CC BY
31Научная статья УДК: 004 ББК: 30.1
https://doi.org/10.24412/2687-0185-2022-2-63-66 NIION: 2007-0083-2/22-111 MOSURED: 77/27-005-2022-02-310
Анализ современного вредоносного программного обеспечения: принцип действия, особенности реализации
Дмитрий Александрович Филюшин1, Артур Олегович Путилов2 1 2 Московский университет МВД России имени В.Я. Кикотя, Москва, Россия
1 fdamail2013@yandex.ru
2 artur-putilov@mail.ru
Аннотация. Рассмотрено наиболее распространенное вредоносное программное обеспечение. Авторским коллективом подчеркивается, что с течением времени усложняется структура компьютерного вируса, наблюдается их способность обходить имеющиеся системы защиты.
Ключевые слова: компьютерный вирус, сеть Интернет, вредоносная программа, информационная безопасность Для цитирования: Филюшин Д. А., Путилов А. О. Анализ современного вредоносного программного обеспечения: принцип действия, особенности реализации // Криминологический журнал. 2022. № 2. С. 63-66. https://doi. org/10.24412/2687-0185-2022-2-63-66.
Analysis of modern malicious software: the principle of operation, implementation features
Dmitry A. Filyushin1, Artur O. Putilov2
1 2 Moscow University of the Ministry of Internal Affairs of Russia named after VYa. Kikot', Moscow, Russia
1 fdamail2013@yandex.ru
2 artur-putilov@mail.ru
Abstract. The article discusses the most common malicious software. The team of authors emphasizes that over time, the structure of a computer virus becomes more complicated, and their ability to bypass existing protection systems is observed. Keywords: computer virus, Internet, malware, information security
For citation: Filyushin D. A., Putilov A. O. Analysis of modern malicious software: the principle of operation, implementation features // Criminological journal. 2022. (2):63-66. (In Russ.). https://doi.org/10.24412/2687-0185-2022-2-63-66.
Что представляет из себя компьютерный вирус? Мысль о так называемых самовоспроизводящихся компьютерных вирусах впервые обсуждалась в серии лекций известного математика Джона фон Неймана в конце 1940-х годов. В 1966 году увидела свет «Теория самовоспроизводящихся автоматов» — по сути, это необычный мысленный эксперимент, рассматривающий вероятность наличия «механического» организма, как например, компьютерного кода, что мог бы повреждать машины, делать свои копии и заражать новые машины подобно тому, как это осуществляет биологический вирус.
Согласно информации с сайта Discovery, программа Creeper, о которой зачастую говорят как о первом вирусе, была создана в 70-х годах XX века обычным работником компании BBN Бобом Томасом. Фактически, Creeper был создан в качестве тестовой программы, для того чтобы проверить, вероятна ли вообще самовоспроизводящая© Филюшин Д.А., Путилов А.О, 2022
ся программа, способная создавать свои копии. Оказалось, что в некотором смысле возможна. Заразив новый жесткий диск, Creeper удалял себя с предыдущего компьютера. Creeper не совершал никаких вредоносных деяний — он лишь выводил на экран простое сообщение: «I am Creeper. Catch me if you can! « (Я Creeper. Излови меня если сможешь!)
Согласно данным веб-сайта InfoCarnivore, вирус Rabbit был создан в 1974 г. с вредоносной целью и мог самовоспроизводиться. Попав на компьютер, он создавал огромное число копий себя, существенно портил работоспособность системы и в итоге приводил к отказу компьютера. Имя «Кролик» было дано вирусу благодаря тому, что он очень скоро создавал собственные копии.
