Архив с вирусами для тестирования антивирусов
Где скачать вирусы
Тема вирусов очень актуальна. Точнее как с ними бороться и что лучше защитит систему от них. В интернете, а так же на этом сайте, очень много статей по этому поводу, например Файл Autorun.inf — вирус или шалость?, Как найти вирус и обезвредить его, без антивируса?, Компьютерный вирус своими руками и ещё куча других с рассуждением или же с самими программами. Эта тема вечна.
Разумеется есть люди, которые уверенны в своей системе и в том, что она защищена. Которые полагаются на фразу «Прямые руки — лучший антивирус» или ставят утилиты лишь для проверки изменения автозагрузки, изменениях в реестре и т.п.
Вот больше для таких энтузиастов и написана данная статья.
Вы никогда не задумывались, откуда вообще берется источник всех споров про антивирусы? Ведь всё начинается с графиков и тестов. Мол «По заключении такой-то лаборатории антивирус Иванова стал лучше антивируса Петрова в этом году» или что-то типа такого.
Как это получается? В идеале у специалистов компании должны быть разные вирусы и они должны попытаться ими заразить разные версии операционной системы, на которой стоят разные антивирусы и в различных ситуациях. По итогам всего этого большого тестирования и складываются отчёты. Всё вроде логично. И результаты у разных специалистов могут отличаться т.к. у них-то свои условия тестирования.
НИЖЕ НАПИСАНО ИСКЛЮЧИТЕЛЬНО В ОЗНАКОМИТЕЛЬНЫХ ЦЕЛЯХ!
«Касперский» ещё в далёком уже 2013ом году создали тестовый антивирус Eicar. Его предназначение — это просто взять под контроль систему, вывести на экран сообщение и снова отдать власть системе. Находится он здесь
![]()
В строке Domain ссылка на вирус
![]()
Ссылка на вирус в Source
![]()
Для загрузки требуется регистрация.
Зеленая ссылка — вирус там есть. Желтая — скорее всего почти все вирусы внутри архива удалены. Красная — вирусов там уже нет.
![]()
![]()
На момент публикования статьи был закрыт на технические работы.
![]()
![]()
Регистрируетесь и загружаете вирусы.
![]()
Думаю на этом хватит. Не стоит думать что это шутки и на этих сайтах выше простые вирусы. Там очень вероятно могут быть такие, на которые даже антивирус не отреагирует, а они будут в системе выполнять то, что в них запрограммированно.
Поэтому скачивайте вирусы на свой страх и риск.
Проникновение через USB
Как правило, большинство пентестов проводятся по довольно простой схеме. Сначала при помощи социальной инженерии обеспечивается доступ к целевой среде или ее отдельному звену, а затем производится ее заражение техническими средствами. Вариации проведения атаки могут быть разными, однако обычно классический пентест — это сплав технической части и социальной инженерии в самых различных пропорциях. Недостаток классического пентеста заключается в том, что надо «нащупать» того самого сотрудника и после этого переходить к следующему этапу. Если бы можно было автоматизировать процесс поиска слабого звена и его дальнейшую эксплуатацию, то это могло бы ускорить процесс пентестинга и значительно повысить конечные шансы на успех.
WARNING!
Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Согласно известной статистике, приведенной антивирусными компаниями, около 30% пользователей не пользуются антивирусами, попросту отключают их или не обновляют базы. Отталкиваясь от этого, можно утверждать, что в любой среднестатистической компании найдется определенная группа людей, которая очень пренебрежительно относится к информационной безопасности, и, в свою очередь, именно этих людей целесообразно использовать для проведения атаки. Кроме того, любая функционирующая система может быть подвержена влиянию целого ряда случайных факторов, которые также могут временно парализовать систему безопасности:
- слетели настройки прокси-сервера, из-за чего антивирусные базы не были обновлены;
- закончился срок лицензии антивируса, а о ее продлении руководство вовремя не позаботилось;
- сбой работы сети сделал невозможным удаленную распечатку файлов, из-за чего все сотрудники были вынуждены скопировать документы на флешку и распечатать их в другом отделе.
Достаточно только включить воображение, и можно добавить еще десяток вариантов развития событий. Резюмируя сказанное, можно утверждать, что в любой среднестатистической организации есть потенциально ненадежные сотрудники и иногда возникают обстоятельства, которые могут нарушить привычную работу и парализовать защиту. Поэтому если ударить в нужном месте в нужное время, то атака будет успешна.

