Что такое трояны и вирусы — на самом деле

Возь­ми­те любой хакер­ский фильм, и там будет обя­за­тель­но что-нибудь про виру­сы и тро­я­ны. На экране может выгля­деть кра­си­во и роман­тич­но, а вот как в жиз­ни.

Сразу главное: как защититься

Виру­сы, тро­я­ны и зло­вред­ные про­грам­мы суще­ству­ют. Даль­ше будет их подроб­ное опи­са­ние, но сна­ча­ла — как от все­го это­го защи­тить­ся.

  1. Исполь­зуй­те анти­ви­ру­сы. Они защи­тят от боль­шей части виру­сов, тро­я­нов и чер­вей. Необя­за­тель­но поку­пать самые доро­гие и наво­ро­чен­ные анти­ви­ру­сы, доста­точ­но базо­вых вер­сий.
  2. Если опе­ра­ци­он­ка пред­ла­га­ет обнов­ле­ние — уста­но­ви­те его. Обнов­ле­ния закры­ва­ют дыры, через кото­рые чер­ви и виру­сы могут попасть в систе­му.
  3. Исполь­зуй­те лицен­зи­он­ные плат­ные про­грам­мы, под­пи­сы­вай­тесь на офи­ци­аль­ные музы­каль­ные сер­ви­сы, смот­ри­те сери­а­лы по под­пис­ке — сей­час это недо­ро­го. Почти все зло­вред­ные про­грам­мы попа­да­ют на ком­пью­тер через взло­ман­ный софт и сай­ты типа «Ска­чать сери­а­лы без реги­стра­ции».
  4. Делай­те резерв­ные копии важ­ных доку­мен­тов в обла­ке (напри­мер на «Яндекс.Диске») и на внеш­них носи­те­лях — флеш­ках и жёст­ких дис­ках.
  5. Отно­си­тесь к фото­га­ле­рее на теле­фоне так, как буд­то её в любой момент могут опуб­ли­ко­вать в Сети.

Луч­ший поря­док дей­ствий при серьёз­ном зара­же­нии ком­пью­те­ра или теле­фо­на — сте­реть систе­му под ноль. Посмот­ри­те на них и поду­май­те: «Что если зав­тра мне при­дёт­ся сте­реть тут всё?»

Вирусы

Вирус — это про­грам­ма, кото­рая копи­ру­ет сама себя про­тив ваше­го жела­ния. Так­же она может делать что-то вред­ное для вас или полез­ное для хаке­ров, но виру­сом её дела­ет имен­но спо­соб­ность к рас­про­стра­не­нию.

Дей­ству­ют они так.

  1. Вирус ока­зы­ва­ет­ся на ком­пью­те­ре — вста­ви­ли зара­жён­ную флеш­ку, ска­ча­ли файл из интер­не­та, откры­ли подо­зри­тель­ное пись­мо.
  2. С помо­щью меха­низ­ма рас­про­стра­не­ния (у каж­до­го виру­са он свой) вирус запус­ка­ет­ся и попа­да­ет в опе­ра­тив­ную память.
  3. Вирус нахо­дит и зара­жа­ет фай­лы по опре­де­лён­но­му прин­ци­пу — напри­мер, все испол­ня­е­мые фай­лы или все фай­лы на флеш­ках. Если теперь зара­жён­ный файл запу­стить на дру­гом ком­пью­те­ре, вирус рас­кро­ет­ся и вос­про­из­ве­дёт­ся там.
  4. Парал­лель­но с этим вирус дела­ет с ком­пью­те­ром то, что от него нуж­но: уда­ля­ет дан­ные, фор­ма­ти­ру­ет дис­ки, сли­ва­ет ваши фото­гра­фии в Сеть, шиф­ру­ет фай­лы или вору­ет паро­ли. Это уже необя­за­тель­но и зави­сит от фан­та­зии раз­ра­бот­чи­ка.

Вирус Q QASINO.COM после зара­же­ния ком­пью­те­ра пред­ла­га­ет сыг­рать с ним в «одно­ру­ко­го бан­ди­та» и обе­ща­ет, что в слу­чае выиг­ры­ша не будет уда­лять все дан­ные. Разу­ме­ет­ся, это вра­ньё, и к это­му момен­ту живых фай­лов уже не оста­лось.

