Хакерские программы: способы заражения
Проникновение компьютерных червей, вирусов, троянских программ в компьютер возможной жертвы является первостепенной задачей системных хакеров. Способов проникновений множество, но подразделяются они на две основные категории: - социальная инженерия и техническое внедрение. Довольно часто эти два метода применяются в одно время, часто вступая в противодействие с антивирусами.С помощью методов инженерии пользователя ПК принуждают запустить зараженный файл или пройти по ссылке отправляющей на зараженный интернет-сайт. В таких случаях отправляется сообщение (почтовое, через ICQ, иногда через интернет-чаты IRC), привлекающий текст которого заставляет ничего не подозревающего пользователя компьютера кликнуть по ссылке. Этот способ на текущий день является популярным, позволяющий перехитрить чувствительные антивирусные фильтры на почтовых серверах.
Также пользуется популярностью «разводка» потенциальной жертвы, когда дают «халявную» мини программку или FAQ по взлому платежных систем, скачать генератор номеров кредитных карт, увеличить сумму денег в персональном интернет-кошельке и т.д. Жертвы обмана, в основном, не обращаются в правоохранительные органы, поскольку сами пытались быстро заработать мошенническим способом.
Способ проникновения делается для тайного внедрения хакерского кода применяя, «прорехи» в системе безопасности операционной системы и в программном обеспечении. Уязвимость системы даёт возможность червяку или троянской программе залезть в компьютер и самому инсталлировать себя.
Сейчас операционные системы и приложения имеют сложное строение, предусмотреть ошибки в которой, при разаработке просто нет возможности. Этим и пользуются компьютерные взломщики программных кодов.
Например, применяя, уязвимости браузера возможно внедрить хакерский код через страницу интернет-сайта. На web-страницу помещается измененный файл и программа-шпион, которая использует «дыру» в защите браузера. При входе на зараженную страницу программа-сценарий запускается и через уязвимость загружает измененный файл на компьютер, запуская его на выполнение. Завлечь на такую страницу сайта можно при помощи спама (с указанием адреса страницы сайта) или поисковой машины. Для этого на зараженной странице располагается конкретный текст, который считывается поисковиками, и как следствие, ссылка на такую страницу фигурирует в результатах поиска.
Объединение социальной инженерии и технологий реализуется в том, что:
• Первая, обращает внимание;
• Вторая, повышает возможность проникновения модифицированного объекта в систему.
Для примера, распространение спама с темой «Привет» и текстом «Посмотри, что о тебе пишут», а за текстом ссылка на некую страницу интернет-сайта. После некоторого времени оказалось, что данная страница содержит программу-сценарий, которая, используя «дыру» в защите Internet Explorer, закачивала на компьютер пользователя трояна LdPinch, созданную для воровства PIN кодов и паролей.
Нужно подметить, что компьютерные злоумышленники направленно ведут борьбу с антивирусами и файерволами, используя самые различные технические методы. Вот возможные из методов:
1. Сжатие/шифрование кода. Основная часть современных компьютерных червей, вирусов и троянских программ запаковываюся или шифруются специально сделанными для такого программами пакерами или шифрования. Как пример, можно указать абсолютно все файлы, повстречавшиеся на необъятных просторах Интернета, видоизмененные софтом вроде CryptExe, Exerer, PolyCrypt.
2. Видоизменение кода. При выбранном методе функции видоизмененной утилиты сохраняется, но «лицо» разительно изменяется из-за того, что софт разбавляется «мусорными» инструкциями. При этом изменение кода может происходить в реальном времени, при каждом закачивании программы с Web-сайта.
3. Сокрытие присутствия. Так называемые руткиты (rootkit), существуют в основном в видоизмененных утилитах и программах. Захватывая и подменяя системные функции, видоизмененный файл не находится ни штатными средствами операционной системы, ни антивирусами и файерволами.
4. Прекращение рабочего режима программы защиты и/или системы получения обновлений антивирусных баз. Многие системные черви и трояны стараются заблокировать защитные функции антивирусных программ и файерволов, выискивая их в списках активных приложений: «зарубают» загрузку обновлений, повреждают антивирусные базы данных и так далее.
5. Незаметность кода на Web-сайтах. Антивирусные компании все равно вычисляют адреса страниц сайтов, где существуют модифицированные файлы. Код таких интернет-страниц загружается и анализируется новые версии программ заносятся в базы обновлений антивирусов. Чтобы сохранить хакерский код от жесткого глаза антивирусных аналитиков, страница модифицируется особым образом: если запрос выполняется с адреса антивирусной компании, предоставляется для скачивания обычный файл, вместо видоизмененного.
6. Атака количеством. За короткий срок в Сети криминальными объединениями выбрасывается в Интернет огромное количество новых версий троянов. В этих случаях антивирусные компании не в состоянии проводить анализ вредоносных программ, для которых требуется время, что предоставляет хакерскому коду шанс для успешного внедрения в компьютер пользователя. Об этом написано много статей.
Сейчас есть и другие методы противостояния программам безопасности, которые безостановочно дорабатываются из-за активности хакеров, что уже можно с уверенностью говорить о настоящей войне технологий между вирусной и антивирусной индустрией.