Быстрое распространение вирусов в сети! легендарных атак в истории Интернета
Выбрали необычный способ распространения для своего детища: малварь атакует любителей пиратского контента.
Sathurbot использует скомпрометированные сайты на базе WordPress для распространения вредоносных торрентов, создавая скрытые страницы для этих целей. Так как до взлома позиция и репутация таких сайтов в поисковых системах были неплохи, скрытые торрент-страницы попадают в поисковую выдачу на хороших позициях, привлекая все новых жертв.
Когда очередной пользователь заглатывает наживку и решает загрузить пиратский фильм с сайта злоумышленников, подозрений не вызывает практически ничто. У торрента много раздающих, а в списке файлов значится видеофайл с фильмом, текстовый файл с инструкциями и инсталлятор для некоего кодека, который пользователю якобы необходимо установить.
Как не трудно догадаться, Sathurbot маскируется под кодек. Когда жертва попытается запустить установку такого «кодека», малварь отобразит фальшивое сообщение об ошибке, но на самом деле установка пройдет успешно, и Sathurbot проникнет в систему.
После заражения Sathurbot выполняет DNS-запрос и узнает первый адрес управляющего сервера, который сообщает малвари одну из двух команд. Управляющий сервер может приказать трояну загрузить на компьютер дополнительную малварь (Boaxxe, Kovter или Fleercivet) или выполнить серию поисковых запросов. Второй вариант более интересен, ведь именно он ведет к брутфорс-атакам на WordPress сайты.
Во втором случае управляющий сервер передает малвари список, содержащий около 5000 слов. Зараженная машина выбирает 2-4 слова из этого списка и начинает обращаться к Google, Bing и «Яндекс» с соответствующими поисковыми запросами, обращая внимание только на первые страницы поисковой выдачи. Затем вредонос выбирает 2-4 новых слова, которые чаще всего встречаются на сайтах, обнаруженных в ходе первого этапа поиска (на этот раз фраза обычно получается более осмысленной), и продолжает искать. Сократив таким образом выборку, Sathurbot извлекает имена доменов оставшихся сайтов и пытается определить, работают ли они на базе WordPress, например, обращаясь к адресу http://имядомена/wp-login.php URL. Когда WordPress сайт обнаружен, троян сообщает об удаче второму управляющему серверу.
Второй управляющий сервер используется для координации брутфорс-атак. Он раздает каждому из зараженных устройств учетные данные, которые нужно проверить на каждом из целевых доменов. Каждый бот пытается авторизоваться на целевом сайте не более одного раза, чтобы избежать блокировки и срабатывания защитных решений. По данным аналитиков ESET, в настоящий момент ботнет насчитывает около 20 000 машин, то есть на подбор учетных данных у злоумышленников есть как минимум 20 000 попыток. Исследователи пишут, что Sathurbot «интересуется» не только WordPress, но и ресурсами, работающими под управлением Drupal, Joomla, PHP-NUKE, phpFox и DedeCMS.
Общая схема атаки
Если компрометация ресурса удается, сайт становится очередным узлом распространения вредоносных торрентов, что возвращает нас к началу атаки. Более того, вредонос оснащен встроенной библиотекой libtorrent, так что зараженные девайсы становятся еще и участниками вредоносной раздачи, помогая сидировать торренты с малварью.
Задачу проникновения на компьютер пользователя трояны решают обычно одним из двух следующих методов.
Маскировка - троян выдает себя за полезное приложение, которое пользователь самостоятельно загружает из Интернет и запускает.
Одним из вариантов маскировки может быть также внедрение злоумышленником троянского кода в код другого приложения. Распространен также способ внедрения троянов на компьютеры пользователей через веб-сайты. При этом используется либо вредоносный скрипт, загружающий и запускающий троянскую программу на компьютере пользователя, используя уязвимость в веб-браузере, либо методы социальной инженерии - наполнение и оформление веб-сайта провоцирует пользователя к самостоятельной загрузке трояна. Кооперация с вирусами и червями - троян путешествует вместе с червями или, реже, с вирусами. Нередко наблюдается кооперация червей с вирусами, когда червь обеспечивает транспортировку вируса между компьютерами, а вирус распространяется по компьютеру, заражая файлы.