Процентное соотношения компьютеров на наличие real-time защиты
Хакер #181. Вся власть роботам!
На деле задача сводится к следующему: определить, что в данный момент произошло одно из случайных событий, которое привело к снижению безопасности, а после этого воспользоваться данной ситуацией в качестве маскировки и незаметно осуществить атаку.
Фактически задача сводится к тому, чтобы найти человека, который забивает на безопасность, и почему бы не использовать для этого флешки?
Многие вирусописатели очень полюбили флеш-носители, так как они позволяют легко и быстро заражать компьютеры и даже самый элементарный USB-вирус имеет неплохие шансы на успех. Бум autorun-вирусов, который пришелся на 2008 год, спустя пять лет не сбавляет оборотов, более того, USB-вирусы стали еще наглее и порой даже не скрывают своего присутствия. И в то же время зараженная флешка — это универсальный индикатор грамотности ее владельца в вопросе элементарной ИБ. К примеру, если собрать десять флешек у различных людей, то наверняка у троих-четверых из них будут на флешках вирусы. Если спустя неделю повторно взять у этих людей флешки, то у двоих-троих вирусы останутся. Исходя из этого, можно утверждать, что на компьютерах, с которыми работают с данной флешки, не стоит даже самая элементарная защита или она по каким-то причинам отключена или не работает вовсе. Таким образом, даже если распространять самый заурядный вирус, который успешно детектится всеми антивирусами, только среди данной группы людей, то он сможет заразить большое количество компьютеров, прежде чем будет обнаружен. А раз эти компьютеры не имеют защиты, то также он долго сможет оставаться работоспособным.

Подверженность компьютерным угрозам исходя из наличия real-time защиты
Реализация
На определенный компьютер, к которому периодически подключают флешки, устанавливаем специальную программу, работающую по следующему алгоритму. При подключении очередной флешки программа пытается определить, заражена ли она. Так как нельзя учесть все многообразие USB-вирусов, то имеет смысл использовать эвристический подход определения заражения на основе следующих критериев:
- наличие файла autorun.inf;
- атрибуты файлов RHS;
- малый размер подозрительного файла;
- файловая система не NTFS;
- отсутствие папки c именем autorun.inf;
- наличие файлов ярлыков.
Если данная флешка заражена, то программа записывает ее в базу с указанием серийного номера и хеша подозрительного файла. Если спустя несколько дней флешка повторно подключается к этому компьютеру (а такое происходит почти всегда) и на ней все так же остаются подозрительные файлы, то производится ее заражение нашим «вирусом»; если же подозрительного файла не осталось, то программа удаляет из базы серийный номер этой флешки. Когда же заражается новый компьютер, вирус запоминает серийный номер материнской флешки и никогда ее не заражает и не анализирует, чтобы спустя время не выдать себя, если владелец флешки «поумнеет».
Для получения серийного номера напишем следующую функцию на основе API GetVolumeInformation:
Надо отметить, что функция GetFlashSerial получает не статичный уникальный кодификатор устройства, а лишь серийный номер тома. Этот номер задается случайным числом и, как правило, меняется каждый раз при форматировании устройства. В наших же целях достаточно только серийного номера флешки, так как задача жесткой привязки не стоит, а форматирование подразумевает полное уничтожение информации, фактически приравнивая отформатированную флешку к новой.
Теперь приступим к реализации самой эвристики.
Алгоритм эвристической функции достаточно прост. Сначала мы отсеиваем все устройства с файловой системой NTFS и те, которые не содержат файл autorun.inf. Как правило, все флешки по умолчанию идут с файловой системой FAT32 (реже FAT и еще реже exFAT), однако иногда системные администраторы или другие сотрудники IT-отдела форматируют их в систему NTFS для своих нужд. « Умники» нам не нужны, их мы сразу исключаем. Следующим этапом проверяем файл autorun.inf на атрибуты «скрытый» и «системный». Файл autorun.inf может принадлежать и совершенно законной программе, но если в нем присутствуют данные атрибуты, то можно с очень большой вероятностью утверждать, что флешка заражена вирусом.
