Компьютерные преступления. Понятия и способы борьбы

 

Классификация компьютерных вирусов:

 

• В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы:
• по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макровирусы, вирусы, поражающие исходный код);
• по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);
• по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);
• по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);
• по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).

 

Каналы  распространения.

 

Дискеты.

 

Самый распространённый канал заражения  в 1980—1990-е годы. Сейчас практически  отсутствует из-за появления более  распространённых и эффективных  каналов и отсутствия флоппи-дисководов на многих современных компьютерах.

 

Флеш-накопители (флешки).

 

В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов  распространяется через съёмные  накопители, включая цифровые фотоаппараты, цифровые видеокамеры, портативные цифровые плееры, а с 2000-х годов всё большую роль играют мобильные телефоны, особенно смартфоны (появились мобильные вирусы). Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В Windows 7 возможность автозапуска файлов с переносных носителей была отключена.

 

Электронная почта.

 

 Обычно вирусы в письмах  электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.

 

Системы обмена мгновенными сообщениями.

 

Здесь также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы  мгновенного обмена сообщениями.

 

Веб-страницы.

 

Возможно также заражение через  страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.

 

Интернет и локальные  сети (черви).

 

Черви — вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

Самые известные компьютерные вирусы.

 

1. BRAIN (1986)

 

Brain («Мозг») был новым вирусом,  удар которого был направлен  на компьютеры под управлением  популярной в то время операционной системы Microsoft MS-DOS.

Вирус создали два брата из Пакистана. Басит Фарук Алви (Basil Farooq Alvi) и  Амджад Фарук Алви (Amjad Farooq Alvi), и даже оставили в коде вируса номер телефона своей мастерской по ремонту компьютеров. Вирус Brain инфицировал загрузочный сектор 5-дюймовых дискет объемом 360 Кбайт (уже мало кто помнит такие флопппкп). После заражения вирус постепенно заполнял все неиспользуемое пространство дискеты, делая невозможным дальнейшее ее использование.

У вируса Brain есть еще одна пальма первенства - он был первым вирусом-невидимкой (stealth), прятал себя от любой возможности обнаружения и маскировал инфицированное пространство на диске.

Из-за достаточно слабых деструктивных  и разрушительных проявлений Brain часто  оставался незамеченным, так как многие пользователи обращали мало внимания на замедление скорости работы флоппи-дисков.

 

2. MORRIS (1988)

 

Автор вируса — аспирант Корнельского университета Роберт Таппан Моррис (Robcri Tappan Morris).

Примерно 6 тыс. компьютеров, подключенных к сети Интернет, были инфицированы данным вредоносом. Кстати, отец Морриса был одним из главных экспертов правительства США по компьютерной безопасности, поэтому первые компьютеры- па которые проник не Моррис-папа, не Моррис-сын, по Morris-червь, были частью прабабушки Интернета, знаменитой сети Arpanet, а во Всемирную сеть вирус рвался через сети международных телефонных линий, кабели м спутниковые каналы связи, установленные пентагоном еще и 1969 г.

Позже Моррис утверждал, что червь  был написан не для того, чтобы навредить, но чтобы оцепить размер Интернета. Поселившись в компьютере, он проверял наличие копии себя любимого и, если их не было и он оказывался первым, засчитывал очередного «интернет-жителя». В целях более тщательного учета п но избежание повторного счета в случае удаления непрошенной программы администраторами серверов, которые были не в курсе затеянной электронном переписи. Моррис предусмотрел в своей программе функцию регенерации. Но скорость самовоспроизведения оказалась слишком высока, компьютеры заражались, затем многократно самозаражались. И больше не могли работать. Это случилось непреднамеренно, однако привело к значительному ущербу.

