку шпионские программы используют ресурсы памяти и целой системы, приложения, работающие в фоновом режиме, могут спровоцировать сбои системы или общую нестабильность системы.
Так как шпионское программное обеспечение существует в виде независимых исполняемых файлов, у него есть возможность следить за набираемыми комбинациями клавиш, сканировать файлы на жестком диске, заглядывать в другие приложения, такие как программы чатов или текстовые редакторы, устанавливать другие шпионские приложения, читать cookie-файлы, менять настройки по умолчанию в программах навигации в Интернете, последовательно передавая всю информацию третьим заинтересованным лицам, использующим ее в рекламных/маркетинговых или же явно преступных целях.

Лицензионные соглашения, сопровождающие процессы скачивания программного обеспечения иногда предупреждают пользователей о том, что будут установлены и шпионские приложения наряду с запрашиваемым ПО, но данные документы не всегда читаются, т.к. уведомление об установке шпионского программного обеспечения обычно подается в трудночитаемых оговорках.»

Располагает обширной базой данных известных шпионских программ. Наш продукт находит и уничтожает шпионские приложения, оберегая конфиденциальность пользователя. при помощи эвристических алгоритмов удаляет даже шпионов, не присутствующей в базе данных.

Рекламное ПО

Значение термина "Шпионское программное обеспечение" источник информации - Вебопедия:
«1) Это тип шпионских программ, которые собирают информацию о пользователе с целью навязывания рекламных объявлений в программах просмотра интернета в зависимости от сетевых предпочтений самого пользователя.
2) Это программное обеспечение, которое попадает к пользователю в комплекте с другими приложениями.»

ПО слежения

По слежения - это вид шпионского программного обеспечения, которое собирает информацию о каждом действии, производимом на Вашем компьютере. Практика схожих программ используется управляющими для контроля своих подчиненных и выявления их действий на корпоративных машинах. Также ревнивые супруги не гнушаются использовать ПО слежения для "приглядывания" за своими половинками. Список можно продолжать долго. Главное - это то, что программы по слежению ущемляют (или даже нарушают) Ваше право конфиденциальности беспардонным образом.

И спроектированы, чтобы блюсти Вашу конфиденциальность.

Вредоносные "звонилки"

"Звонилки" - это тип программного обеспечения, использующий Ваш модем для совершения дорогостоящих звонков без Вашего ведома на номера, в большинстве случаев принадлежащих компаниям, предоставляющим услуги для взрослых (также они могут называться ХХХ услуги). Заразить компьютер подобными "звонилками" можно во время обычных интернет сессий.

И находят и удаляют более, чем 100 известных различных вредоносных "звонилок".

Клавиатурные шпионы

Клавиатурные шпионы - это тип программного обеспечения по слежению, которое записывает все вариации наборов клавиш на Вашем компьютере в специальный файл и отправляет его третьим лицами (т.е. хакерам). Клавиатурные шпионы в особенности используются для организации кражи имен пользователей, паролей, адресов электронной почты, номеров кредитных карт и т.д. удаляет огромное количество клавиатурных шпионов. Для еще лучшей защиты Вашего ПК от данного вредоносного ПО, используйте , который блокирует ВСЕ типы клавиатурных шпионов, как известные, так и неизвестные.

Схема мошенничества

Трояны - это шпионские программы, цель которых получать определенную информацию с компьютера жертвы и отправлять ее через интернет, автору трояна.

Трояны часто путают с вирусами, однако в отличие от вирусов, основная цель которых причинить вред компьютеру жертвы, размножиться и заразить другие компьютеры, трояны решают более практичные задачи.

Языком аналогий, вирус можно сравнить с вандалом-беспредельщиком, носящимся по городу, крушащим все на своем пути, одновременно подбивающим малодушных граждан присоединиться к погрому. Трояны же - это специально обученные вражеские агенты, которые сидят в засаде и ждут команды, либо определенных событий, после чего выходят из норы и методично исполняют заложенные в них задачи.