13. Выполняемые функции троянов.
В отличие от вирусов и червей, деление которых на типы производится по способам размножения/распространения, трояны делятся на типы по характеру выполняемых ими вредоносных действий. Наиболее распространены следующие виды троянов.
Клавиатурные шпионы - трояны, постоянно находящиеся в памяти и сохраняющие все данные, поступающие от клавиатуры с целью последующей передачи этих данных злоумышленнику. Обычно таким образом злоумышленник пытается узнать пароли или другую конфиденциальную информацию.
Утилиты удаленного управления - трояны, обеспечивающие полный удаленный контроль над компьютером пользователя.
Люки (backdoor) - трояны предоставляющие злоумышленнику ограниченный контроль над компьютером пользователя.
Анонимные smtp-сервера и прокси - трояны, выполняющие функции почтовых серверов или прокси и использующиеся в первом случае для спам-рассылок, а во втором для заметания следов хакерами.
Утилиты дозвона - сравнительно новый тип троянов, представляющий собой утилиты dial-up доступа в Интернет через дорогие почтовые службы. Такие трояны прописываются в системе как утилиты дозвона по умолчанию и влекут за собой огромные счета за пользование Интернетом.
Модификаторы настроек браузера - трояны, которые меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна браузера, имитируют нажатия на баннеры и т. п.
Логические бомбы - чаще не столько трояны, сколько троянские составляющие червей и вирусов, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное действие: например, уничтожение данных.
14. Ущерб от вредоносных программ.
для вирусов и червей характерны также следующие формы вредоносных действий:
Перегрузка каналов связи - свойственный червям вид ущерба, связанный с тем, что во время масштабных эпидемий по Интернет-каналам передаются огромные количества запросов, зараженных писем или непосредственно копий червя.
Потеря данных - более характерное для вирусов, чем для троянов и червей, поведение, связанное с намеренным уничтожением определенных данных на компьютере пользователя.
Нарушение работы ПО - также более свойственная вирусам черта. Из-за ошибок в коде вируса, зараженные приложения могут работать с ошибками или не работать вовсе. Примеры: Net-Worm.Win32.Sasser.a - перезагрузка зараженного компьютера.
Загрузка ресурсов компьютера - интенсивное использование ресурсов компьютера вредоносными программами ведет к снижению производительности как системы в целом, так и отдельных приложений. Примеры: в разной степени - любые вредоносные программы.
Здравствуйте...С вами Ritter3D.
В этой статье будет описано как можно распространить вирус...
Конечно можно взять свой вирус и впаривать его каждому человеку по-отдельности
Но лучше, когда люди сами ведутся и скачивают, а Вы просто сидите и ждете.. (логов конечно же)
Такое решение есть!! Можно залить на какой-либо файлообменник и размещать на сайтах.. ДА, это решение, но не самое лучшее !
Все мы слышали про торрент файлы...
Они хранятся на многих сайтах и есть специализтрованные места, где этих торрентов валом!
Это и torrentino.com и многи другие сайты...
Но так же и приложение вконтакте есть торрент.
Там тоже есть такое!!
Вот в этой статье и пойдет речь о торент файлах..конкретно как их сделать и где разместить....
Для начала вам понадобится установить программу uTorrent
Всплывает окно в котором Вы должны выбрать ваш вырь или целую папку как вы захотите..
Выбрали? тогда нажимаем Создать и сохранить в...
После тыкаем закрыть
Все торрент файл готов!!
Первый этап пройден...пойдем примем по рюмочке на грудь))
и в бой!!
Теперь нада поставить на раздачу и разместить в инете...
Переходим на сайт вк...
Заходим на свою страницу и устанавливаем приложение торрент если оно у вас уже не стоит...
Заходим в него выбираем призвольный ник..лазаем разбираемся...
Теперь надо найти раздел Создать свою раздачу...
Нажимаем и видим...
Тут внимательно смотрим поля..
