Кто страшен для Windows XP?

Установив и настроив Windows, обычный пользователь редко задумывается о дальнейшем. А ведь впереди, скорее всего, будет выход в Интернет или локальную сеть, сотни установленных программ, пиратские копии игр, левые диски с софтом... В общем, бедняжку Windows ждут жестокие испытания, и мы, заботясь в первую очередь о себе, должны обеспечить хотя бы минимальный уровень защиты системы

Защиты от кого? - спросите вы. От хакеров, конечно! Поверьте, они - обычные люди, чуть более технически подкованные, чем остальные. Ни один хакер не может захватить чужую систему "вручную" - для этого всегда нужно соответствующее программное обеспечение. Под Windows написаны сотни вредоносных программ, называемых в совокупности malware, эти программы различаются по своей цели и принципам действия. Классификаций малвари придумано множество, но я всё же соригинальничаю и придумаю ещё одну. Итак, что из вредоносных программ может быть заброшено на ваш компьютер: 

Эксплоиты - это небольшие программы, использующие уязвимости атакуемого приложения для достижения хакерских интересов. Если хакер ставит целью получить доступ к машине - это и есть собственно эксплоит, если цель - временный вывод компьютера из строя, то программу называют DoS'ером. В качестве уязвимого приложения может выступать что угодно: графический редактор, медиаплеер, интернет-браузер, системная служба. Соответственно, эксплоит может быть в чём угодно: в сетевом пакете, в картинке, в HTML-коде странички... Эксплоиты, как правило, автономны - не требуют "помощи" человека (хотя возможны варианты, например эксплоит в графическом файле нуждается, чтобы его просмотрел юзер) - эксплуатируют уязвимость незаметно для юзера. Как правило, хакер ставит целью получение шелла - доступа к командному интерпретатору атакуемой системы. Получив шелл, хакер заюзает ещё один эксплоит, повышающий его права в системе и предоставляющий ему полную власть над захваченным компом. Нередко несколько эксплоитов объединяют воедино в авторутер, прилепив к нему ещё и сканер портов. Задачей авторутера является сканирования определённого диапазона адресов, поиск уязвимых машин и получение шелла с правами администратора. Т.е. хакер размещает авторутер где-нибудь на захваченном сервере и через пару дней забирает у него список шеллов. Ручной труд сводится к минимуму:).

Вирусы - наверное, самая древняя и примитивная малварь. Размещают вредоносный код в исполняемых файлах или скриптах, причём нуждаются в том, чтобы их запустили. Если это .exe-файл, то, чтобы заразить компьютер, он должен быть запущен юзером либо явно (двойным кликом мышки), либо из Автозапуска, либо из системной папки. Если это командный скрипт (.bat, .cmd), то он также должен быть запущен. Если это макровирус, прячущийся в документе, то документ должен быть открыт юзером... и т.д. Целью вируса является собственное размножение (создание копий самого себя и внедрение их в файлы на компе) плюс-минус какие-нибудь деструктивные действия: от порчи файлов и визуальных эффектов, мешающих работе, до физического уничтожения оборудования. Вспоминается знаменитый вирус Win.CIH под Windows 95, стирающий Flash BIOS. Под NT таких вирусов пока нет, но принципиальная возможность их создания существует.

Черви, называемые иногда "сетевыми вирусами", на самом деле представляют из себя миниатюрные высокоавтономные авторутеры. Как правило, они не оставляют следов на жёстких дисках, существуя и размножаясь только в оперативной памяти захваченных машин. Размножившись, они получают список машин для атаки (просканировав сеть или считав адреса абонентов в почтовом клиенте), выходят в сеть, атакуют компьютеры с помощью встроенных в них участков эксплоитного кода (эти куски кода называют "головами" червя, и голов у каждого червя много; знаменитый червь Nimda имел 5 голов, хотя есть и одноголовые черви, юзающие только одну уязвимость) и размножаются уже в них. Деструктивных действий не выполняют, но забивают канал и затрудняют передачу данных по сети. Плюс ещё, благодаря хреновой реализации эксплоита, приводящей к перезагрузке атакуемой машины (такое иногда встречается), черви могут являться по сути своей высокоэффективными DoS'ерами.

В отличие от деструктивных вирусов, трояны выполняют запланированные и полезные хакеру действия: бэкдоры предоставляют хакеру возможность удалённого администрирования захваченной машиной, даунлоадеры скачивают на захваченную тачку определённый файл, кейлоггеры перехватывают все вводимые с клавиатуры пароли, формграбберы делают то же самое, но более целенаправленно - перехватывают данные, вводимые, например, в формы электронных платёжных систем. Боты могут обеспечивать любую заказанную хакером сетевую активность, например, рассылать спам или проводить атаку DDoS.