Основные функции троянов — воровство логинов, паролей, номеров счетов и карт, другой конфиденциальной информации, с последующей передачей похищенного, хозяину трояна. Обычно троян состоит из клиентской и серверной части. Серверная часть, обычно, на компьютере жертвы, клиентская — у хозяина трояна. Хозяином трояна может быть его создатель, но часто трояны пишутся на заказ для выполнения определенных задач. Связь клиентской и серверной частей осуществляется через какой-либо открытый порт. Протокол передачи данных — обычно TCP/IP, но существуют трояны, использующие и другие протоколы связи (к примеру ICMP и UDP). Обычно троян маскируется под какую-либо полезную программу, либо самораспаковывающийся архив. При ее запуске вначале происходит выполнение кода трояна, который затем передает управление основной программе. Троян также может быть просто, но эффективно замаскирован под файл с любым дружественным расширением — например, GIF, DOC, RAR и др.

Классификация троянов

Борьба с троянами

Прежде всего, нужно не допустить попадания трояна в компьютер, а для этого нужен антивирус. К сожалению, антивирус не способен 100% защитить ваш компьютер от попадания трояна.

Тут на помощь приходит файервол, задача которого следовать правилу "все, что не разрешено - запрещено" т.е. только вы будете регулировать правила для программ, разрешая им отправлять или получать информацию из интернета.

Выглядит это следующим образом, как только новая программа, пытается отправить информацию в интернет, файрвол выдает вам сообщение, указывая какая программа хочет отправить информацию. Если вы видите, что данная программа вам неизвестна, то вы просто жмете на кнопку «Запретить исходящий трафик», в результате чего файрвол создает правило и в дальнейшем больше вас не беспокоит этим сообщением. Подробно о выборе и настройке файрвола, советуем почитать специализированную литературу.

Также рекомендуется периодически проверять компьютер, на наличие троянов, специальными программами, название которых и подробное описание использования вы легко найдете на сайтах, посвященных информационной безопасности, в т.ч. Касперский и Dr.Web

Материал подготовлен при участии независимого консультанта по информационной безопасности - Ланцова Максима

С детства мы слышали, что хорошие - это разведчики, они работают на наших. А плохие - это шпионы, это чужие - те парни в черных очках, в застегнутых на все пуговицы макинтошах и с пачкой долларов в кармане. Наступил двадцать первый век, и теперь вовсе не прорезиненные плащи называют макинтошами, хотя шпионы в них все равно заводятся… Встречай сегодня на арене: шпионское ПО от «доброй» и «злой» (как посмотреть, а?) сторон силы.

Разведчики: малварь для нужд правительства

Летом 2012 года сотрудники антивирусной лаборатории Касперского обнаружили вредонос, получивший название Morcut. Его применили к группе независимых журналистов из Марокко, освещавших события в ходе «арабской весны», их компьютеры заражали целенаправленно через сервис электронной почты.

В классификации других антивирусных компаний вредонос имеет наименование Crisis (Symantec) и DaVinci (Dr.Web). В ходе проведенного компанией Dr.Web расследования было установлено, что Morcut является компонентом системы удаленного контроля DaVinci, которую разрабатывает и продает компания Hacking Team.

DaVinci

Система DaVinci позиционируется разработчиком как СОРМ (система технических средств для обеспечения функций оперативно-разыскных мероприятий) для использования правительственными структурами и правоохранительными органами. Кроме компании Hacking Team, подобные СОРМ разрабатывает ряд других компаний. Как правило, это комплекс программ, состоящий из управляющего сервера и клиента-агента. Агент незаметно для пользователя устанавливается на компьютер и имеет следующие функции:

• поиск и формирование списка файлов, удовлетворяющих заданным критериям;
• отправка произвольных файлов, в том числе электронных документов, на удаленный сервер;
• перехват паролей от сервисов электронной почты и социальных сетей;
• сбор данных о посещаемых ресурсах сети Интернет;
• перехват потока данных систем электронной голосовой связи (Skype);
• перехват данных систем мгновенного обмена сообщениями (ICQ);
• сбор информации о контактах с мобильных телефонов, подключаемых к компьютеру;
• запись аудио- и видеоинформации (при наличии подключенных веб-камеры и микрофона).