Черви

Эти про­грам­мы похо­жи на виру­сы, но с одним отли­чи­ем — в них встро­е­ны меха­низ­мы рас­про­стра­не­ния по Сети, в то вре­мя как вирус нуж­но пере­но­сить в фай­лах. Для это­го чер­ви исполь­зу­ют уяз­ви­мо­сти в поч­то­вых про­грам­мах, сете­вых про­то­ко­лах и опе­ра­ци­он­ных систе­мах. Про­ще гово­ря, что­бы зара­зить­ся чер­вём, ниче­го делать не надо.

Пер­вым сете­вым чер­вём был червь Мор­ри­са. В нояб­ре 1988 года он зара­зил 6000 узлов ARPANET — буду­ще­го роди­те­ля интер­не­та. Для того вре­ме­ни это была почти ката­стро­фа, пото­му что червь нару­шил нор­маль­ную рабо­ту сети и при­нёс убыт­ков на 96 мил­ли­о­нов дол­ла­ров.

Из недав­не­го — в 2010 году червь Stuxnet исполь­зо­вал­ся для того, что­бы нару­шить рабо­ту неко­то­рых про­мыш­лен­ных пред­при­я­тий и соби­рать дан­ные важ­ных объ­ек­тов: аэро­пор­тов, элек­тро­стан­ций и город­ских систем. Этот же червь рабо­тал на иран­ских ядер­ных объ­ек­тах.

Сей­час опас­ность чер­вей сни­жа­ет­ся, пото­му что на клю­че­вых сете­вых шлю­зах всё чаще сто­ят сред­ства защи­ты: когда червь выпол­за­ет в «боль­шой интер­нет», его могут сра­зу вычис­лить и оста­но­вить — но толь­ко если об этом чер­ве уже извест­но или он исполь­зу­ет уже обна­ру­жен­ную сете­вую уяз­ви­мость.


Иран­ский завод по обо­га­ще­нию ура­на в Нетен­зе. Имен­но этот объ­ект был глав­ной целью чер­вя Stuxnet, что­бы замед­лить раз­ви­тие иран­ской ядер­ной про­грам­мы. Впер­вые в исто­рии вирус целе­на­прав­лен­но выво­дил из строя цен­три­фу­ги и угро­жал без­опас­но­сти стра­ны.

Трояны

Тро­я­ны сами себя не копи­ру­ют и не запус­ка­ют, но от это­го не ста­но­вят­ся менее опас­ны­ми. Назва­ние они полу­чи­ли в честь тро­ян­ско­го коня, в кото­ром гре­че­ский спец­наз про­ник в Трою. Тро­я­ны на ком­пью­те­ре дей­ству­ют похо­жим обра­зом.

  1. Берёт­ся какая-то полез­ная про­грам­ма. Хакер добав­ля­ет в неё код тро­я­на. Чаще все­го это будет какой-нибудь взло­ман­ный пират­ский софт или про­грам­ма для бес­плат­но­го ска­чи­ва­ния музы­ки.
  2. Когда поль­зо­ва­тель запус­ка­ет полез­ную про­грам­му, на самом деле начи­на­ют рабо­тать две: полез­ная, кото­рую и хоте­ли запу­стить, и вред­ная, кото­рая тихо и неза­мет­но дела­ет что-то пло­хое.
  3. Поль­зо­ва­тель может даже с пер­во­го раза не заме­тить, что что-то пошло не так. Тро­ян может рабо­тать неза­мет­но или «спать» до опре­де­лён­но­го момен­та.
  4. В резуль­та­те тро­ян может сде­лать что угод­но: забло­ки­ро­вать ком­пью­тер, открыть доступ к нему для дру­гих ком­пью­те­ров или уда­лить фай­лы.

Часто люди ска­чи­ва­ют тро­я­ны из интер­не­та под видом как бы нуж­ных про­грамм: бло­ки­ров­щи­ков рекла­мы, уско­ри­те­лей загру­зок, новей­ше­го опти­ми­за­то­ра систе­мы и про­че­го. Но на деле эти про­грам­мы дела­ют мало чего полез­но­го, а риск зара­зить свой ком­пью­тер высок. Поэто­му качай­те софт толь­ко с офи­ци­аль­ных сай­тов про­из­во­ди­те­лей и раз­ра­бот­чи­ков.

В мага­зи­нах при­ло­же­ний для смарт­фо­нов мож­но встре­тить мно­го зага­доч­ных про­грамм типа «Фона­рик»: они бес­плат­ные, с одной сто­ро­ны, но когда начи­на­ешь ими поль­зо­вать­ся, то про­сят доступ к кон­так­там, фай­лам, фото­гра­фи­ям, каме­ре… Может ли быть так, что под видом фона­ри­ка вы полу­ча­е­те шпи­он­ский тро­ян?


