Борьба с вирусами дома и на производстве
Это настоящий детектив: шокирующие атаки хакеров держат специалистов по защите от вредоносного ПО в постоянном напряжении. Для спасения систем зачастую приходится идти на всевозможные ухищрения.
Это настоящий детектив: шокирующие атаки хакеров держат специалистов по защите от вредоносного ПО в постоянном напряжении. Для спасения систем зачастую приходится идти на всевозможные ухищрения.
Опыт показывает, что с атакой может столкнуться каждый, а усилия, затрачиваемые на избавление от вредоносных программ, зачастую огромны. Чем серьезнее случай, тем сложнее восстановить систему. Такие опасные черви, как все еще очень активный Conficker, бросают настоящий вызов даже высококлассным специалистам и вынуждают идти на различные хитрости, чтобы устранить проблему. Если для частных пользователей переустановка всей системы чаще всего является лучшим выходом из положения, то для крупных сетей, используемых в корпоративном секторе и производстве, такой вариант даже не рассматривается из-за огромных временных затрат. И все же, какими бы драматическими ни были эти случаи и сколько бы усилий ни приходилось прилагать экспертам для борьбы с вредителями, в конце концов становится ясно: если бы жертвы атак использовали антивирусы и регулярно их обновляли, то большинства угроз можно было бы избежать и не тратить столько нервов. Сказанное относится и к простым домашним компьютерам на письменных столах, и к весьма сложным производственным установкам.
Полный отказ домашнего компьютера
Перезагрузки не помогают? Все плохо: скрытая вредоносная программа основательно заразила ОС. Для неспециалистов это бы означало конец — «смерть» системы.
История начинается с небольшой дружеской услуги от охотника за вирусами из «Лаборатории Касперского», которого позвали решить проблему. Владелец ПК уверен, что речь идет об ошибке в аппаратных средствах, так как налицо два типичных симптома: уже во время загрузки компьютера появляется «синий экран», и до запуска операционной системы Windows 7 дело даже не доходит. Бесконечные перезагрузки не помогают. Поломка в материнской плате? О вирусах никто даже не думает, ведь разработчики вредоносного ПО обычно не планируют выводить из строя оборудование — это не приносит прибыль. Мошенники зарабатывают деньги лишь в тех случаях, когда вирус остается нераспознанным и в фоновом режиме собирает данные онлайн-банкинга и кредитных карт или рассылает спам. При этом киберпреступники тратят много времени на то, чтобы их вредоносное ПО не провоцировало очевидные неисправности компьютера. И все же специалист по безопасности насторожился. Он пытается получить доступ к ПК, чтобы сделать резервную копию содержимого жесткого диска. Для этого эксперт подсоединяет USB-накопитель, через который собирается запустить Live Linux. Однако с подключением что-то не так: попытка загрузиться с DVD-привода показывает, что и он не работает. Дилетант бы уже опустил руки, но профессионал все равно пытается помочь: обращается к системе компьютера через сетевую карту с помощью специального кода PXE, копирует образ системы, монтирует его на своем ноутбуке с Ubuntu и проверяет антивирусом со свежими базами. Результат шокирует: в системе обосновался довольно мерзкий тип — руткит TDL2, поражающий загрузочные секторы диска и за счет этогоактивирующийся прямо при запуске компьютера. Но и это еще не все: через брешь в системе на ПК попало бессчетное количество других вредоносных утилит, большинство из которых, к счастью, оказались относительно безвредными scareware — ложными антивирусами.