Сейчас многие вирусописатели стали реже использовать файл autorun.inf для заражения машин. Причин сразу несколько: во-первых, почти все антивирусы или пользователи отключают опцию автозапуска; во-вторых, на компьютере может быть несколько вирусов, использующих одинаковый способ распространения, и каждый из них перезаписывает файл на свой лад. Поэтому все чаще начал использоваться способ заражения через создание ярлыков и скрытие оригинальных папок. Чтобы не оставить и эти флешки без внимания, мы проверяем наличие файла ярлыка и наличие папки с таким же именем в корне тома. Если при этом папка также имеет атрибуты «скрытый» и «системный», то помечаем эту флешку как зараженную.
Конечно, эвристика имеет свои погрешности и нюансы, поэтому есть смысл ее тщательно проработать к конкретной задаче, однако в нашем случае можно со 100%-й вероятностью утверждать ее корректность.
Если с эвристическим анализом флешки все в целом ясно, то с «заражением» возможны нюансы. Например, можно попросту перезаписать старый вирус нашим без каких-либо поправок в файл autorun.inf, файлы, ярлыки и прочее. Таким образом, наш «вирус» получит управление на новом компьютере, но предварительно лучше также сделать старую копию вируса и сохранить в том же каталоге с чуть отличающимся именем. Если по каким-то причинам на другом компьютере будет работать антивирус, то он обнаружит старый вирус, удалит его, выдаст пользователю предупреждение об успешном уничтожении угрозы — и тем самым обеспечит ложное чувство безопасности у пользователя, а наш «вирус» останется незамеченным.
Кроме этого, в декабрьском выпуске «Хакера» мы также писали об уязвимостях DLL hijacking в различном ПО и о его эффективном применении. Поэтому если предполагается, что на флешках могут находиться такие программы, как менеджеры паролей или портативные версии различного ПО, то имеет смысл использовать данную уязвимость и тем самым расширить спектр пораженных машин и ценность полученных данных для пентеста.
Кстати, не всегда имеет смысл прибегать к заражению флешек. К примеру, если у ИБ-отдела стоит задача просто периодического мониторинга сотрудников на наличие «ненадежных людей», то разумнее установить данную программу на несколько машин и просто записывать серийные номера флешек и время создания вредоносного файла для сбора статистики. Тем самым не требуется буквальным образом обыскивать всех сотрудников, и при этом сохраняется конфиденциальность данных на флешках, а на основе полученных данных можно судить также о возможном заражении домашних компьютеров пользователей и состояния ИБ в целом. Ведь, как мы уже писали ранее, любая система подвержена случайным факторам и не исключен риск появления угроз.

Значения самых популярных угроз
Тестирование
Развернув программу в относительно средней по масштабу сети, уже через неделю мы получили достаточно красноречивые данные. Более 20% всех подключенных флешек были инфицированы каким-либо вирусом или трояном, и более 15% по-прежнему оставались инфицированными при повторном подключении спустя пару дней. Надо также отметить, что на многих компьютерах стояла антивирусная защита, которая периодически исполняла свои обязанности. Однако то привычное равнодушие к выскакивающему предупреждению антивируса, к которому уже давно привыкли пользователи при подключении флешки, не позволяла им предположить, что они имеют дело с совершенно иной угрозой. Ложное чувство безопасности позволяло пользователям без смущения подключать флешку к различным компьютерам, а нашей программе успешно делать свое дело.

Графическое сравнение самых популярных угроз
Коротко об алгоритме
- Устанавливаем нашу программу на компьютеры в компании.
- Сканируем подключаемые флешки на наличие признаков зараженности.
- «Заражаем» флешки пользователей нашим тестовым «вирусом» или переписываем их номера для статистики.
- Докладываем начальству, наказываем пользователей-раздолбаев, держим, не пущаем и запрещаем.
Заключение
Вирус ярлык на флешке лечение

Сегодня будем разбираться c вирусом, который превращает папки и файлы на флешке в ярлыки. Выясним как удалить данный вирус и при этом сохранить все файлы.
Суть данного вируса заключается в том, что он скрывает содержимое флешки и подменяет его ссылками на исполняемый файл, который умело маскирует с помощью изменения их атрибутов.