Согласно сайту Fourmilab, первый троян под наименованием Animal был разработан компьютерным программистом Джоном Уолкером в 1975 г. В то время были
_ЕСТЕСТВЕННЫЕ НАУКИ_
КОМПЬЮТЕРНЫЕ НАУКИ И ИНФОРМАТИКА
jSglL
mBW
невероятно популярны компьютерные игры, в которых пользователь загадывал какое-либо животное (отсюда и название игры), а программа должна была его угадать за 20 вопросов. Уолкер создал одну из подобных игр, и она стала популярной. Для того чтобы поделиться ею со своими коллегами и знакомыми, Уолкер записывал и передавал ее на магнитной ленте. Чтобы упростить данный процесс, Уолкер создал программу Prevade, что ставилась на компьютер вместе с игрой Animal. Пока пользователь играл, скрытое ПО реализовывало свой код и проверяло все доступные пользователю директории на компьютере, а далее копировал файл Animal во все директории, где этой программы изначально не было. Вредоносной цели тут не было, но Animal и Prevade попадают под определение трояна: по сути, внутри программы Animal имелась вторая программа, что скрытно выполняла действия без согласия пользователя.
Brain (в переводе с английского Мозг), первый вирус для IBM-совместимых компьютеров, появился в 1986 году — он заражал пятидюймовые дискеты. Как сообщает веб-сайт Securelist, вирус был написан двумя братьями — Баситом и Амджадом Фарук Алви, что имели магазин с программным обеспечением в Пакистане. Братьям уже осточертело, что покупатели незаконно копировали купленное у них ПО, поэтому они создали этот вирус, что заражал загрузочные разделы дискет. Brain одновременно оказался и первоначальным вирусом-невидимкой: при обнаружении попытки чтения зараженного раздела диска вирус скрытно заменял его незара-женный оригинал. вдобавок он вносил на дискету фразу «(c) Brain», но при данном не портил никаких данных.
В начале XXI века возник надежный высокоскоростной интернет-доступ, и это поменяло способы распространения вредоносного ПО. Теперь они не были ограничены дискетами и корпоративными сетями и могли молниеносно передаваться через электронную почту, известные веб-сайты и даже прямо через интернет. Начало создаваться вредоносное ПО в современном виде. Основными угрозами для компьютеров того времени оказались вирусы, черви и трояны, и эти угрозы становились все опаснее и с более широким охватом. Появился собирательный термин «вредоносное ПО». Одна из самых первых и таких крупных эпидемий новой эры была обусловлена червем ILoveYou, что возник 4 мая 2000 г.
Как указывает веб-сайт Securelist, ILoveYou следовал модели уже существовавших вирусов, распространявшихся по почте. При этом, в отличие от прошлых вирусов, свободно распространенных с 1994 года, ILoveYou распространялся не в виде зараженного документа Microsoft Word, а в виде VBS-файла (таким расширением обладают скрипты, созданные в Visual Basic). Средство оказалось элементарным и эффективным — пользователи еще не привыкли опасаться подозрительных электронных писем. В качестве темы этого письма была необычная строчка «I Love You», а в приложении к каждому письму был документ «Love-letter-for-you-txt. По задумке создателя этого необычного вредоносного ПО Онеля де Гузмана, червь удалял все имеющиеся файлы
и поверх них записывал свои копии, благодаря которым этот червь рассылался по адресам из перечня контактов зараженного пользователя. Потому письма, как правило, приходили со знакомых адресов, соответственно получатели естественно открывали их — и заражали червем свой компьютер. Таким образом, ILoveYou в действительности доказал результативность способов социальной инженерии.
Червь Code Red был так называемым пустым червем — он существовал только в памяти компьютера и не пытался заразить файлы в системе. С помощью уязвимости в системе безопасности Microsoft Internet Information Server, червь моментально распространился по всему миру и вызвал беспорядок и неразбериху, проникая в протоколы обмена информацией среди компьютеров.
Как пишет сайт Scientific American, зараженные компьютеры в последствии были использованы для выполнения DDoS-атаки на веб-сайт Белого дома, что привело к парализации деятельности государственного сайта на несколько дней.
Царь электронного спама Festi, запущенный в 2009 году, каждодневно распространял около 2,5 миллиардов электронных писем с 250 тыс. IP, то есть производил 25 % всемирного спама. Чтобы осложнить распознавание, создатели оснастили свою вредоносную программу шифрованием, так что сигнатурный поиск антивирусами становился тщетным и выручить могло исключительно тщательное сканирование. Распространялся этот вирус посредством установки платного кода (PPI), когда программист получает деньги за то, что кто-то скачал файл с его сайта.