ЗАРАЖЕНИЕ. За «захламлением» вирусами, как правило, скрывается модель PPI (Pay Per Install — оплата за установку). Что это значит? Когда взломщик инсталлирует на компьютер вредоносное ПО, он получает от его разработчика вознаграждение, то есть это очень хороший источник прибыли для мошенника. Данная модель представляет собой разновидность партнерской программы, истоки которой лежат в рекламной отрасли. Создатели вирусов и их распространители действуют рука об руку и встречаются на форумах, чтобы заключать сделки. Когда мошенник собирается построить бот-сеть, он регистрируется на платформе PPI. На ее форумах он может получить у опытных преступников советы, как быстрее всего заработать деньги. Наиболее распространенный способ таков: мошенник заказывает у владельцев партнерской программы PPI вредоносную программу, которую он должен распространять. Чтобы заставить ничего не подозревающих пользователей ее установить, он связывает вирус с нормальным ПО. Бандиты предпочитают заражать генераторы ключей (кейгены), поскольку таким образом жертва инсталлирует вирус добровольно. Через сети P2P или хост-сайты «вредитель» попадает на компьютер. Осуществить раздачу не так уж и просто, поскольку пиринговые сети удаляют зараженные файлы. Однако сайты PPI предлагают так называемый криптор, шифрующий вредоносный пакет, чтобы антивирус не мог его распознать. Крипторы весьма популярны, но и стоят недешево: прибыль разработчика с каждой лицензии составляет примерно $100. Если, к примеру, мошеннику удалось сделать ботами 1000 компьютеров в США, платформа PPI выплачивает ему $180. Азиатские ПК не приносят больших доходов, поэтому они стоят лишь $6. Одна деталь указывает на предположительное местоположение большинства заправил этой платежной модели: многие торговые площадки PPI не платят за заражение компьютеров в России.
ДЕЗИНФЕКЦИЯ. В нашем случае хакер перестарался: огромное количество инсталлированных вирусов привело к тому, что компьютер не справился и перестал функционировать. Эксперту оставалось лишь переустановить систему, что он и сделал по сети через сервер PXE.
Статистика заражений руткитом TDL2
В описанном выше случае в ПК поработал руткит TDL2, поражающий загрузочные секторы диска и благодаря этому активирующийся непосредственно при запуске машины. Семейство руткитов TDL очень активно: от него уже пострадало более 4,5 млн компьютеров. Это один из первых руткитов, способных широко поражать даже современные 64-разрядные системы. Однако на большинстве зараженных машин была установлена устаревшая Windows XP.
Врачи рекламируют «виагру»
Взлом компьютеров в клиниках может иметь драматические последствия, но порой это выглядит очень весело.
Охотники за вирусами из «Лаборатории Касперского» направляются к врачу. Нет, они не больны. Заражению, видимо, подверглись два компьютера — во всяком случае, у них очень необычные симптомы: без причины работа ПК существенно замедлилась. Подозрения быстро подтвердились: вирусная атака. В папке «Отправленные» почтового клиента обнаружилось большое количество спама. Тема этих писем однозначно указывает на то, что речь идет о рекламе фармацевтических препаратов: уже несколько недель пациентам этой клиники по электронной почте незаметно рассылается спам, в котором авторитетно предлагается воспользоваться недорогой «виагрой».
ЗАРАЖЕНИЕ. Эксперты уже не могут проследить, как именно произошло заражение. Но ясно одно: оба компьютера в клинике являются частью ботнета, рассылающего спам. Этот тяжелый случай еще раз доказывает, насколько важно, чтобы антивирусы и операционная система всегда были в актуальном состоянии. Здесь же об этом совсем забыли: администраторы преступным образом пренебрегли обновлениями для Windows, технология антивирусной защиты устарела на два года, а сроки действия лицензий истекли. В результате оба ПК уже очень давно не получали свежие сигнатуры. Одним словом, компьютеры этой клиники стали для кибермошенников очень легкой добычей.
ДЕЗИНФЕКЦИЯ. Экспертам удалось очистить машины от вирусов без переустановки системы. С помощью загрузочного Live CD они полностью ликвидировали заражение. После этого врачи подарили компьютеру новый антивирус, а своим спасителям — массаж.
Другой инцидент, произошедший в январе, показывает, что не только клиника без отдела компьютерной безопасности может стать «зомби», подчиняющимся спамерской бот-сети: пользователи сервиса SaaS Total Protection от McAfee сообщили, что их письма не принимает большинство почтовых служб, поскольку присвоенные им IP-адреса находятся в черных списках, куда обычно попадают спамеры. По заявлениям специалистов по компьютерной безопасности, это коснулось 1900 компьютеров, прилежно рассылавших письма со спамом. Источник проблемы был найден быстро: как это ни удивительно, компания McAfee сама стала жертвой хакерской атаки. Стоит отдать должное этой фирме: как производитель решений по обеспечению безопасности компьютеров, McAfee быстро среагировала и залатала брешь в своих программных продуктах. Но что же случилось? Захватчики смогли принудить онлайн-службу SaaS Total Protection разослать пользователям письма со спамом, которые, образно говоря, «отрикошетили» и стали распространяться далее. Разработчик заверил, что это не повлекло за собой никакого ущерба: получить доступ к личным данным пользователей хакеры не смогли, да и компьютеры тоже не были заражены. Однако это дало повод задуматься об усилении безопасности ПК другими антивирусными решениями.