По данным издания Wall Street Journal, ряд европейских компаний поставляли СОРМ на базе СПО с таким функционалом в страны Ближнего Востока, правительства которых использовали их для борьбы с оппозиционно настроенными слоями населения.

Неправительственная организация Privacy International (Великобритания), занимающаяся выявлением фактов нарушения прав человека, проводит постоянный мониторинг международного рынка СОРМ и ведет перечень компаний - разработчиков решений в этой сфере. Перечень составляется на основе анализа компаний - участников специализированной конференции ISS World (Intelligence Support Systems - системы обеспечения сбора информации). На этом мероприятии, которое проводится регулярно несколько раз в год, встречаются потенциальные покупатели и разработчики СОРМ. Вот некоторые из компаний, разрабатывающих вредоносы под видом СОРМ.

FinFisher (finfisher.com), подразделение Gamma International (Великобритания)

По некоторым данным, после отставки Хосни Мубарака после событий 2011 года в Египте были найдены документы (см. рис. 3, 4), указывающие на то, что компания FinFisher предоставляла услуги по слежению за гражданами Египта при помощи комплекса FinSpy. Факт покупки пятимесячной лицензии режиму Мубарака в Египет за 287 тысяч евро компания упорно отрицает. FinSpy способен перехватывать телефонные звонки Skype, красть пароли и записывать аудиовидеоинформацию. На компьютеры пользователей FinSpy устанавливается так: через электронную почту отправляется сообщение со ссылкой на вредоносный сайт. Когда пользователь откроет ссылку, ему предложат обновить программное обеспечение. На самом деле вместо обновления будет установлен зловред. Способ распространения FinSpy через электронную почту был отмечен летом 2012 года в отношении продемократических активистов Бахрейна.

Hacking Team (hackingteam.it), Италия

Разработчик системы удаленного контроля DaVinci, которую позиционируют как средство слежения, предназначенное для использования правительствами и правоохранительными органами различных государств. Функционал DaVinci аналогичен FinSpy - это перехват Skype, электронных писем, паролей, данных средств мгновенных сообщений (ICQ), а также запись аудиовидеоинформации. Клиентская часть DaVinci способна функционировать как в среде операционных систем семейства Windows (версии XP, Vista, Seven), так и в среде операционных систем семейства Mac OS (версии Snow Leopard, Lion). Цена системы DaVinci предположительно составляет около 200 тысяч евро, в нее заложены обязательства постоянно обновлять и поддерживать продукт до того момента, пока конечная цель атаки (получение нужной информации) не будет достигнута.

Area SpA (area.it), Италия

В ноябре 2011 года стало известно, что сотрудники этой компании установили систему мониторинга для сирийского правительства, способную перехватывать, сканировать и сохранять практически все сообщения электронной почты в стране. Через месяц после выявления этого факта ЕС запретил экспорт технических средств наблюдения в Сирию и их обслуживание. Система была развернута на основе договора с сирийской телекоммуникационной компанией STE (Syrian Telecommunications Establishment), являющейся основным оператором стационарной связи в Сирии. Для установки применялся способ, эффективный при наличии доступа к телекоммуникационным сетям (спецслужбы государства и правоохранительные органы имеют такой доступ), - подмена информации. Например, пользователь при поиске информации в google.com получал ссылки, ведущие на вредоносный сайт, и заражался под видом установки компонентов браузера, необходимых для корректного отображения содержимого сайта.