Хайджекеры по сути своей являются шуточными программами - они заменяют файл hosts, отправляя пользователя при web-сёрфинге на сайт шутника. Но современные тенденции сделали и такие шутки источником дохода - пользовательский трафик можно использовать для накрутки баннеров или счётчиков посещаемости сайта. Я уже не говорю об элементарном мошенничестве: в литературе описан случай, когда хайджекер не пускал юзера на почтовый сайт, переправляя его на страничку хакера, где было написано, что за "разблокировку" мэйла необходимо отдать 25 баксов. Несчастный юзер послушно заплатил...

Был ещё случай, когда программа (в принципе, её тоже можно считать хайджекером), выводящая содержимое кэша браузера на экран, послужила средством для шантажа. Понятное дело, что чаще всего люди посещают порносайты. И через пару месяцев в кэше браузера образуется любопытная каша из порева: фотки, порно-рассказы, даже видеоролики. Теперь представьте себе испуг почтенного американского банковского служащего, когда на мониторе идёт порево, а хайджекер выдаёт окошко - мол, мы знаем, чем ты увлекаешься, мы это покажем твоей жене, начальству и спецслужбам! Перепуганный пендос отвалил огромные бабки хакеру-шантажисту за простую очистку кэша!!

Ну, это всё-таки несерьёзно (хотя на ламеров впечатление производит). Шутки и разрушение - проделки начинающих хакеров, опытные зубры стараются ничем не выдавать своего присутствия в захваченной системе. Для этого применяют руткиты, перехватывающие системные функции и делающие определённые файлы невидимыми. Добавлю также, что руткит-технологии используются также вполне легальными программами, например, защитами дисков от копирования или, наоборот, эмуляторами CD.

Разумеется, изолированно друг от друга эти виды малвари существуют только в книжках. На практике они представляют из себя трудновообразимые гибриды: например, червь, ставящий на захваченную тачку даунлоадер, который сливает бэкдор, являющийся по совместительству DDoS-ботом и использующий для сокрытия себя руткит-технологии. Скажете, бред? Ничего подобного: современная малварь представляет собой многофункциональные комбайны, стоящие немалых денег (а вы что думали? кто ж вам такую чудо-программу весом всего в 40 Кб бесплатно напишет? цена за качественную малварь может достигать 10000 долларов!).

Кто заикнулся про антивирус?! Мне подсказать, куда его можно запихнуть? Вся индустрия антивирусов зиждется на страхе (и в этом признавался И.Данилов - создатель Dr.Web) Вот щас я вам рассказал про малварь - вы кинетесь ставить антивирус. А когда увидите, что он кого-то "не ловит" - кинетесь его обновлять. Пора прекратить эту беготню! Страх приходит от незнания. И чтобы перестать бояться, нужно понять, что такое вирусы (трояны, черви и иже с ними), как они работают и где их уязвимые места. Начнём по порядку:

Эксплоиты, черви и досеры используют дыры вашей оси. Дыры - это то, что не успели протестировать. Оно и понятно: Windows огромна (как и любая другая современная ось), а сроки выпуска поджимают - вот и пошла бажная версия в массы. Все современные оси дырявы по определению! Исследователи по всему миру ищут в них дыры, находят их и публикуют свои отчёты. А дальше начинается гонка: хакеры пишут эксплоиты, а разработчики оси - заплатку. И разработчики почти всегда успевают первыми!

Чтобы быть неуязвимым перед хакерской атакой, нужно заранее узнавать об имеющихся дырах. Читайте багтрак! Хотя бы раз в три дня заходите на СекуЛаб или сайт 3APA3ы, смотрите - не прохудилась ли ваша ось или используемая вами программа? Если да, то где скачать патч? Вы сами должны быть заинтересованы в собственной безопасности.

Если вы помните, то я говорил про вирусы, что они нуждаются, чтобы их запустили. Как раньше вирмейкеры не исхищрялись ради этого! Внедрение в исполняемый файл пиктограммы графического, имена типа foto.jpg...............exe - всё ради того, чтобы юзер не распознал в нём .exe-шник, чтобы щёлкнул дважды... А теперь? Положи юзеру исполняемый файл вообще без иконки, да с названием foto.exe - откроет, не задумываясь. А если будет называться ClickMe.exe - то юзер будет, исходя слюной от возбуждения, тыкать в него мышой. Когда при открытии web-страницы браузер задаёт вопрос об исполнении ActiveX, что сходу жмёт юзер? Конечно, "OK"! Специально для таких юзеров вирмейкерская группа 29A написала в своё время вирус, выводящий на экран запрос: "Можно вас заразить?" И, разумеется, юзеры, не глядя, отвечали: "Да"...

Иногда я по старой памяти зависаю на Playground. Там есть и тема по вирусам. Почитав тамошние посты, я понял в чём причина увеличения процента вирусных заражений - в катастрофически упавшем уровне компьютерной грамотности! Раньше хоть курсы какие-то были, а теперь за комп лезут все кому не лень, особенно малые дети с одним стремлением - играть. И при этом всём они ещё надеются на антивирус? Искусственный интеллект не поможет, если нет своего, естественного...