 

3. CIH, ОН ЖЕ «ЧЕРНОБЫЛЬСКИЙ ВИРУС», ОН ЖЕ SPACEFILLER(1998)

 

Этот вирус остался одним  из наиболее опасных и разрушительный, потому что был способен длительное время оставаться незамеченным в памяти компьютера, заражай нее запускаемые программы и приложения. Ни рус CIH был выпущен в Сеть и впервые обнаружен в 1998. (однако пользователи познакомились с его действием в апреле 1999 г.. в 13-ю годовщину аварии на Чернобыльской АЭС), инфицировал исполняемые файлы операционных систем Windows 95, 98 и ME.

Опасной особенностью этого вируса было то, что его активация привязывалась  к конкретном дате, то есть, но сути, являлась миной замедленного действия. После установленной платы вирус перезаписывал вес файлы на жестком диске компьютера м полностью уничтожал его содержимое. Вирус также имел возможность модификации BIOS. после которой компьютер вообще переставал загружатьcя. Автором грозного вируса стал выпускник университета Тайваня Чем Инь Хау (Chen Ing Hau — CIH), которым м дал ему свое имя. Вирус также известен как Spacfillcr благодаря своем способности к незаметному заполнению всего свободного файлового пространства на жестких дисках компьютера, чтобы не допустить установки и запуска антивирусного программного обеспечении. Вредоносная программа вызвала значительным ущерб в ряде азиатских (и не только) стран, парализовала тысячи компьютеров.

 

4. MELISSA (1999)

 

Червь "Мелисса" - впервые появился yа сетевых просторах 2G марта 1999 г. как очередная вредоносная программа для массовой рассылки снами, которыми и по ceй день инфицированы до 20% компьютеров во всем мире. Первыми жертвами стали компьютерные сети таких крупных компаний, как Microsoft, Intel и др.. которые использовали программу MS Outlook в качестве почтового клиента. Пришлось на какое-то время приостановить работ) почтовых серверов по всему миру в целях предотвращения распространения вируса, ну и для того, чтобы удалить вирус из системы.

Распространялся он по электронной  почте, в том числе в виде вложения файла в формате текстового процессора MS Word. Сразу жиле открытия файла вирус  рассылал себя по электронной почте  первым 50 адресатам из списка контактов MS Outlook. Он также переписывал файлы документов в зараженном компьютере, заменяя текст на цитаты из популярного мультсериала "Симпсоны". Также червь Мелисса» активно распространялся через новостную Usenet группу altsех. Создатель вируса Дэвид Л. Смит (David L Smith) дал своему "произведению" имя знакомой стриптизерши из Флориды.

Ущерб от последствий действия этого  вируса оценивается к N0 млн долл. Суд Соединенных Штатов Америки  приговорил Дэвид Смита к 20 месяцам  лишения свободы.

 

5. ILOVEYOU, ОН ЖЕ LOVEBUG, ОН ЖЕ LOVELETTER-ВИРУС (2000)

 

Вирус ILOVEYOU многие считают самым  разрушительным. Он распространялся  но электронной почте в '2000 г. в  виде вложении и сообщения. Вирус  загружал себя в оперативную память и инфицировал все исполняемые  файлы.

Пользователю было достаточно открыть письмо, содержащее вложение и виде файла LOVE-LETTER-FOR-YOU.txt. vbs, — и компьютер заражался автоматически. Затем вирус распространялся по всему жесткому диску и заражал исполняемые файлы, графические файлы изображений, а также такие аудиофайлы, как MPS. После этого вирус рассылал себя по электронной почте но всем адресам из списка контактов MS Outlook. Вирус был написан филиппинским программистом, студен том колледжа, и «случайно» выпущен им на свободу. Он распространился по всему миру зa один день, заражая компьютеры сотрудников крупных корпорации п правительств, в том числе Пентагона. Эпидемия привела к 8.8 млрд долл. убытков. Основной фактический ущерб был причинен во время удаления инфекции из компьютеров, так как для этого пришлось приостановить работу почтовых серверов п даже компьютерных сетей.