Вирус Stuxnet, в отличие от большинства похожих вирусов, доставлял вред не виртуальной, а настоящей инфраструктуре, проникая в цифровые системы управления и инициируя настоящие диверсии на промышленных и других главных объектах: например, электростанциях и аэропортах. Считается, что Stuxnet был создан американцами и израильтянами для нанесения убытков ядерной программе Ирана, но он смог навредить и другим объектам. Распространялся этот червь через USB-накопители и работал в компьютерах под управлением различных версий Windows.
Полноценным ужасом для работников в сфере банковского дела стал вирус Carbanak, который в 2014 году нанес вред многим банкам мира в том числе и российским на общую сумму 1 миллиард долларов. Carbanak воздействовал медленно, но уверенно: первоначально собирал сведения рядовых работников банков, к которым попадал посредством вложения в электронные письма, а затем внедряясь в верхний уровень управления, выводил немалые суммы. От проникновения в защищенную систему банка до эффективного вывода денежных средств могло пройти всего несколько месяцев.
Угроза Heartbleed появилась в 2014 г. и сразу поставила под угрозу множество интернет-серверов. В отличие от вирусов и червей, Heartbleed — это уязвимость в OpenSSL — Полноценной криптографической библиотеке с открытым исходным кодом, свободно использую-
щейся по всему миру. OpenSSL периодически рассылает объединенным устройствам особые сигналы, подтверждающие актуальность соединения. Пользователи могли отослать некоторый объем данных и в ответ запросить такое же число данных — например, отослать один байт и получить в ответ еще один байт. наибольшее число данных, отправляемых за один раз — 64 килобайта. Как объясняет эксперт по безопасности Брюс Шнайер, пользователь мог объявить, что отсылает 64 килобайта, а по факту отправить только один байт — в этом случае сервер в ответ пришлет 64 килобайта данных, что хранились в его оперативной памяти, в которых могло оказаться все что угодно — от имен пользователей до конфиденциальной и секретной информации.
Больше 500 тыс. пользователей компьютеров уже были подвергнуты влиянию блокировщика WannaCry, возникнувшего в мае 2017 года. Данный вымогатель был весьма распространен в России, на Украине и в Индии, шифровал содержимое компьютера и выдавал информацию на экран с требованием денежных средств за разблокировку. Проникновение в систему происходило через открытые TCP-порты компьютеров. Сам червь не выбирал жертв по каким-либо признакам, отчего парализовал работу как обыкновенных пользователей, так и различных учреждений. Так, WannaCry стал причиной задержки чрезвычайно важных операций в нескольких больницах в Великобритании, а в России на время вирус парализовал онлайн деятельность сотового оператора Мегафон и Министерства Внутренних Дел России. Впрочем сам по себе червь не имеет конкретной цели, WannaCry может преднамеренно применяться хакерами: например, в том же 2017 году при помощи данного червя были предприняты хакерские атаки на сетевую инфраструктуру Сбербанка, но они были достаточно быстро и успешно отражены службой безопасности банка.
Интересно, что этот блокировщик имел уже «некоторую базу»: WannaCry представляет собой модифицированную версию Eternal Blue — вируса, написанного для нужд американского Агентства нацбезопасности (АНБ).
В 2020 году одними из самых известных угроз, с которыми часто сталкивались пользователи, стали тро-яны-дропперы, распространяющие и устанавливающие другое вредоносное ПО, бесчисленные рекламные приложения, мешающие обычной работе устройств, а также всевозможные изменения троянов-загрузчиков, запускающих в инфицированной системе исполняемые файлы с набором вредоносных функций. Кроме того, на протяжении всего года хакерские объединения быстро распространяли троянские программы, использующие функциональность популярных утилит для удаленного администрирования.
Несмотря на то, что большая часть обнаруженных угроз представляла угрозу для пользователей ОС Windows, владельцы компьютеров под управлением macOS также были в зоне риска. В течение года были выявлены трояны-шифровальщики и шпионские программы, действующие под управлением macOS, а также рут-киты, что таили действующие процессы. Вдобавок под
видом разнообразных приложений активно распространялись рекламные установщики, что давали на компьютеры разнообразную потенциально опасную нагрузку. В большинстве случаев под угрозой находились те пользователи, что выключили интегрированные системы безопасности и загружали приложения из непроверенных источников.