Этот фона­рик полу­ча­ет пол­ный доступ к вашим фай­лам, звон­кам, интер­не­ту и слу­жеб­ным дан­ным само­го теле­фо­на. А ещё он может сни­мать фото и видео — подо­зри­тель­ная актив­ность для про­сто­го фона­ри­ка.

Шпионы

Программа-шпион соби­ра­ет ваши дан­ные и куда-то их отправ­ля­ет. Самый про­стой вари­ант — ждёт, когда вы нач­нё­те вво­дить дан­ные кре­дит­ки где-нибудь в интернет-магазине, пере­хва­ты­ва­ет эти дан­ные и отправ­ля­ет хаке­рам. Шпи­о­ны могут быть частью виру­са, чер­вя или тро­я­на.

Что ещё могут делать шпи­о­ны:

  • сле­дить за все­ми нажа­ты­ми кла­ви­ша­ми и дви­же­ни­я­ми мыш­ки;
  • делать скрин­шо­ты экра­на;
  • пере­да­вать ваши фай­лы на чужой сер­вер;
  • запи­сы­вать аудио и видео через мик­ро­фон и веб-камеру;
  • смот­реть за тем, какие сай­ты вы посе­ща­е­те, что­бы про­да­вать эти дан­ные рекла­мо­да­те­лям.

Если вы дума­е­те, что нико­му не будет инте­рес­но за вами сле­дить, — вы оши­ба­е­тесь. Тыся­чи рекла­мо­да­те­лей по все­му миру охо­тят­ся за точ­ны­ми дан­ны­ми о поль­зо­ва­те­лях, и часть из них может исполь­зо­вать имен­но такой софт.

Когда начи­на­лась лихо­рад­ка Pokemon Go, мно­гие спе­ци­а­ли­сты по без­опас­но­сти тре­во­жи­лись: сама игруш­ка тре­бо­ва­ла доступ не толь­ко к каме­ре и гео­ло­ка­ции, но и почти ко все­му теле­фо­ну. Что дела­ла эта про­грам­ма на фоне, когда люди лови­ли поке­мо­нов?

Вымогатели и порнобаннеры

Программы-вымогатели бло­ки­ру­ют ком­пью­тер и тре­бу­ют выкуп за раз­бло­ки­ров­ку или шиф­ру­ют фай­лы и тре­бу­ют выкуп за рас­шиф­ров­ку. Они рас­про­стра­ня­ют­ся как виру­сы, чер­ви или тро­я­ны.

Программы-вымогатели созда­ют для зара­бот­ка, поэто­му их цель — заста­вить жерт­ву как мож­но ско­рее запла­тить. Что­бы создать ощу­ще­ние сроч­но­сти, вымо­га­те­ли могут гово­рить, что до уни­что­же­ния фай­лов оста­лось столько-то вре­ме­ни.

Могут давить на стыд: напри­мер, угро­жа­ют жерт­ве, что на её ком­пью­те­ре най­де­но дет­ское пор­но и вот-вот будет пере­да­но в поли­цию. Рас­те­ряв­ша­я­ся жерт­ва ско­рее пере­ве­дёт день­ги, чем будет раз­би­рать­ся.

Вол­на таких вирусов-вымогателей про­ка­ти­лась по миру несколь­ко лет назад, а самой гром­кой ата­кой было мас­со­вое рас­про­стра­не­ние вымо­га­те­лей Petya и NotPetya в 2016 и 2017 годах. Одна­ко экс­пер­ты гово­рят, что вымо­га­тель­ство было лишь мас­ки­ров­кой, а вооб­ще хаке­ры про­сто хоте­ли нане­сти ущерб.

Пере­во­дить день­ги вымо­га­те­лям, конеч­но, нель­зя: во-первых, чаще все­го они не раз­бло­ки­ру­ют после это­го ваш ком­пью­тер; во-вторых, пере­вод денег лишь вдох­нов­ля­ет вымо­га­те­лей на новые тру­до­вые подви­ги.


Вымо­га­тель Petya шиф­ру­ет фай­лы и пред­ла­га­ет купить ключ для рас­шиф­ров­ки. Даже если запла­тить, веро­ят­ность того, что вам при­шлют ключ, очень мала.