первое поле надо выбрать Ваш торрент файл..нажимаем кнопку обзор..и выбираем
Потом нам нада выбрать обложку..тоже самое нажимаем и ищем обложку..на вашем компе или просто картинку в формате *.jpg
Потом нам надо придумать название...
Оно должно кричать! но так не должно содержать никакого мата и хак терминов...
Зате Пишем описани..советую взять описание какой-нибудь офф проги с сайта офф... и взять описание..затем просто поменять все значения и всё ваше описание соотвествует правилам вконтакте)))
Потом вы должны выбрать раздел в который будете выкладывать..
Советую выкладывать в разделы с играми)) там задрот много можете сказать что это супер чит и вуаля)) куча логов))
Потом выбираем скрины и по жеданию вставляем видео..
и жмем "Создать раздачу"
Вы подумали на этом всё?
Нет!
Кто же раздавать будет?
теперь нам нада поставить файл на раздачу...
Для этого заходим на Вашу раздачу и нажимаем скачать торрент файл
Затем вы нажимаете открыть торрент файл...
После всплывает окно программы uTorrent
Тут вы должны выбрать в верхнем окне путь на вашем компе к вирусу...
и нажать ок
все после того как файл будет проверен программой начнется раздача...
советую вам раздавать как можно дольше...со времеенм людей кторые будут раздавать будет больше...и соотвественно логово тоже..
С вами был Ritter3D!
Троян (троянский конь) - тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной системе. Трояны отличаются отсутствием механизма создания собственных копий. Некоторые трояны способны к автономному преодолению систем защиты КС, с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.
В силу отсутствия у троянов функций размножения и распространения, их жизненный цикл крайне короток - всего три стадии:
- Проникновение на компьютер.
- Активация.
- Выполнение заложенных функций.
Это, само собой, не означает малого времени жизни троянов. Напротив, троян может длительное время незаметно находиться в памяти компьютера, никак не выдавая своего присутствия, до тех пор, пока не будет обнаружен антивирусными средствами. Задачу проникновения на компьютер пользователя трояны решают обычно одним из двух следующих методов.
Маскировка - троян выдает себя за полезное приложение, которое пользователь самостоятельно загружает из Интернет и запускает. Иногда пользователь исключается из этого процесса за счет размещения на Web-странице специального скрипта, который используя дыры в браузере автоматически инициирует загрузку и запуск трояна.
- Пример . Trojan.SymbOS.Hobble.a является архивом для операционной системы Symbian (SIS-архивом). При этом он маскируется под антивирус Symantec и носит имя symantec.sis. После запуска на смартфоне троян подменяет оригинальный файл оболочки FExplorer.app на поврежденный файл. В результате при следующей загрузке операционной системы большинство функций смартфона оказываются недоступными
Одним из вариантов маскировки может быть также внедрение злоумышленником троянского кода в код другого приложения. В этом случае распознать троян еще сложнее, так как зараженное приложение может открыто выполнять какие-либо полезные действия, но при этом тайком наносить ущерб за счет троянских функций.
Распространен также способ внедрения троянов на компьютеры пользователей через веб-сайты . При этом используется либо вредоносный скрипт, загружающий и запускающий троянскую программу на компьютере пользователя, используя уязвимость в веб-браузере, либо методы социальной инженерии - наполнение и оформление веб-сайта провоцирует пользователя к самостоятельной загрузке трояна. При таком методе внедрения может использоваться не одна копия трояна, а полиморфный генератор, создающий новую копию при каждой загрузке. Применяемые в таких генераторах технологии полиморфизма обычно не отличаются от вирусных полиморфных технологий.
Кооперация с вирусами и червями - троян путешествует вместе с червями или, реже, с вирусами. В принципе, такие пары червь-троян можно рассматривать целиком как составного червя, но в сложившейся практике принято троянскую составляющую червей, если она реализована отдельным файлом, считать независимым трояном с собственным именем. Кроме того, троянская составляющая может попадать на компьютер позже, чем файл червя.