Amesys (amesys.fr), подразделение Bull SA, Франция

Журналисты Wall Street Journal в одном из оставленных сторонниками Каддафи центров интернет-мониторинга в Триполи (Ливия) обнаружили использование системы слежения компании Amesys. По их свидетельствам, ливийские власти могли читать электронную почту, получать пароли, читать мгновенные сообщения и составлять карты связей между людьми. Документы, выложенные на ресурсе WikiLeaks, показали, что система, развернутая Amesys, позволяла следить за диссидентами и оппозиционерами даже за рубежом, например живущими в Великобритании.

Шпионы

Трояны, использованные в ходе кибератак в 2013 году, в основном уже не представляли собой ничего из ряда вон выходящего. Если 2012 год стал для «Лаборатории Касперского» годом пиара на теме hi-tech-кибероружия, то в 2013 году появился новый тренд - использование в целевых атаках широко распространенных вредоносных программ, в противовес явно написанным командой профессионалов под конкретные цели. И все чаще отдельные признаки указывают на таких возможных организаторов атак, как Китай и Северная Корея. Таким образом, можно говорить о так называемых «западной» и «азиатской школах» написания троянов, используемых для проведения атак класса APT. Что характерно для «западной школы»?

1. Вкладываются значительные финансовые ресурсы.
2. Вредоносный код подписывают цифровой подписью легальных контор, сертификаты для нее обычно крадутся с взломанных серверов, что требует определенной подготовительной работы, людских ресурсов и в конечном итоге пункта номер 1. Подпись позволяет без проблем устанавливать драйверы для перехода в режим ядра, что дает возможность реализовывать руткит-функции, а также в ряде случаев обходить защиту антивирусных средств.
3. Широко используются zero-day-уязвимости для скрытого запуска и повышения своих привилегий в системе, такие уязвимости стоят немало, так что опять смотри пункт 1.

С 2010 года были обнаружены следующие вредоносные программы с броским ярлыком «кибероружие» (см. рис. 2), в этой статье мы не будем расписывать их подвиги полностью - мы это уже делали ранее, - а просто пройдемся по их самым интересным особенностям.

Stuxnet

Выделяется на общем фоне тем, что он пока единственный представитель малвари, способный физически повредить некоторые объекты предприятия. Так что к классу кибероружия фактически можно отнести только его. Что в нем было еще интересного - четыре zero-day-уязвимости, распространение на USB не через тривиальный autorun.inf, а через уязвимость обработки ярлыков MS10-046. При автозагрузке с флешки через вредоносный ярлык срабатывал руткит-компонент, после чего вредоносные компоненты Stuxnet, размещенные на USB flash, становились невидны. Имел функции червя, как у Conficker (MS08-067), а также метод распространения по сети через уязвимость подсистемы печати (MS10-061). Драйверы были подписаны украденными сертификатами.

Duqu

В качестве контейнера для доставки использовался документ Word (запуск через уязвимость в обработке шрифтов MS11-087, zero-day), адресно отправляемый по электронной почте. Драйверы, как и у Stuxnet, были подписаны, чем до сих пор некоторые антивирусные аналитики пытаются обосновать связь между Stuxnet и Duqu.

Flame

Интересен тем, что подпись компонентов принадлежит Microsoft, создана она путем подбора коллизии MD5. Нереально большой размер исходника, порядка 20 Мб, использование большого количества стороннего кода. Есть модуль, который использует Bluetooth для перехвата информации с мобильных устройств.

Gauss

Имеет модульную структуру, модулям присвоены внутренние имена знаменитых математиков, таких как Гёдель, Гаусс, Лагранж. Использует съемный носитель для хранения собранной информации в скрытом файле (это позволяет информации утекать через защитный периметр, где нет интернета, на флешке). Содержит плагины, предназначенные для кражи и мониторинга данных, пересылаемых пользователями нескольких ливанских банков - Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais.

