Еще двадцать лет назад компьютерные вирусы и троянские программы заявили о себе как реальная и очень серьезная опасность, способная принести многомиллионные убытки и отдельным коммерческим компаниям, и экономике государств в целом. <...> Чуть позже киберпреступники научились 5 ной степенью достоверности можно назвать историей Предисловие извлекать прибыль, шантажируя непосредственно самих владельцев персональных компьютеров: на свет появились троянцы-блокировщики, нарушавшие нормальную работу операционной системы, энкодеры, шифровавшие данные на дисках и требовавшие выкуп за их расшифровку, и, наконец, банковские троянцы, кравшие деньги непосредственно с электронных счетов ничего не подозревающей жертвы. <...> Посетители многочисленных форумов в Интернете ехидно комментировали выпуск антивирусных программ для Android желанием разработчиков нагреть руки на несуществующей и якобы преувеличенной опасности, а мне все эти дискуссии напомнили — буквально до ощущения дежавю — начало 90-х годов уже прошлого, XX века. <...> И уже тогда раздавались гневные выкрики: зачем на персоналках антивирусное ПО? <...> Под ударом вирусописателей оказались устройства с архитектурой MIPS, ARM, PowerPC, то есть сетевые точки доступа, роутеры, ТВ-приставки, IP-камеры с web-инфтерфейсом. <...> ЗАКОУЛКИ ИСТОРИИ Любое наблюдаемое в современном мире явление имеет свою предысторию, в той или иной степени обусловливающую его возникновение. <...> И если сам момент появления первых вредоносных компьютерных программ установлен с более или менее высокой степенью достоверности, то по поводу идеи, подтолкнувшей вирусописателей к мысли о создании такого рода опасных приложений, до сих пор ведутся ожесточенные споры. <...> Закоулки истории Нехитрое приложение с названием The Rabbit («Кролик») полностью соответствовало своему наименованию: ее предназначение вполне можно описать известной библейской формулой «плодитесь и размножайтесь». <...> Закоулки истории за пределами <...>
Pro_Вирусы._Версия_4.0.pdf
Версия 4.0
Автор идеи и научный редактор серии
С. Л. Деменок
Санкт-Петербург. 2020
Стр.2
УДК 681.3.06(075)
ББК 32.973-01я2
Х72
X72 PRO ВИРУСЫ. Издание четвертое, переработанное и
дополненное / Валентин Хол мо горов. — СПб.: Страта, 2020.
— 224 с., ил.
Холмогоров В.
ISBN 978-5-907314-12-2
Время энтузиастов-одиночек, создававших компьютерные вирусы
на заре информационной эпохи, давно прошло: в наши дни
разработкой и распространением вредоносных программ занимаются
хорошо организованные преступные группировки, имеющие
жесткую иерархию и напоминающие по своей структуре настоящие
мафиозные кланы. Объем этого подпольного рынка составляет
сотни миллионов долларов.
Книга рассказывает об истории возникновения и развития технологий
компьютерных вирусов, их разновидностях, внутренней
архитектуре, способах распространения и принципах действия.
Книга позволит читателям познакомиться с таинственным теневым
миром киберпреступности, представители которого ежедневно
осуществляют атаки на компьютеры простых пользователей
по всему миру.
Все права защищены. Никакая часть настоящей книги не может быть
воспроизведена или передана в какой бы то ни было форме и какими бы то ни
было средствами, будь то электронные или механические, включая фотокопирование
и запись на магнитный носитель, а также размещение в Интернете,
если на то нет письменного разрешения владельцев.
All rights reserved. No parts of this publication can be reproduced, sold or
transmitted by any means without permission of the publisher.