- Пример . Используя backdoor-функционал червей семейства Bagle, автор червя проводил скрытую инсталляцию трояна SpamTool.Win32.Small.b, который собирал и отсылал на определенный адрес адреса электронной почты, имевшиеся в файлах на зараженном компьютере
Нередко наблюдается кооперация червей с вирусами, когда червь обеспечивает транспортировку вируса между компьютерами, а вирус распространяется по компьютеру, заражая файлы.
- Пример . Известный в прошлом червь Email-Worm.Win32.Klez.h при заражении компьютера также запускал на нем вирус Virus.Win32.Elkern.c. Зачем это было сделано, сказать тяжело, поскольку вирус сам по себе, кроме заражения и связанных с ошибками в коде вредоносных проявлений (явно выраженных вредоносных процедур в нем нет), никаких действий не выполняет, т. е. не является «усилением» червя в каком бы то ни было смысле
Здесь приемы те же, что и у червей: ожидание запуска файла пользователем, либо использование уязвимостей для автоматического запуска. В отличие от вирусов и червей, деление которых на типы производится по способам размножения/распространения, трояны делятся на типы по характеру выполняемых ими вредоносных действий. Наиболее распространены следующие виды троянов:
Клавиатурные шпионы - трояны, постоянно находящиеся в памяти и сохраняющие все данные, поступающие от клавиатуры с целью последующей передачи этих данных злоумышленнику. Обычно таким образом злоумышленник пытается узнать пароли или другую конфиденциальную информацию.
- Пример . В прошлом, буквально пару лет назад еще встречались клавиатурные шпионы, которые фиксировали все нажатия клавиш и записывали их в отдельный файл. Trojan-Spy.Win32.Small.b, например, в бесконечном цикле считывал коды нажимаемых клавиш и сохранял их в файле C:\SYS. Современные программы-шпионы оптимизированы для сбора информации, передаваемой пользователем в Интернет, поскольку среди этих данных могут встречаться логины и пароли к банковским счетам, PIN-коды кредитных карт и прочая конфиденциальная информация, относящаяся к финансовой деятельности пользователя. Trojan-Spy.Win32.Agent.fa отслеживает открытые окна Internet Explorer и сохраняет информацию с посещаемых пользователем сайтов, ввод клавиатуры в специально созданный файл servms.dll с системном каталоге Windows
Похитители паролей - трояны , также предназначенные для получения паролей, но не использующие слежение за клавиатурой. В таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями.
- Пример. Trojan-PSW.Win32.LdPinch.kw собирает сведения о системе, а также логины и пароли для различных сервисов и прикладных программ - мессенджеров, почтовых клиентов, программ дозвона. Часто эти данные оказываются слабо защищены, что позволяет трояну их получить и отправить злоумышленнику по электронной почте
Утилиты удаленного управления - трояны, обеспечивающие полный удаленный контроль над компьютером пользователя. Существуют легальные утилиты такого же свойства, но они отличаются тем, что сообщают о своем назначении при установке или же снабжены документацией, в которой описаны их функции. Троянские утилиты удаленного управления, напротив, никак не выдают своего реального назначения, так что пользователь и не подозревает о том, что его компьютер подконтролен злоумышленнику. Наиболее популярная утилита удаленного управления - Back Orifice.
- Пример. Backdoor.Win32.Netbus.170 предоставляет полный контроль над компьютером пользователя, включая выполнение любых файловых операций, загрузку и запуск других программ, получение снимков экрана и т. д.
Люки (backdoor) - трояны, предоставляющие злоумышленнику ограниченный контроль над компьютером пользователя. От утилит удаленного управления отличаются более простым устройством и, как следствие, небольшим количеством доступных действий. Тем не менее, обычно одними из действий являются возможность загрузки и запуска любых файлов по команде злоумышленника, что позволяет при необходимости превратить ограниченный контроль в полный.