Убеждаемся, что папки и файлы целые
Для этого зажимаем Windows + R и вставляем команду «control.exe folders» откроется окно с параметрами папок переходим на вкладку вид и ищем там два параметра:
- Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
- Показывать скрытые файлы и папки — устанавливаем переключатель.
Теперь ваши папки на флешке будут видны, но они будут прозрачными.
Находим и удаляем вирус через свойства ярлыка
Кликаем правой кнопкой на ярлык «свойства» там нас интересует строка «Объект». Она довольно длинная, но в ней есть путь к вирусу. В моем случае, строка двойного запуска выглядела так:
- «%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support»
Как мы видим сам вирус имеет название 6dc09d8d.exe и находится в папке Recycle на самой флешке. Удаляем данный файл вместе с папкой Recycle.
Удаляем вирус с помощью антивируса
Скачиваем антивирус допустим Dr. Web CureIt! он себя хорошо зарекомендовал. Запускаем антивирус выбираем флешку и ждем пока он найдет и удалит вирусы. Потом нужно вернуть стандартные атрибуты для файлов и папок это можно сделать двумя способами.
Первый меняем атрибуты через командную строку
для этого зажимаем Windows +R вставляем CMD нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:
- cd /d f:\ нажать ENTER, где f:\ — это буква вашей флешки ( с помощью данной команды мы переходим на флешку)
- attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.
- Расшифровка атрибутов R — разрешает или запрещает атрибут « Только для чтения » , S — превращает файл или папку в системный, H — скрываем или показываем файлы и папки, D — обработка файлов и каталогов, +/- установка /удаление атрибута
Второй меняем атрибуты через bat файл
для этого создаем текстовый файл на флешке записываем в неё следующий текст attrib -s -h /d /s и сохраняем с названием 1.bat и после запускаем его.
Если файлов много, то возможно потребуется несколько минут для выполнения команды. Так же если есть возможность используем Dr. Web LiveDisk
Автономный метод удаления вируса
Удаление вируса через реестр
В некоторых случаях вирусы прописывают себя в автозапуск системы. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Проверьте руками следующие ветки реестра на наличие подозрительных записей:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – программы, автоматически запускаемые при входе текущего пользователя
Удалите все подозрительные записи и незнакомые программы
Удаление вируса вручную
- Во временной папке Temp C:\users\%username%\AppData\Local\Temp ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).
- Проверяем также папку C:\Users\<<Пользователь>>\Appdata\Roaming\. в ней не должно быть исполняемых файлов с расширение *. EXE и *. BAT. Удаляем все подозрительные файлы.
Восстановление системы
Если вирус недавно появился, то данный способ может помочь.
Нажимаем Windows + R откроется окно выполнить вставляем туда «rstrui.exe» откроется окошко восстановление системы нажимаем далее выбираем нужную точку выставления по дате потом система спросит вы уверены нажимаем «OK» и начнётся процесс выставления системы. После восстановления должно появится окошко о удачно окончании процесса.
На этом, пожалуй, все в большинстве случаев выше перечисленные способы должны удалить вирусные ярлыки, но если они не помогли, то копируем скрытые файлы на компьютер и делаем полное форматирование флешки потом копируем обратно и меняем атрибуты.
Как заставить флешку украсть данные для извлечения информации и паролей с компьютера? Пошаговое руководство

Технология настолько продвинулась, , что способ кражи или записи информации был разработан хитрым способом на любом компьютере
. Этот метод называется кейлоггингом, и он может быть полезным или вредоносным в зависимости от использования, которое ему дано, поскольку, если вы один из тех, кто загружает программы или постоянно представляет USB-устройства, вы можете стать его жертвой.
Есть люди, которые используют этот метод с пользой. Например, компании используют клавиатурные шпионы для записи и просмотра результатов работы своих сотрудников без необходимости постоянно запрашивать отчеты. Это способ организации и оптимизации работы офиса в полной мере
. Однако это настолько деликатный вопрос, что его можно решить только с согласия работника и с некоторыми ограничениями для защиты его личной информации.
Если вы хотите узнать, сегодня мы научим вас, как настроить USB-накопитель так, чтобы вы могли выполнять кражу данных в режиме ожидания,
, а также научим вас, как избежать этого типа случайности, поскольку, будучи жертвой, Мы говорим о чем-то очень серьезном, что может привести к потере почты и, в крайнем случае, к деньгам на банковских счетах. Так что примите к сведению и станьте экспертом по этому вопросу.