Заводские установки «бастуют» сутками
Вся производственная линия внезапно остановилась: в ней удобно расположился червь. Спасатели спешат на помощь на велосипедах.
Вместо привычного оглушительного шума, создаваемого мощными прессами, сверлами и фрезерными машинами, воцарилась таинственная тишина. Компьютерный червь заразил промышленную установку крупной фирмы и атаковал ПК, отвечающие за управление и контроль. В итоге встала вся работа. При анализе вредоносного ПО специалисты компании Trend Micro выяснили, что захватчик — это червь Conficker. Именно он стал причиной остановки гигантской производственной линии. Вредитель уже несколько лет свирепствует в Сети и считается одним из самых агрессивных.
ЗАРАЖЕНИЕ. Первое, что поразило экспертов, — это то, что промышленный компьютер даже не был соединен с Интернетом. При этом на табличках имелись однозначные указания сотрудникам о недопустимости подключения USB-накопителей. Однако это не обеспечило эффективную защиту: очевидно, один из работников проигнорировал предписания, и через его сменный носитель червь Conficker беспрепятственно проскользнул в установку. На ПК не был установлен антивирус со свежими базами данных, поэтому вредоносное ПО смогло распространиться по всей сети следующим образом: червь осуществляет атаки на ресурсы администратора («Admin$») остальных компьютеров в локальной сети, считывая имена пользователей и пытаясь взломать пароли методом полного перебора. В случае успеха Conficker проникает в захваченную систему, копирует себя в папку System32 и создает файл *.job в папке Tasks. Этот файл снова ссылается на файл *.job другого зараженного компьютера. Они обеспечивают запуск червя на всех машинах в разное время. Охотники за вирусами быстро справились с этими файлами, поскольку даже обычное сканирование может распознать и удалить их. Однако в запасе у Conficker есть еще одна подлая уловка, ставшая серьезным испытанием для экспертов: через известную уязвимость, которой компания Microsoft дала обозначение MS08-067, вредоносная программа создает файл с именем «x» в папке System32, но лишь после того, как червь начнет свои вредительства. Это приводит к тому, что антивирусный сканер хотя и бьет тревогу, но не может удалить или перенести этот файл. Ему это запрещает сама Windows: срабатывает механизм, предназначенный для защиты безвредных процессов от вмешательства.
ДЕЗИНФЕКЦИЯ. Решение проблемы требует больших усилий. Вместо того чтобы очистить все производственные установки от червя тем же путем, каким он распространялся, то есть через сеть, специалистам приходится удалять вредоносное ПО на каждом компьютере вручную. Они перемещаются по всей длине производственной линии на велосипедах, позволяющих легче преодолевать огромные расстояния. Используемую не по назначению защиту процессов они обходят с помощью перезапуска и очистки устройства еще до того, как процесс будет запущен. Но одной дезинфекции недостаточно — систему необходимо предохранить от последующих атак. Проблема состоит в том, что хотя Microsoft и выпустила исправление для уязвимости, как только она была обнаружена, многие пользователи не обновили свои компьютеры, проигнорировав данный патч, как, впрочем, и остальные заплатки на ОС. Администраторы этой промышленной установки не сделали это из-за отсутствия доступа к Интернету. Хуже всего, что во всей сети установлена версия Windows NT, для которой на момент заражения патча не существовало. В конце концов специалистам по компьютерной безопасности, благодаря инструкциям собственной разработки, удалось полностью вычистить вредоносное ПО и возобновить работу производственной линии. Этот ужасный случай произошел в 2009 году, однако компания Trend Micro сообщает об атаках Conficker, продолжающихся и в наше время. Инструкцию по обнаружению и удалению этого червя вы найдете на следующей странице, поскольку и в другой истории он сыграл очень важную роль.