- Пример . В последнее время backdoor-функционал стал характерной чертой червей. Например, Email-Worm.Win32.Bagle.at использует порт 81 для получения удаленных команд или загрузки троянов, расширяющих функционал червя. Есть и отдельные трояны типа backdoor. Троян Backdoor.win32.Wootbot.gen использует IRC-канал для получения команд от «хозяина». По команде троян может загружать и запускать на выполнение другие программы, сканировать другие компьютеры на наличие уязвимостей и устанавливать себя на компьютеры через обнаруженные уязвимости
Анонимные smtp-сервера и прокси - трояны, выполняющие функции почтовых серверов или прокси и использующиеся в первом случае для спам-рассылок, а во втором для заметания следов хакерами.
- Пример . Трояны из семейства Trojan-Proxy.Win32.Mitglieder распространяются с различными версиями червей Bagle. Троян запускается червем, открывает на компьютере порт и отправляет автору вируса информацию об IP-адресе зараженного компьютера. После этого компьютер может использоваться для рассылки спама
Утилиты дозвона - сравнительно новый тип троянов, представляющий собой утилиты dial-up доступа в Интернет через дорогие почтовые службы. Такие трояны прописываются в системе как утилиты дозвона по умолчанию и влекут за собой огромные счета за пользование Интернетом.
- Пример. Trojan.Win32.Dialer.a при запуске осуществляет дозвон в Интернет через платные почтовые службы. Никаких других действий не производит, в том числе не создает ключей в реестре, т.е. даже не регистрируется в качестве стандартной программы дозвона и не обеспечивает автозапуск.
Модификаторы настроек браузера - трояны, которые меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна браузера, имитируют нажатия на баннеры и т. п.
- Пример. Trojan-Clicker.JS.Pretty обычно содержится в html-страницах. Он открывает дополнительные окна с определенными веб-страницами и обновляет их с заданным интервалом
Логические бомбы - чаще не столько трояны, сколько троянские составляющие червей и вирусов, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное действие: например, уничтожение данных.
- Примеры: . Virus.Win9x.CIH, Macro.Word 97.Thus
Черви и вирусы могут осуществлять все те же действия, что и трояны (см.предыдущий пункт). На уровне реализации это могут быть как отдельные троянские компоненты, так и встроенные функции. Кроме этого, за счет массовости, для вирусов и червей характерны также другие формы вредоносных действий:
Перегрузка каналов связи - свойственный червям вид ущерба, связанный с тем, что во время масштабных эпидемий по интернет-каналам передаются огромные количества запросов, зараженных писем или непосредственно копий червя. В ряде случаев, пользование услугами Интернет во время эпидемии становится затруднительным. Примеры: Net-Worm.Win32.Slammer.
DDoS атаки - благодаря массовости, черви могут эффективно использоваться для реализации распределенных атак на отказ в обслуживании (DDoS атак). В разгар эпидемии, когда зараженными являются миллионы и даже десятки миллионов компьютеров, обращение всех инфицированных систем к определенному Интернет ресурсу приводит к полному блокированию этого ресурса. Так, во время атаки червя MyDoom сайт компании SCO был недоступен в течение месяца.
- Примеры: Net-Worm.Win32.CodeRed.a - не совсем удачная атака на www.whitehouse.gov, Email-Worm.Win32.Mydoom.a - удачная атака на www.sco.com
Потеря данных - более характерное для вирусов, чем для троянов и червей, поведение, связанное с намеренным уничтожением определенных данных на компьютере пользователя.
- Примеры : Virus.Win9x.CIH - удаление стартовых секторов дисков и содержимого Flash BIOS, Macro.Word97.Thus - удаление всех файлов на диске C:, Email-Worm.Win32.Mydoom.e - удаление файлов с определенными расширениями в зависимости от показателя счетчика случайных чисел
Нарушение работы ПО - также более свойственная вирусам черта. Из-за ошибок в коде вируса, зараженные приложения могут работать с ошибками или не работать вовсе.
- Примеры : Net-Worm.Win32.Sasser.a - перезагрузка зараженного компьютера
- Примеры : в разной степени - любые вредоносные программы.
Наличие деструктивных действий вовсе не является обязательным критерием для классификации программного кода как вирусного. Следует также отметить, что одним только процессом саморазмножения вирус способен причинить колоссальный ущерб. Наиболее яркий пример - Net-Worm.Win32.Slammer.