Какое использование USB-кейлоггера «крадет данные» или так называемых «похитителей» информации?

Кейлоггер также известен как датчик нажатия клавиш или крадет данные. Это программа или она отвечает за сохранение или запись всего, что вы пишете при использовании клавиатуры. Все, что вы собираете, немедленно сохраняет его в файл
, или его также можно запрограммировать так, чтобы информация отправлялась онлайн на электронную почту ежедневно или еженедельно автоматически.
Есть два способа сделать это. Первый-это программный кейлоггер (наиболее используемый), который является частью вредоносного ПО, такого как трояны или руткиты. Это может быть отправлено по электронной почте или любым другим файлом, загруженным из Интернета. Вторым является аппаратный кейлоггер
(который не очень распространен), который состоит из заражения съемного USB-диска программой и вставки его в компьютер, который хочет извлечь данные .
Эта программа, уже установленная на компьютере, позволяет вам регистрировать и запоминать все, что вы печатаете с клавиатуры, как если бы вы печатали прямо на ней. Кибер-лампы могут украсть много конфиденциальной информации. без обнаружения этим методом
.
Само собой разумеется, что не всегда кейлоггер может быть вредоносным ПО, вредным для вашего ПК, так как есть некоторые компании, которые предлагают такой тип услуг, чтобы клиент имел некоторый контроль над своими компьютерами
> когда используется другими, а также широко используется родителями для контроля за тем, что делают их дети.
Действия по созданию портативного запоминающего устройства USB и извлечению ценных данных и информации
Сегодня мы расскажем, как создать USB-порт, который будет автоматически запускаться и восстанавливать, или автоматически сохранять всю информацию на вашем компьютере
, просто подключив его к компьютеру, не прикасаясь к чему-либо вообще. которая включает функцию кейлоггера, которая записывает все, что вы нажимаете на клавиатуре, в файл с расширением .txt
, пока USB подключен к ПК.
Сначала необходимо вставить перьевой диск, чтобы отформатировать его, щелкнуть правой кнопкой мыши на диске и затем отформатировать его. Вы можете отформатировать его в NTFS или в FAT32
, хотя последний наиболее рекомендуется.

Откройте блокнот
или аналогичную программу и напишите следующее:
Вы сохраняете файл, называя его AUTORUN.inf
, и оставляете его внутри USB. Вы возвращаетесь в блокнот, чтобы создать другой файл, на этот раз вы пишете следующее:
Затем вы сохраняете файл с именем LAUNCH.bat
и также оставляете его на USB.
После того как вы создали оба файла, настало время загрузить некоторые дополнения, чтобы сделать ваш USB кибершпионом
, способным похищать информацию из самых строгих систем безопасности.
Посетите веб-сайт Nirsoft.net, чтобы загрузить следующие утилиты:
- MSpass
- Mailpv
- Iepv
- PSPV
- PasswordFox
- OperaPassView
- ChromePass
- Dialupass2
- Netpass
- WirelessKeyView
- BulletsPassView
- VNCPassView
- OpenedFilesView
- ProductKey
- USBDeview
Вы должны разархивировать их в корневой каталог USB
, и это будет выглядеть так, как вы можете видеть на изображении:

Теперь разархивируйте все инструменты и скройте все файлы
следующим образом:

Вы удаляете USB из компьютера
и вставляете его снова, чтобы убедиться, что он работает, если все прошло хорошо, вы увидите следующие строки в .txt

Как запретить USB-устройству похищать пароли и информацию нашего компьютера?
Защита от этой компьютерной угрозы больше не является проблемой, и меры защиты очень просты, и они также помогают вам защитить себя от других угроз.
