Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Существуют сотни миллионов различных вредоносных программ и неизмеримое количество новых создается каждый год. Большинство из них – небольшие настраиваемые вариации, создаваемые из нескольких тысяч различных базовых вредоносных программ. Тем не менее каждая вариация должна обнаруживаться антивирусными программами, которые часто используют комбинацию цифровых сигнатур (уникальный набор байтов для каждой вредоносной программы или группы программ) и поведенческого обнаружения. Инструмент защиты от них должен быстро сканировать десятки миллионов файлов на предмет отсутствия кода сотен миллионов вредоносных программ и делать это без значительного замедления работы устройства, на котором он запущен. Реализовать это трудно, и даже если сделать это с максимальной степенью точности, защита может быть пробита одной новой вредоносной программой с единственным измененным байтом.

Примечание. Инструменты против вредоносных программ часто называют антивирусными приложениями, несмотря на то что они обнаруживают и удаляют вредоносные программы нескольких типов, поскольку большинство из них – компьютерные вирусы.

Одна из самых больших и тревожных тенденций вредоносных программ – это то, что они в основном используются в преступных целях. Примерно до 2005 года большинство из них было написано молодежью, стремившейся доказать, что может писать компьютерные вредоносные программы. Того, что такая программа функционировала и реплицировала, было достаточно. Конечно, было несколько вредоносных программ, которые намеренно причиняли непосредственный вред, но большинство из них оказывались скорее надоедливыми, чем опасными.

Теперь почти все вредоносные программы создаются в преступных целях. Большинство так или иначе нацелены на кражу денег, будь то прямая финансовая выгода, кража цифровой личности или паролей. В наши дни «вымогатель», то есть вредоносная программа, шифрующая данные и требующая выкуп, чтобы расшифровать их, очень популярен. Другие программы крадут игровые ресурсы, электронную валюту или совершают несанкционированные сделки с акциями. Некоторые проникают в ваш компьютер, чтобы отображать рекламу (или конкретные объявления), или тайно заставляют компьютер заходить на определенные веб-сайты, чтобы увеличить количество посетителей (трафик) для получения доходов от рекламы. Некоторые используются для взлома и кражи конфиденциальной информации. Другие могут применяться для массовых распределенных атак типа «отказа в обслуживании» (см. главу 28). Прошли времена, когда большинство вредоносных программ было создано озорными детьми; эти программы печатали милые маленькие поговорки на экране, играли в Yankee Doodle Dandy на вашем компьютере или просили вас помочь «легализовать марихуану» (например, вирус Stoned boot). Сегодня вредоносное ПО стало профессиональным!

Вредоносные программы часто создаются одним человеком, а покупаются и продаются другими. Часто тысячи компьютеров, скомпрометированных определенной программой, собираются вместе в так называемые ботнеты. Эти «сети ботов» могут быть арендованы или куплены, а затем настроены атаковать определенный сайт или сайты. Вредоносная программа, которая изначально внедряется в конкретный компьютер, известна как «загрузчик». Он получает начальный доступ к системе и модифицирует ее, чтобы допустить успешную работу будущих вредоносных программ или хакеров. Затем загружает новую программу с новыми инструкциями. Этот процесс может повторяться десятки раз, пока не будут загружены и выполнены финальные программы и инструкции. Таким образом, большинство вредоносных программ поддерживаются в актуальном состоянии и остаются скрытыми от антивирусных продуктов. Они даже продаются с круглосуточной технической поддержкой и гарантиями от обнаружения, и их разработчики получают отзывы удовлетворенных клиентов.

Вредоносные программы ответственны за кражи или причинение ущерба в сотни миллионов долларов ежегодно. Каждый опытный человек в сфере ИБ, который борется с ними последние десять лет, предпочел бы иметь дело только с озорными детьми.

Существует много средств защиты от вредоносных программ, большинство из которых также хороши и против нескольких других форм взлома.

Полностью пропатченная система гораздо сложнее для проникновения вредоносных программ, чем устаревшая. В наши дни наборы эксплойтов размещаются на скомпрометированных веб-сайтах, и, когда пользователь их посещает, набор эксплойтов будет искать одну или несколько незакрытых уязвимостей, прежде чем пытаться обмануть пользователя и принудить запустить троянского коня. Если система не пропатчена, вредоносная программа может быть тайно выполнена без ведома пользователя.