Рекламные зловреды

Пред­ставь­те: вы рабо­та­е­те как обыч­но, а раз в 10 минут появ­ля­ет­ся реклам­ное окно на весь экран. Через 20 секунд оно про­па­да­ет само. Вре­да немно­го, но бесит. Или вы захо­ди­те на сайт бан­ка, а вас направ­ля­ют на какой-то левый парт­нёр­ский сайт, где пред­ла­га­ют открыть кре­дит­ную кар­ту без реги­стра­ции и СМС.

Что это зна­чит:

  1. Какой-то недоб­ро­со­вест­ный веб-мастер зара­ба­ты­ва­ет на открут­ке рекла­мы и при­вле­че­нии людей на сай­ты.
  2. Так как он недоб­ро­со­вест­ный, ему пле­вать на каче­ство ауди­то­рии. Ему глав­ное — что­бы рекла­ма была пока­за­на.
  3. Он созда­ёт реклам­ный вирус, кото­рый зара­жа­ет всё под­ряд и откру­чи­ва­ет на ком­пью­те­рах жертв нуж­ную рекла­му.
  4. За каж­дый показ веб-мастер полу­ча­ет какую-то копей­ку.
  5. С миру по копей­ке — мёрт­во­му на костюм (как-то так гово­рят).

Сами по себе реклам­ные зло­вре­ды неслож­ные в изго­тов­ле­нии и чаще все­го рас­про­стра­ня­ют­ся по тро­ян­ской моде­ли: тебе пред­ла­га­ют какую-нибудь про­грам­му типа «Ска­чай музы­ку из ВКон­так­те», а вме­сте с ней в систе­му уста­нав­ли­ва­ет­ся реклам­ный тро­ян. При­чём при уда­ле­нии про­грам­мы для музы­ки тро­ян оста­ёт­ся.

Важ­но ска­зать, что рекла­ма, кото­рую пока­зы­ва­ют такие тро­я­ны, совер­шен­но необя­за­тель­но будет от недоб­ро­со­вест­ных рекла­мо­да­те­лей. Напри­мер, на скрин­шо­те ниже вылез­ла рекла­ма 1XBet — но это не зна­чит, что эта фир­ма при­част­на к созда­нию зло­вре­да. Ско­рее все­го, она раз­ме­сти­ла рекла­му на какой-то сомни­тель­ной (но легаль­ной) пло­щад­ке. Хаке­ры заре­ги­стри­ро­ва­лись на этой пло­щад­ке как реклам­ный сайт, а вме­сто сай­та внед­ри­ли рекла­му в зло­вред. И теперь они зара­ба­ты­ва­ют, откру­чи­вая рекла­му там, где её быть не долж­но.


Типич­ный при­мер реклам­но­го зло­вре­да.

Ботнеты

Бот­не­ты — это груп­пы ком­пью­те­ров, кото­рые управ­ля­ют­ся из одной точ­ки и дела­ют то, что нуж­но хозя­и­ну бот­не­та. Если ваш ком­пью­тер ста­нет частью бот­не­та, то неза­мет­но для вас его могут исполь­зо­вать для атак на дру­гие сай­ты, отправ­ки спа­ма или ещё чего поху­же.

Напри­мер, сто тысяч чело­век ска­ча­ли при­ло­же­ние «Бес­плат­ные сери­а­лы». Вме­сте с при­ло­же­ни­ем (кото­рое мог­ло вооб­ще не рабо­тать) на их ком­пью­тер уста­но­вил­ся неви­ди­мый сер­вис. Он никак себя не про­яв­ля­ет и ждёт коман­ды из «цен­тра».

В какой-то момент в «центр» посту­па­ет заказ зава­лить какой-нибудь сайт — напри­мер, поли­ти­че­ско­го оппо­нен­та. «Центр» даёт коман­ду сво­е­му бот­не­ту: «Сде­лай­те мил­ли­он запро­сов на такой-то сайт». И весь бот­нет, все сто тысяч ком­пью­те­ров начи­на­ют это делать. Сайт пере­гру­жа­ет­ся и пере­ста­ёт рабо­тать. Это назы­ва­ют DDoS-атакой — Distributed Denial of Service. Всё рав­но что всем моск­ви­чам ска­за­ли бы схо­дить в «Ашан» за греч­кой, а если греч­ка закон­чит­ся — без скан­да­ла не ухо­дить.

Если ваш ком­пью­тер был частью бот­не­та, вы може­те об этом даже нико­гда не узнать, пото­му что все запро­сы про­ис­хо­дят в фоно­вом режи­ме. Но ущерб от мас­со­во­го бот­не­та может быть суще­ствен­ным.