Чтобы избежать кейлоггера, вы должны будете следовать советам, которые мы оставим ниже:
- Используйте хороший антивирус
, как я уже упоминал ранее, он распознается как вредоносное ПО, которое крадет информацию из вашей системы, с помощью постоянно обновляемого антивируса, позволяющего избежать угроз такого типа. - Если вы вводите персональный компьютер и собираетесь войти в онлайн-систему банковского учреждения, используйте виртуальные клавиатуры, которые предлагает вам та же страница
. Это клавиатура, которая появляется только на экране, и вы выбираете клавиши с помощью мыши. - Используйте брандмауэр
, чтобы усилить защиту компьютера от клавиатурных шпионов, теперь что это контролирует активность вашей навигации. Когда он обнаруживает, что информация извлекается и отправляется за пределы оборудования, он обычно запрашивает разрешение или показывает предупреждение. Некоторое программное обеспечение брандмауэра, такое как ZoneAlarm, позволяет полностью закрыть все входящие и исходящие данные. - Установить администратора для ваших паролей
, недостаток кейлоггера, является кейлоггером. Дело в том, что он не может хранить данные из того, что не написано. Вот где автоматическое заполнение паролей становится очень полезным. - Постоянно обновляйте программное обеспечение вашего компьютера. Это лучшая идея, которую вы можете сделать, поскольку ее обновление улучшает Безопасность и сопровождение программного обеспечения. Вы можете посетить F-secure, чтобы знать об уязвимостях.
- Часто меняйте свой пароль
, так как таким образом информация, которую можно украсть, всегда будет устаревшей, и для по этой причине они не смогут получить доступ к вашим банковским счетам, электронным письмам или другим личным учетным записям. - Не загружайте какое-либо пиратское программное обеспечение
или программное обеспечение, которое не вызывает у вас особой уверенности, поскольку оно поставляется с этими типы вирусов, которые заражают вашу систему с единственной целью-украсть всю имеющуюся у вас информацию. - Для выполнения повседневных повседневных задач используйте профиль с ограниченными правами
в системе. работать на компьютере. - Всегда создавайте резервные копии своих данных
, чтобы избежать потери данных, если ваша учетная запись взломана. - Для улучшения Ваша безопасность использует двухфакторную аутентификацию
, которая защитит ваши аккаунты и даже если кто-то захочет Выясните свои пароли, это не позволит вам это сделать, так как вам придется ввести секретный код, который поступит на ваш мобильный телефон или электронную почту.
В дополнение к этим советам вы можете использовать любой из следующих инструментов для обнаружения клавиатурных шпионов и их немедленной блокировки, , чтобы вся ваша информация всегда была защищена
.
What can I do to prevent this in the future?
Another way to prevent getting this page in the future is to use Privacy Pass. Check out the browser extension in the Chrome Web Store.
Вирусная инфекция: пять способов заразить свой компьютер
Банки отлично знают, что ДБО – настоящее золотое дно для кибермошенников. Ситуация осложняется тем, что как бы банк ни закручивал гайки информационной безопасности, огромной «
дырой »
в защите останется компьютер клиента, нередко зараженный целым «букетом» вредоносных программ (зловредов). Как такие программы проникают на компьютер и как можно это пресечь, разбирался портал Банки.ру.
Какова бы ни была функциональность вредоносной программы (будь то троянец-банкер, кейлоггер или простой датамайнер), для заражения ей необходимо загрузиться на компьютер жертвы. В современных операционных системах это сделать без дозволения пользователя не так-то легко, и злоумышленники идут на множество ухищрений.
Оговоримся сразу, что во всех случаях может помочь установленный комплексный антивирус класса Internet Security или пакет защитного программного обеспечения, включающий спам-фильтр, почтовый, файловый и веб-антивирус, а также брандмауэр. Но все это может и не помочь: иные мошенники превосходно разбираются в технологиях информационной безопасности, а их вредоносные продукты зачастую опережают защитные решения на несколько недель или даже месяцев. И если на вашем пути встретилась такая суперсовременная угроза, вы можете остаться с ней один на один.
Сценарий первый: любовь по переписке
. Вирус ILOVEYOU, заразивший около 3 млн компьютеров в 2000 году, действовал предельно просто – рассылал свои копии по почте, признаваясь получателю в любви. Жертва, заинтересовавшись, кто именно испытывает к ней такие чувства, открывала приложенный файл, названный LOVE-LETTER-FOR-YOU. TXT.vbs, и заражала свой компьютер.
Прошло 15 лет, а этот способ до сих пор отлично работает и является основным в целевых атаках на серьезные организации, тщательно выстраивающие свой периметр безопасности. Письмо может выглядеть крайне достоверно и даже содержать какую-либо личную информацию о получателе. Но чаще всего это что-то невнятное, обещающее, к примеру, чьи-то интимные фотографии. При этом отправитель может быть вам известен – в частности, если письмо прислал зловред с компьютера вашего знакомого.
