Выгодно, чтобы вирус был невидимым

Помню как в самом начале бесконечной битвы вирусов-антивирусов злобные авторы компьютерных зловредов запускали на компьютеры пользователей самых настоящих разрушителей, которые портили файловую систему, сжигали периферийную технику и вообще вели себя крайне деструктивно. С тех пор, за последние лет пятнадцать, ситуация изменилась с точностью до наоборот. Самый хороший вирус сегодня — это стелс, который невидим и обладает узкой специализацией. Именно такое оружие хорошо монетизируется. Ужастиков в современных компьютерных системах действительно много — неработоспособность даже гражданских компьютеров, которые управляют, к примеру, системой водоснабжения и канализации крупного города, может серьезно осложнить жизнь его обитателям. Что уж говорить про систему управления транспортом, финансами, оружием. Понятное дело, что многие подобные системы защищаются, сервисы резервируются и уж никто не подключает конфиденциальные системы напрямую к сети Интернет. Поэтому самые ценные, для «обычной жизни» вирусы — это те системы, которые могут адаптироваться к окружающей реальности и красть данные.

Информация правит миром — с этим тезисом я соглашусь с оговоркой. Скорее так — миром правят решения, принятые на основе нужной и верной информации. А разведданные — ценные и оперативные — всегда полезны в войне, госуправлении и в бизнесе. Спрос на такую информацию чрезвычайно высок и постоянен. Именно поэтому я нисколько не удивлен широко «распиаренной» информации о том, что антивирусным компаниям удалось выявить зловреда Flame, которая «около 5 лет собирала конфиденциальную информацию с компьютеров по всему Ближнему Востоку». Не знаю на основе чего выделено именно пять лет, но список возможностей «стелса» вполне стандартный — «он похищал данные всевозможными способами, включая скриншоты с мониторов, записи разговоров с помощью подключенных микрофонов, копирование переписки в программах мгновенного обмена сообщениями». По сути — обычный кейлоггер с дополнительными возможностями 🙂

Думаю, что еще не одна такая система «бороздит» просторы Сети, собирая данные о безопасности тех или иных объектов инфраструктуры, коммерческих компьютерных сетях и т.д. А уж сколько подобных программ «укоренилось» в компьютерных чипах, поставляемых на «вражеские» рынки, в персональных ПК «мобильных» пользователей и на серверах электронной почты коммерческих и государственных компаний, я даже представить себе не могу 🙂 Скорее всего — тысячи разнообразных видов. Одни «отлавливаются», другие продолжают жить и работать. Причем, всем им, для успешной деятельности, крайне необходим свободный доступ в Интернет, чтобы отправить на «хозяйский» сервер новую порцию «наворованной» информации. Так что полностью локальный компьютер с тщательно проверенным программным обеспечением: самый надежный вариант обработки информации. И то можно предположить, что в поступающих на него файлах и внешних носителях может быть свой вирус, который сможет «укоренится» на такой технике и передавать информацию о тех данных, которые туда вводятся, с помощью скрытой записи на те же самые внешние носители. А локальный «комп», если и будет, то совсем бесполезен — информация слищком быстро устаревает. Если только использовать компьютер как «печатную машинку» 🙂

Думаю, что самое интересное направление для вирусописателей — это, конечно, вредоносное ПО для мобильных терминалов. Но не для всех — а для смартфонов. Ведь главное как-то попасть на устройство, укоренится в оперативной памяти и поработать с реестром таким образом, чтобы получать управление процессом загрузки ОС. Тогда и антивирус можно отключить или «модифицировать» и данные передавать по беспроводной сети в скрытом режиме. Кстати, попадают на смартфоны такие «зловреды» именно с помощью «беспроводки». И никакие «фирменные магазины приложений» не помогут: в безобидное ПО всегда можно встроить возможность обновления с сайта «производителя», в процессе которого и будет подгружен модуль с вирусом. А антивирусов у многих на смартфонах нееееееет. Ну не хочется платить отдельных денег за это, хоть производители антивирусов и пугают тем, что зловреды не дремлют 🙂 Ценного на смартфоне, помимо стандартного набора данных «звонки-SMS-фотографии» может быть много. И пароли для интернет-банков и возможность дистанционно включить микрофон и данные с GPS и шанс включить на передачу видеокамеру. Да все возможности «смартов» могут быть использованы удаленно. А уж большой объем памяти позволяет писать всю окружающую обстановку несколько часов подряд и отправлять эту информацию «кусочками» на сервер «хозяина» стелс-вируса. И поди обнаружь какой именно вирус сидит в смартфоне, если он себя никак не проявляет, а хозяин устройства истинно верит в то, что его, именно его смартфон никак не может быть подвергнут атаке со стороны компьютерных взломщиков 🙂

Причем, мобильные вирусы очень хорошо монетизируются. Помните, как работают самые качественные вирусы для систем дистанционного банковского обслуживания? Они «просыпаются» во время работы этих самых программ и проводят параллельные платежи по тем реквизитам, которые надо. Для пользователя на экране компьютера же выдается демонстрационная «обманка» — он и подтверждает «левые» платежи своим переменным кодом или USB-токеном, как если бы они уходили по правильным реквизитам. И если он проверять будет куда ушли деньги — увидит те реквизиты, которые вводил он, а не те, которые подставил вирус: уж программа об этом позаботится. А со смартфонами все еще проще — мобильные версии кошельков, «привязанные» к сервисам платежные карты и весьма слабая защита от «левых» транзакций в виде SMS-уведомления, которое можно перехватить и вообще не демонстрировать абоненту на экране его мобильного устройства. Ох и веселое время нас ожидает в самом ближайшем будущем 🙂

Максим Букин    http://i-business.ru/