Бот­не­ты дела­ют не толь­ко на ста­ци­о­нар­ных ком­пью­те­рах, но и на смарт­фо­нах. Пред­ставь­те: десять-двадцать мил­ли­о­нов смарт­фо­нов в огром­ном бот­не­те, кото­рые будут совер­шать несколь­ко сотен запро­сов в секун­ду на про­тя­же­нии мно­гих часов. Очень опас­ное ору­жие.

Майнеры

Бот­не­ты нуж­ны от слу­чая к слу­чаю, а крип­то­ва­лю­та — все­гда. Мож­но сов­ме­стить при­ят­ное с полез­ным: доба­вить в про­грам­му воз­мож­но­сти май­нин­га крип­то­ва­лют. Один ком­пью­тер вряд ли намай­нит зло­умыш­лен­ни­ку целый бит­ко­ин, но мил­ли­он ком­пью­те­ров в бот­не­те — смо­гут.

Вред май­не­ра в том, что он под завяз­ку загру­жа­ет ваш про­цес­сор, из-за чего сни­жа­ет­ся его срок служ­бы, а сам ком­пью­тер начи­на­ет тор­мо­зить. А если у вас ноут­бук, кото­рый рабо­та­ет от бата­реи, то поса­дить её май­нер может за пол­ча­са.

Май­не­ры встра­и­ва­ют внутрь взло­ман­ных про­грамм. Из послед­не­го — хаке­ры взло­ма­ли музы­каль­ную про­грам­му Ableton Live и раз­да­ва­ли её бес­плат­но, но на бор­ту рабо­тал май­нер. Ещё ино­гда мож­но встре­тить май­не­ры на сай­тах.

Разу­ме­ет­ся, вы нико­гда не встре­ти­те май­нер в офи­ци­аль­ном соф­те и на офи­ци­аль­ных сай­тах. Вся эта грязь и погань живёт толь­ко в цар­стве халя­вы, взло­ман­ных про­грамм и сери­а­лов без СМС. Будь­те осто­рож­ны.


Анти­ви­рус нашёл май­нер, кото­рый пря­тал­ся в уста­нов­щи­ке обнов­ле­ний Adobe.

Блоатвар

Допу­стим, вы реши­ли пока­чать тор­рен­ты. Само по себе это не пре­ступ­ле­ние, поэто­му вы идё­те на сайт попу­ляр­но­го торрент-клиента и ска­чи­ва­е­те при­ло­же­ние. Откры­ва­ет­ся офи­ци­аль­ный уста­нов­щик, вы быст­ро про­кли­ки­ва­е­те все экра­ны. Потом глядь — у вас на ком­пью­те­ре объ­яви­лась какая-то новая систе­ма без­опас­но­сти, вме­сто стан­дарт­но­го бра­у­зе­ра теперь «Опе­ра», а в пане­ли про­грамм появи­лись какие-то новые ребя­та. Отку­да это?

Если посмот­реть вни­ма­тель­но, ока­жет­ся, что при уста­нов­ке торрент-клиента вы неза­мет­но для себя не сня­ли галоч­ки с попут­ной уста­нов­ки все­го осталь­но­го. И теперь у вас в памя­ти целый зоо­парк из ненуж­но­го соф­та — bloatware.

Если у вас высо­кий уро­вень ком­пью­тер­ной гра­мот­но­сти, ско­рее все­го, вы смо­же­те уда­лить все вне­зап­но нале­тев­шие про­грам­мы. А если под ата­ку попа­ли ваши роди­те­ли или дети, они могут не сори­ен­ти­ро­вать­ся.

Сам по себе бло­ат­вар не все­гда опа­сен: это могут быть обыч­ные про­грам­мы раз­ной сте­пе­ни полез­но­сти.


Во вре­мя уста­нов­ки uTorrent Web этот экран лег­ко при­нять за реклам­ную кар­тин­ку, но там уже сто­ит галоч­ка «Уста­но­вить бра­у­зер Opera».

Бонус

Напо­сле­док посмот­ри­те, как рабо­та­ет анти­ви­рус в раз­ных ситу­а­ци­ях:

  • при рас­па­ков­ке про­грам­мы с виру­сом;
  • при запус­ке виру­са;
  • что будет, если запу­стить вирус, а потом вклю­чить анти­ви­рус — обез­вре­дит или нет?