К такому письму обязательно прилагается файл, обычно упакованный в запароленный архив для защиты от антивирусов. Файл может быть исполняемым, в этом случае его запуск почти всегда приводит к заражению системы. Или же это может быть документ, или даже картинка. В двух последних случаях заражение произойдет, если в той программе, в которой вы откроете файл (например, Microsoft Word в случае файла DOCX), имеются известные злоумышленникам уязвимости, позволяющие запустить на компьютере какой-либо код.
Что делать?
Главное – не открывать вложение к письму, если вы его не ждете. Чаще всего вам просто не нужны вложения, рассылаемые незнакомыми людьми, а достоверность письма от знакомого можно подтвердить по другим каналам связи.
Если же вам по роду деятельности необходимо иметь дело с файлами, присланными от незнакомцев, то вы – в группе риска, и серьезная антивирусная защита вам просто необходима. Кроме того, стоит позаботиться о том, чтобы ваше программное обеспечение было наименее уязвимо, для чего нужно его своевременно обновлять. Если, к примеру, для просмотра картинок в формате JPG вы используете популярный просмотрщик, который установили три года назад, можете быть уверены, что злоумышленники досконально изучили его код и научились использовать его уязвимости для заражения через JPG-файлы.
Сценарий второй: заражаемся сами
. Доверчивый пользователь сам найдет, загрузит и установит себе вредоносную программу, надо лишь его обмануть. Методику в общих чертах продемонстрировали лиса Алиса с котом Базилио в известном отечественном фильме, не менее эффективно это работает и в Интернете.
Внешне легитимная полезная программа, которую вы скачаете с незнакомого вам сайта-файлопомойки, может на деле оказаться зловредом или содержать встроенного зловреда. Допустим, вам понадобилась какая-либо программа (архиватор, конвертер форматов, мессенджер), вы вбиваете ее название в поисковую систему, кликаете на одну из первых строчек поисковой выдачи, загружаете и устанавливаете программу – все, ваш компьютер заражен.
Технология такая: страница с вредоносными файлами «раскручивается» с помощью набора приемов черной поисковой оптимизации (Black SEO). Арсенал Black SEO весьма обширен – страница может наполняться тысячами ключевых слов, повышающими ее релевантность с точки зрения поисковой системы, ссылки на страницу раскидываются по популярным форумам, нередко используются ботнеты – тысячи ботов задают определенные поисковые запросы и выбирают в выдаче вредоносный сайт. В результате его рейтинг повышается.
В качестве приманки мошенники используют популярные бесплатные или условно-бесплатные программы (например, WinRAR), или жертвам предлагаются взломанные версии платных программ. Перед таким искушением многие устоять не могут.
Что делать?
Старайтесь не скачивать программы из незнакомых мест. В Интернете есть немало площадок обмена файлами, администрация которых следит за их наполнением и проверяет все программы (туда же можно отнести и некоторые торрент-трекеры). Но надежнее всего будет найти сайт разработчиков программы и загрузить ее оттуда. Конечно, если она платная, ее придется купить, заодно и авторов полезного приложения поддержите. В противном случае риск весьма высок.
Сценарий третий: соглашаемся, не глядя
. Если вы любитель посещать страницы сомнительного содержания, к примеру, уже упомянутые файлопомойки, порносайты или онлайн-казино, владельцы сайта могут вас атаковать с помощью всплывающих окон.
Содержание окна может быть разным, но обязательно требует от вас установки какой-либо программы. Например, для корректной работы онлайн-казино вдруг потребуется обновить ваш Adobe Flash Player, порносайт откажется показывать «горячее» видео без установки специального проигрывателя, а файлопомойка вдруг заявит, что на вашем компьютере обнаружены тонны вирусов и предложит загрузить бесплатный антивирус. Если вы выразите свое согласие нажатием соответствующей кнопки окна, ваш браузер загрузит файл, и вам еще повезет, если это будет относительно безобидное приложение, показывающее вам рекламу к месту и не к месту.
Что делать?
Ничему не верить, ни на что не соглашаться. Ничего хорошего вам на таких сайтах все равно не предложат.