 

6. CODE RED (2001)

 

Мир еще не оправился от шока, вызванного эпидемией вируса ILOVEYOU, когда в  середине 2001 г. пришла новая напасть  — Code Red. В отличие от других вирусов, разрушительное действие этого носителя вреда было направлено только против определенных компьютеров, на которых был установлен веб-сервер под управлением Microsoft IIS (Internet Information Server). Вирус использовал неизвестную на то время ошибку в программном обеспечении. Попав в компьютер, он изменял стартовую страницу основного веб-сайта, отображая сообщение: Welcome to http://www.worm.com! Hacked by Chinese! ("Добро пожаловать Haworm.com! Взломано китайцами!") После чего приступал к поиску других веб-сайтов под управлением этого сервера делал аналогичные модификации. Примерно через две недели после начала заражения вирус был запрограммирован па запуск DDoS-атак (распределенный отказ в обслуживании) на конкретные веб-сайты, к лом числе сервер Белого дома. Ущерб от эпидемии Code Red оценивается в 2.6 млрд долл.

 

7. NIMDA (2001)

 

Вирус-червь Nimda обладатель приза за самое быстрое распространение: всего за 12 ч он успел поразить почти полмиллиона компьютеров. Это случилось 18 сентября 2001. Многие средства массовой информации немедленно связали появление нового вируса с недавней атакой террористов на Всемирный торговый центр и ошибочно приписали авторство "Аль-Капле" . Вирус поражал пользователей компьютеров под управлением Windows 95, 98, M, NT или 2000 и серверы под Windows NT и 2000. Если прочитать название вируса задом наперед, то получится admin.

У этого червя был не одни и  не два, а целых пять способов распространении  — через электронную почту (брешь  в системе безопасности Iniemei Kxplorer, позволяющая автоматически запускать вложенный файл на исполнение), через общедоступные папки и ресурсы локальных сетей, уязвимость веб-серверов под управлением Microsoft IIS (Internet Information Server), через обычный браузер с уже инфицированные сайтов, а также через бзкдоры, оставленные предшественниками — червями Code Red II и saclmind IIS. После заражения вредонос наделял пользователя «Гость» всеми привилегиями администратора системы и открывал все локальные диски компьютера на полный сетевой доспи. Считается, что создателем червя Nimda был студент университета в Сакраменто.

 

8. KLEZ (2001)

 

Klez — еще один вариант компьютерного  червя, распространявшегося по  Сети через электронную почту,  впервые появился в конце 2001 г. Существует несколько разновидностей  этого вируса. Klez заражал компьютеры под управлением ОС Microsofl Windows, используя брешь в системе безопасности Internet Explorer (движок Trident задействует такие почтовые программы, как Microsofl Outlook и Outlook Express, для отображения гипертекстового содержимого электронных писем).

Электронное письмо с врусом, как  правило, имело текстовую часть  и не менее одного вложенного в  письмо файла. Текстовая часть письма включала небольшой включала небольшой HTML-фрейм, который автоматически  открывал и запускал впри из вложенного файла. Жертве не нужно было даже открывать вложение — вредонос все делал сам. Некоторые письма маскировались под корреспонденцию, якобы отправленную компанией Microsoft, а вложенный файл — иод антивирус. Для рассылки вирус пепольаовал адресные книги почтовых прочих программ MS Outlook, случайным образом вставляв найденные адреса в поля "Кому:" и "От кого:", значительно затрудняя поиск инфицированных компьютеров — определить источник инфекции можно было только по IP адресу, с которого пришло письмо, содержащее вирус.

На инфицированном компьютере Klez старился заразить все исполняемые файлы, включая содержимое архивов, обнаруживал  и успешно деактивировал антивирусное программное обеспечение. Каждое 1.4-е  число четного месяца и каждое б-е нечетного вирус перезаписывал все файлы на дисках пораженного компьютера случайным содержимым.