Copyright МБОУ "Гимназия ¹ 75" г. Казань 2014
Исследование
Цели исследования:
выявить уровень знаний преподавателей и учащихся гимназии о биологических и компьютерных вирусах, о способах профилактики и борьбы с компьютерными и биологическими вирусами.
Троянский конь
Война между троянцами и данайцами началась потому, что троянский царевич Парис украл красавицу гречанку Елену из города Спарта. Её муж, царь Спарты Менелай со своим братом Агамемноном собрал войско греков и пошел на Трою. Спартанцы пошли на троянцев.
После десяти лет изнурительной войны и осады в одно прекрасное утро троянцы, не веря своим глазам, увидели, что лагерь греков пуст, а на берегу стоит огромный деревянный конь с посвятительной надписью: "В благодарность за будущее благополучное возвращение домой ахейцы посвящают этот дар Афине".
Жрец Лаокоонт, увидев этого коня и зная хитрости данайцев, воскликнул: «Что бы это ни было, а бойтесь данайцев, даже дары приносящих!» и метнул копьё в коня. Однако в этот момент из моря выползли 2 огромных змея, убили Лакоонта и двух его сыновей, поскольку сам бог Посейдон хотел гибели Трои.
Древние люди относились к священным дарам с большим пиететом, и, по решению царя Приама, конь был внесен в город и водворен в посвященной Афине цитадели. С приходом ночи сидевшие в коне вооруженные ахейцы выбрались наружу и напали на спящих жителей города. Так, благодаря коню, была захвачена Троя, так закончилась Троянская война.
Факты
Одним из классов вредоносных компьютерных программ являются так называемые зип-бомбы. Это архивные файлы формата.zip, которые при распаковке многократно увеличиваются в размере. Например, одна из самых известных зип-бомб под названием 42.zip имеет размер всего 42 КБ, при этом внутри архива содержится 5 слоёв вложенных архивов по 16 файлов на уровень. Размер каждого файла на последнем уровне - 4,3 ГБ, а весь архив в распакованном виде занимает 4,5 Петабайта. Вредоносное действие таких архивов заключается в переполнении системных ресурсов, когда их пытаются просканировать антивирусы или другие системные программы, хотя в настоящее время все приличные антивирусы распознают бомбы заранее и не пытаются вскрывать их до конца.
Вирус «I Love You» (именно так он назывался) был занесен в Книгу Рекордов Гиннеса как самый разрушительный компьютерный вирус в мире. Он поразил более 3 миллионов компьютеров на планете, став ещё и самым дорогим за всю историю.
По статистике, компьютер каждого третьего пользователя Интернета в развитых странах хотя бы раз в течение года подвергается атакам компьютерных вирусов.
В Израиле действует забавный компьютерный вирус, который создан якобы для справедливости. Он находит в компьютере фильмы, музыку и фотографии, незаконно скачанные из Интернета, и уничтожает их. Что интересно, когда пользователь хочет удалить этот вирус из компьютера, его просят заплатить за эту услугу деньги.
10 легендарных атак в истории Интернета
Топ 10 легендарных вирусных атак в Интернете, которые поставили под угрозу безопасность десятков, а то и сотни миллионов пользователей по всему миру.
Факты
Несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.
Самый известный любитель вирусов в нашей стране – это студент одного из ВУЗов Воронежа. Он создал в Интернете сайт, на котором разместил для всех желающих целую коллекцию компьютерных вирусов (более 4.000 штук). Этот сайт был обнаружен ФСБ и студент был осужден на два года условно за распространение в интернете компьютерных вирусов. Что интересно, сам студент тоже написал свой вирус, который до сих пор не обнаруживается средствами защиты.
Первым человеком, арестованным за спам в системах мгновенных сообщений (типа ІCQ) стал 18- летний Энтони Греко 21 февраля 2005 года.
В 1991 году известный вирусмейкер Dark Avenger реализовал MtE (Mutatіon Engіne) - алгоритм, который разрешает вирусам мутировать в более чем 4 миллиарда разных форм, значительно затрудняя их нахождение антивирусами.