Сценарий четвертый: зашел, увидел, заразился
. Самый опасный зверь в океане Интернета – эксплойт-кит (exploit-kit, набор эксплойтов). Очень дорогостоящая, но крайне эффективная штука. Тысячи профессионалов с темной стороны информационной безопасности непрерывно анализируют код браузеров, дополнений для браузеров и прочего популярного софта для Интернета. Ищут они уязвимости – программные ошибки, позволяющие вынудить приложение сделать на компьютере нечто опасное, например, запустить вредоносный код, который в свою очередь загрузит и установит троянца.
Для обнаруженных уязвимостей специалисты пишут эксплойты – программы, позволяющие этими уязвимостями воспользоваться через Интернет. Эксплойты закупаются у авторов и собираются в эксплойт-киты, за использование которых профессиональные мошенники платят десятки тысяч долларов. Если вы зашли на сайт с установленным эксплойт-китом, и в вашем программном обеспечении найдется уязвимость, эксплойт для которой имеется в этом наборе, ваш компьютер окажется заражен. Вы об этом даже не узнаете, пока не будет слишком поздно.
Повстречать эксплойт-кит можно даже на солидном и популярном сайте – злоумышленники тратят немало сил и средств, чтобы взломать ресурсы с высокой посещаемостью. Если администраторы сайта окажутся нерасторопны, компьютеры тысяч посетителей могут заразиться чем-то неприятным.
Подвергнуться атаке эксплойтом можно и на невзломанном сайте – к примеру, если злоумышленникам удается пропихнуть свой баннер в популярную баннерную сеть. Это иногда случается, и тогда достаточно открыть страницу с таким баннером, чтобы получить зловред на свой компьютер. Бывает, для распространения вредоносных баннеров злоумышленники создают целые баннерные сети, оплачивающие размещение по высоким ставкам. Не слишком щепетильные владельцы сайтов подключаются к таким сетям и подставляют своих посетителей под удар.
Признаком атаки через баннер (так называемого малвертайзинга) является неожиданное открытие всплывающего окна не над, а под основным окном браузера (pop-under). Появление такого окна можно не заметить. Именно из-за таких атак в большинстве современных браузеров открытие всплывающих окон по умолчанию блокируется.
Что делать?
Держите свое программное обеспечение в состоянии свежести. Обнаружение уязвимостей и написание для них эксплойтов требуют немало времени. И для самых новых версий приложений эксплойты могут просто отсутствовать на рынке. Правда, останутся еще эксплойты для уязвимостей, о которых производителям программного обеспечения ничего неизвестно. С такого рода атаками неплохо справляются веб-антивирусы, входящие в комплект всех мало-мальски серьезных антивирусных пакетов.
Сценарий пятый: гость из сети
. Достаточно редкий в силу своей трудоемкости способ – удаленная атака через сеть. В операционных системах есть сервисы, «слушающие» сеть и ожидающие подключения снаружи – к примеру, для удаленного управления компьютером. Кроме того, у вас могут быть установлены сторонние программы с подобными функциями. И если в них есть известные хакеру уязвимости, он может проникнуть на компьютер и выполнить какие-либо действия от имени пользователя, в том числе загрузить и установить вредоносные программы.
В современных операционных системах такого рода «дыры» изначально закрыты, но если вы полезли в настройки безопасности, не разбираясь в них, или до сих пор пользуетесь, к примеру, плохо настроенной Windows XP, то можете быть атакованы. Хакер скачает ваши файлы, почитает вашу переписку, украдет ваши пароли и на прощание оставит какого-нибудь троянца.
Такие атаки плохо автоматизируются, и злоумышленник вынужден тратить много времени для заражения каждого компьютера. Поэтому занимаются этим лишь любители или, наоборот, хорошо оснащенные профессионалы, обладающие эксплойтами для таких атак. Но их целями обычно являются серьезные организации, а не домашние компьютеры пользователей портала Банки.ру.
Что делать?
Регулярно обновлять операционную систему, вдумчиво настраивать параметры безопасности и пользоваться брандмауэром – отдельным либо в составе антивирусного пакета класса Internet Security. Во многих случаях от таких атак спасает простой домашний маршрутизатор – правда, и его еще надо правильно настроить.