Нападение вирусов на больницу
Нужно оперировать пациентов, а компьютерная система заражена. В цейтноте эксперты сражаются с агрессивным вирусом.
Приятный воскресный вечер, около девяти часов, по телевизору идет популярный сериал, но внезапно охотников за вирусами из компании Norman вызывают по очень интересному поводу: в больнице разыгралась драма — нападение хакеров. По дороге эксперты гадают, как такое могло случиться, ведь, как правило, в таких учреждениях используются две разные сети — одна открытая, для общественных компьютеров с доступом в Интернет, а другая закрытая, для медицинского оборудования. На месте выясняется, что обе сети действительно были поражены вредоносной программой. После проверки установлено и ее название: речь идет о древнем черве Neeris, про которого уже все забыли. Но благодаря червю Conficker он получил вторую жизнь, поскольку разработчики Neeris переняли принцип заражения у этого отвратительного вредителя.
В больнице Neeris успел серьезно навредить: инфицировано более 100 компьютеров с Windows XP, а также медицинское оборудование. Сам по себе вирус на зараженных ПК ничего страшного не натворил, однако машины были связаны в сеть, и последствия не заставили себя ждать: из-за агрессивного распространения червя сработала система защиты. Она заблокировала все доступы к компьютерам, которые контролируют важное медицинское оборудование и обрабатывают данные, необходимые для проведения операций. Пока охотники на вирусы изучали логи сервера, чтобы найти первую жертву нападения, администраторы составили список устройств, которые необходимо запустить в первую очередь. Для вычисления всех зараженных систем эксперты воспользовались бесплатной утилитой Snort. К счастью, у червя весьма характерная сигнатура, благодаря которой обнаружение произошло довольно быстро.
ЗАРАЖЕНИЕ. В час ночи источник инфицирования был обнаружен — незаметный компьютер в каморке, не подключенный к открытой сети, с которого врачи копировали на USB-накопители различную информацию, например снимки компьютерной томографии. Подобно Conficker, червь воспользовался этим устройством и благодаря эксплойту распространился и на другие системы в локальной сети. Для устранения этой уязвимости Windows существует патч, однако данный компьютер не был подключен к Интернету, поэтому система не смогла автоматически обновиться. Для подобных случаев существуют другие защитные механизмы, которые здесь не были реализованы. Установить обновление вручную не такая уж простая задача в данной ситуации: при изменении версии операционной системы может отмениться сертификация некоторых медицинских аппаратов.
ДЕЗИНФЕКЦИЯ. Червь настолько агрессивен, что первая попытка его удалить в полвторого ночи не принесла результата — Neeris снова заразил очищенные системы. Но и у него есть ахиллесова пята, которая сыграла с ним злую шутку: при нападении он проверяет, нет ли на компьютере его аналога, и при обнаружении удаляет сам себя. Поэтому специалисты провернули следующий трюк: искусственно заразили каждый компьютер и подсунули червю фальшивку. Соответствующая программа была написана быстро. Эта операция принесла плоды только на персональных компьютерах, поскольку на медицинское оборудование ничего установить нельзя. К счастью, критические системы все еще чисты: червь не смог до них добраться. Некоторым машинам хватило обновления BIOS, для спасения других требуется помощь производителя. В три часа ночи охотники за вирусами наконец-то смогли отправиться отдыхать, в то время как IT-специалисты больницы еще до семи утра занимались очисткой системы, избавляясь от последствий.
Вирусы на USB-накопителя: избавляемся самостоятельно
Распознать Перейдите по короткой ссылке bit.ly/9Bjl0, и, подключив USB-накопитель, вы сразу совершенно бесплатно узнаете, заражен ли ваш компьютер червями Neeris и Conficker.
Уничтожить В случае заражения отключите все атакованные компьютеры от сети и воспользуйтесь последней версией утилиты для удаления червя Conficker. Скачать ее можно по короткой ссылке b23.ru/kljf.
Защититься Чаще всего нападению подвергаются компьютеры с системой Windows XP — не забывайте обновлять свою ОС.
Сделать прививку Программа BitDefender USB Immunizer (короткая ссылка — b23.ru/kljt) защитит ваши USB-накопители от инфекций и не позволит вирусами распространяться этим способом.