MiniFlame

Cмежный с Flame проект. В ходе анализа командных серверов Flame было установлено, что существовали четыре разных типа клиентов («вредоносных программ») под кодовыми названиями SP, SPE, FL и IP. MiniFlame соответствует названию SPE, Flame, соответственно, - FL. Вредоносы с названиями SP и IP так и не были обнаружены in the wild.

Sputnik

Способен красть данные с мобильных устройств, собирать информацию с сетевого оборудования (Cisco) и файлы с USB-дисков (включая ранее удаленные файлы, для чего использует собственную технологию восстановления файлов), красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP-сервера, а также извлекать файлы с локальных FTP-серверов в сети.

MiniDuke

Написан на ассемблере, что в наше время уже вызывает удивление (видать, вербанули кого-то старой школы). Адреса командных серверов берутся из Twitter. Если с Twitter не срослось, использовался Google Search, чтобы найти зашифрованные ссылки к новым серверам управления.

Китайские кибергруппировки пытаются не отставать от прогресса, и, например, такой троян, как Winnti, используемый для атак на компании, занимающиеся компьютерными онлайн-играми, содержит в себе подписанные драйверы.

Шпионы азиатской школы

• Июль 2012 - Madi;
• август 2012 - Shamoon;
• ноябрь 2012 - Narilam.

Все они написаны на Delphi (lameware:)), код особенной технологичностью не блещет, о zero-day и подписях нечего и говорить. Налицо использование паблик технологий и методов. Но тем не менее - они работают! Кстати, трояны с деструктивными функциями на волне APT-атак опять входят в моду, Shamoon и Narilam как раз из их числа. Они использовались, чтобы парализовать работу отдельных организаций путем уничтожения информации на ЭВМ.

Проблемы терминологии

Старые термины типа «вирус», «червь» и «троян» уже не в полной мере соответствуют реалиям. Особенно прискорбно, что журналистам интернет-изданий глубоко фиолетово, чем вирус отличается от трояна, и человеку, мало-мальски разбирающемуся в теме, режут слух такие словосочетания, как «вирус stuxnet», «вирус kido» или «вирус carberp». В очередной раз вспомним основные понятия:

• вирус - имеет функцию самораспространения, заражает исполняемые файлы;
• троян - не имеет функции самораспространения;
• червь - имеет функцию самораспространения, в классическом понимании - через использование уязвимостей сервисов ОС, доступных по сети (червь Морриса), чуть позже - через мыло и флешки;
• руткит - использует функции сокрытия признаков своего присутствия в системе.

На практике многие образцы вредоносов сочетают в себе несколько таких характеристик. В наше время малварь впору классифицировать по каким-то иным критериям. Попытаемся разобраться. Прежде всего, любая малварь нашего времени в первую очередь коммерческий проект. Разница только в исходных финансах и конечных целях. Условно можно выделить следующие группы:

• lameware - новомодный термин, означающий малварь, написанную новичками или дилетантами в этом деле (в обиходе - ламерами). Часто пользуются Delphi. Разработка, как правило, не требует никаких финансовых вложений, правда, и доход в относительном выражении мал. Основной фактор, побуждающий к написанию lameware, - потешить свое ЧСВ;
• добротная коммерческая малварь - вредоносы с «мировым» именем, имеющие несколько поколений и ведущие свою историю на протяжении нескольких лет;
• APT - шпионские программы, распространение и функционал которых характеризуется точечной направленностью на конкретные цели - компании, организации.

Заключение

Интернетизация, компьютеризация и прочая глобализация облегчили жизнь людям. И нам с тобой, и тем, которые раньше должны были прыгать с парашютом, перегрызать колючую проволоку, подслушивать, подсматривать, подрывать и подкупать. Большую долю работы этих крепких парней сейчас делают талантливые программисты за смешные по меркам соответствующих бюджетов миллионы долларов. Да, кстати, жизнь криминальным личностям, которые раньше должны были бегать с кольтом за почтовыми дилижансами, облегчилась тоже. Будь внимателен и осторожен!