УДК 681.3.06(075)
ББК 32.973-01я2
ISBN 978-5-907314-12-2
© Холмогоров В., 2020, текст
© ООО «Страта», 2020
Стр.3
содержаНие
ПРеДИСЛОВИе. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
10
13
18
22
ГЛАВА 2. СРАВНИТеЛьНАя ВИРУСОЛОГИя . . . . . . . . . . . . . . . . . 27
Классификация по типу операционной системы
Классификация по вредоносным функциям
Вирусы
Черви
Троянские программы (трояны или троянцы)
Бэкдоры
Буткиты
Руткиты
Биоскиты
Боты
Шпионы (Spyware)
Нежелательные и нерекомендуемые приложения
Классификация
по степени опасности
Троянцы-шифровальщики (энкодеры)
Банковские троянцы
Веб-инжекты
Троянцы-загрузчики
Майнеры
Клиперы
Стилеры
Троянцы для любителей игр
Фишинг
Рекламные троянцы
Узкоспециализированные вредоносные программы
Мобильные банковские троянцы
Первенцы
Как работают мобильные банкеры
Банкботы
Криминальная индустрия
Вредоносные программы для iOS
ГЛАВА 1. ЗАКОУЛКИ ИСТОРИИ . . . . . . . . . . . . . . . . . . . . . . . . . .9
Первые ласточки
Эпоха вирусов
Новое время
Наши дни
28
33
33
35
37
38
39
41
42
42
44
45
46
ГЛАВА 3. ВНИМАНИе, ОПАСНОСТь! . . . . . . . . . . . . . . . . . . . . . . 49
Троянцы-блокировщики (винлокеры)
51
53
60
65
70
71
72
73
73
78
80
81
ГЛАВА 4. МОБИЛьНые ВРеДОНОСНые ПРОГРАММы . . . . . . . . . 83
Уязвимости в Android
84
84
85
87
91
92
94
Стр.221
Немного теории
Шпионские игры
Технология MDM
Технология DRM
94
96
98
100
ГЛАВА 5. ВРеДОНОСНые ПРОГРАММы
ДЛя «ИНТеРНеТА ВещеЙ» . . . . . . . . . . . . . . . . . . . 103
Матчасть
Mirai
«Наследники» и модификации
Hajime
Взлом устройства
Исследование устройства
Инфектор
Основной модуль трояна
Ботнет
Цели и выводы
Архитектура ботнетов
Простые ботнеты
Ботнеты, использующие DGS
P2P-ботнеты
Ботнеты смешанного типа
Ботнеты с использованием TOR и «облаков»
Нетрадиционные схемы
Командная система ботнетов
Методика перехвата управления ботнетами (sinkhole)
105
108
111
114
114
116
116
117
118
119
ГЛАВА 6. БОТНеТы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
История вопроса
121
123
123
124
126
128
131
132
135
137
ГЛАВА 7. ТеХНОЛОГИИ ПРОНИКНОВеНИя . . . . . . . . . . . . . . . . 140
Cменные носители информации
Вредоносные почтовые рассылки
Уязвимости
Эксплойты
Загрузчики
Социальная инженерия
Поддельные сайты
Бесплатные и взломанные приложения
Системы TDS
Ресурсы «для взрослых»
Взломанные сайты
Атаки типа MITM
141
142
144
153
158
159
164
164
165
166
167
168
Стр.222
ГЛАВА 8. ТеХНОЛОГИИ ЗАРАжеНИя . . . . . . . . . . . . . . . . . . . . 170
Дроппер
Инфектор
Инжектор
Лоадер
Процесс заражения
Инфицирование файловых объектов
Методы обеспечения
автоматического запуска
Инжекты
Перехват вызовов функций
На чем зарабатывает
компьютерный андеграунд?
Так кто все-таки
распространяет вирусы?
Как вычислить вирусописателя?
Как антивирусные компании
пополняют базы?
Компоненты антивирусной
программы
Сигнатурное детектирование
Поведенческий анализ
Эвристический анализ
Проактивная защита (HIPS)
Методики противодействия
антивирусам
Переупаковка
Обфускация
Антиотладка
Заключение
171
171
172
172
172
174
176
177
179
ГЛАВА 9. КТО ПИШеТ И РАСПРОСТРАНяеТ ВИРУСы? . . . . . . . . 183
Хакеры и киберпреступники
184
186
191
193
ГЛАВА 10. МеТОДы БОРьБы . . . . . . . . . . . . . . . . . . . . . . . . . 199
Немного истории
200
202
203
205
206
207
208
209
209
210
211
212
ГЛОССАРИЙ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Стр.223