Поделиться
Вирусные аналитики: Все о Trojan.Encoder и Trojan.Winlock
Уровень распространения вредоносных программ в России по-прежнему остается высоким. Среди них не последнее место занимают "троянские кони", препятствующие нормальной работе компьютера и вымогающие у пользователя деньги. Об одном из таких "продуктов" – Trojan.encoder, а также о перспективах появления новых угроз ИБ для компьютеров и мобильных устройств рассказывают представители компании "Доктор Веб" – руководитель отдела антивирусных разработок и исследований Сергей Комаров и вирусный аналитик Владимир Мартьянов.CNews: Считаете ли вы, что автор - бывший специалист по ИБ и криптографии и за ним стоят другие люди, в том числе, конкуренты "Доктор Веб" на АВ-рынке?
Сергей Комаров: Чтобы делать подобные вирусы, достаточно владеть азами программирования. Не нужно быть ни криптографом, ни супер-программистом. Мы не знаем, кто может стоять за этим человеком. Конкуренты, конечно же, нет. А вот какая-то нелегальная организация - очень вероятно, так как, судя по масштабам распространения этих вирусов, они зарабатывают большие деньги.
CNews: Сейчас все чаще и чаще говорят о появлении новых угроз, связанных с поддельными антивирусами. Какое видение этих киберугроз у "Доктор Веб"?
Сергей Комаров: Первые лжеантивирусы появились минимум года четыре назад, и это была тенденция западного рынка. На мой взгляд, это обуславливается тем, что заплатить за антивирус в интернете на Западе тогда было просто. Поэтому основной аудиторией были платежеспособные пользователи. Сейчас уже года два российский сегмент интернета точно так же становится платежеспособным. Довольно просто заплатить за программное обеспечение, особенно если указывается номер SMS или кошелек "Яндекс.Деньги", так как у каждого есть виртуальные деньги или средства на счете мобильного телефона. В итоге российский пользователь стал адресатом этих поддельных антивирусов. Помимо Winlock’ов, которые в этом году получили наибольшую распространенность (и, видимо, от которых люди страдают больше всего), лжеантивирусы также популярны у злоумышленников. Однако опасность заключается в том, что, устанавливая поддельный антивирус и покупая его, пользователь остается под колпаком мошенника. После оплаты злоумышленники не забывают про него: этот "антивирус" продолжает жить на компьютере, и через какое-то время обязательно принесет с собой новые вирусы, за что, конечно, снова придется заплатить.
CNews: В настоящее время в связи со случаями распространения SMS-троянов определенного рода актуальность приобрели мобильные антивирусы для коммуникаторов на базе Windows Mobile. Насколько реально появление угроз под Windows Mobile, аналогичных Trojan.Encoder?
Владимир Мартьянов: SMS-трояны, скорее всего, рано или поздно уйдут на второй план, просто потому что они достаточно ущербны с технологической точки зрения. Основной поток SMS-троянов – это Java-троянцы, которые работают на всех платформах, но специфика этих "троянских коней" в том, что пользователь сам должен их установить в свое мобильное устройство и разрешить им рассылать SMS. Сейчас они подделываются под игры, в которых, например, чтобы выиграть, нужно нажимать как можно чаще одну и ту же клавишу. Она же оказывается клавишей разрешения, и пользователь не видит, что он только что отправил SMS. Для Symbian OS совершенно точно есть похожие вирусы, например, написанные с использованием Python, и они очень часто поставляются в комплекте с нелегальным ПО. Для Windows Mobile злоумышленники больше пытаются делать концепты вирусов, потому что все-таки Windows считается самой уязвимой ОС, а Symbian, при условии, что пользователь не "балуется" с сертификатами, менее подвержена взлому. На iPhone OS, в которой архитекторы системы сделали так, что все приложения работают под учетной записью суперпользователя, вредоносное ПО не будет встречать особых препятствий, главное – попасть на сам смартфон.
CNews: Какими вы видите перспективы создания вирусов для мобильных платформ в ближайшее время? Можно предположить, что в будущем, поскольку все телефоны рано или поздно полностью будут подключены к интернету, они будут использоваться для организации ботнетов?
Сергей Комаров: Пока у нас будет многообразие платформ мобильных компьютеров, наверное, мы не будем сталкиваться с какими-то массовыми эпидемиями. Опять же, если кто-то начнет доминировать, то там и появятся вирусы. Сейчас будут просто пытаться воровать деньги - с телефонных аккаунтов или еще откуда-то, чем дальше – тем больше будет попыток похитить данные с карманных компьютеров. Я хочу привести в пример Японию, где это будущее уже наступило. В этой стране огромное количество телефонов, они постоянно подключены к интернету, но при этом реальных мобильных угроз нет, просто потому что платформы, которые там разрабатываются, создаются с учетом тех проблем, которые имели большие компьютеры.
CNews: Какие тренды в области создания вирусов вы наблюдаете на десктопных системах?
Сергей Комаров: Мы видим сразу две тенденции. С одной стороны, вирусы стремятся сделать себя все более неуязвимыми. То есть, это технологические разработки, так называемые руткиты, с которыми трудно бороться и которые трудно лечить. Предназначены они, в первую очередь, для создания ботнетов. С другой стороны, наблюдается тенденция к упрощению, то есть при минимальном ущербе пользователю вирус получает максимальное распространение. Таким образом, вирусописатель получает большую маржу, а затраты на создание и ажиотаж вокруг этой угрозы – практически нулевые. Пользователи даже не реагируют на эти эпидемии как на что-то серьезное, хотя в принципе любая такая блокировка системы – уголовное преступление. Многие готовы или переустановить систему, или заплатить вирусописателю деньги. Тем не менее, сейчас мы видим, что люди приобретают некоторую минимальную грамотность в компьютерной области, и понимают или начинают понимать, что такое антивирус, что такое защита, для чего этим пользоваться. Как правило, человек, у которого установлен антивирус, только во вторую очередь будет переустанавливать систему, а в первую - попытается вылечить компьютер.
CNews: Какие операционные системы, на ваш взгляд, в ближайшее время будут доминировать у вирусописателей?
Сергей Комаров: Все зависит от популярности платформы или ОС. Чем шире распространение, тем больше внимания к ней со стороны вирусописателей. Так, например, на самом деле распространение Linux очень низкое и, если говорить про нашу страну, находится практически на нулевом уровне. Однако вредоносное программное обеспечение под нее уже существует. Mac OS в последние несколько лет с переходом на Intel получила большую распространенность по всему миру, и на нее сразу же обратили внимание вирусописатели. Они отработали те самые схемы социальной инженерии, что существовали для Windows, предлагая, к примеру, под видом кодеков загрузку троянов.
CNews: Могут ли появиться под эти платформы аналоги Trojan.Encoder?
Владимир Мартьянов: На Linux, может быть, их создание будет более простым, поскольку на этой ОС в минимальном виде присутствуют средства шифрования. По своему опыту могу сказать, что, например, архиватор Bzip уже установлен в системе, поэтому создать зашифрованный архив с помощью небольшого скрипта на Perl или на shell не будет проблемой для злоумышленника. Более того, можно быть совершенно четко уверенным, что все пользовательские файлы лежат в домашнем каталоге, при этом пользователя не спасут ограниченные привилегии учетной записи.
Поделиться
Короткая ссылка