Пользователям мобильных устройств на основе ОС Android угрожали рекламные, шпионские и банковские троянские программы, а также различные загрузчики, что закачивали другие вредоносные приложения и реа-лизовывали свой код. внушительная часть вредоносного Программного обеспечения распространялась посредством мобильного магазина Google Play.
Вот уже более чем полвека лет компьютерные вирусы находятся в сфере общественного сознания. Имевшие место прежде эпизоды кибервандализма скоро обернулись в значительные глобальные киберпреступления. Быстро развиваются черви, трояны и вирусы. Хакеры креативны, хитры и умны, они всегда стремятся испытывать на прочность системы и код, расширять границы доступных им методов взлома и изобретать все новые и новые методы заражения. В будущем киберпреступни-ки, вероятно, будут чаще взламывать PoS-терминалы оплаты, использующихся в различных сферах оказания услуг — в пример можно привести современный троян удаленного доступа Moker. Данный вирус трудно обнаружить и невозможно удалить, он обходит все известные механизмы защиты. Впрочем, всевозможные прогнозы будущего развития событий затруднительны в связи с непрерывными переменами в самой природе борьбы между киберпреступниками и системами защиты.
Библиографический список
1. Заражение вирусами и вредоносным программным обеспечением. Захарченко А. Д., Шилов А. К. Теория и практика современной науки. 2017. № 3 (21). С. 960—962.
2. Обзор вредоносного программного обеспечения серверов. Ковалев А. В., Вахрушев И. А., Буч-нев Я. А. В сборнике: Научный взгляд. Труды международной научно-практической конференции. 2015. С. 234—238.
3. Вредоносное программное обеспечение как угроза информационной безопасности предприятию Дьяков Н. В. Modern Science. 2020. № 4-1. С. 344—346.
4. Вредоносное программное обеспечение. Фатхи В. А., Отакулов А. С. Modern Science. 2020. № 10-2. С. 542—545.
Bibliographic list
1. Infection with viruses and malicious software. Zakharchenko A. D., Shilov A. K. Theory and practice of modern science. 2017. No. 3 (21). pp. 960-962.
2. Overview of malicious server software. Kova-lev A. V., Vakhrushev I. A., Buchnev Ya. A. In the
ЕСТЕСТВЕННЫЕ НАУКИ
КОМПЬЮТЕРНЫЕ НАУКИ И ИНФОРМАТИКА
collection: A Scientific view. Proceedings of the International scientific and practical conference. 2015. pp. 234-238. 3. Malicious software as a threat to the information
security of the enterprise Dyakov N. V. Modern Science. 2020. № 4-1. pp. 344-346. 4. Malicious software. Fathi V.A., Otakulov A.S. Modern Science. 2020. No. 10-2. pp. 542-545.
Информация об авторах
Филюшин Д. А. — курсант факультета подготовки специалистов в области информационной безопасности Московского университета МВД России имени В.Я. Кикотя;
Путилов А. О. — врио заместителя начальника кафедры естественнонаучных дисциплин учебно-научного комплекса информационных технологий Московского университета МВД России имени В.Я. Кикотя.
Information about the authors
Filyushin D. A. — Cadet of the Faculty of Training Specialists in the field of information security at the Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot'.
Putilov A. O. — Acting Deputy Head of the Department of Natural Sciences of the Educational and Scientific complex of Information Technologies of the Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot'.
Вклад авторов: Все авторы сделали эквивалентный вклад в подготовку публикации. Авторы заявляют об отсутствии конфликта интересов.
Contribution of the authors: the authors contributed equally to this article. The authors declare no conflicts of interests.
Статья поступила в редакцию 14.04.2022; одобрена после рецензирования 26.04.2022; принята к публикации 24.05.2022.
The article was submitted 14.04.2022; approved after reviewing 26.04.2022; accepted for publication 24.05.2022.
Правовая статистика. 5-е изд., перераб. и доп. Учебник. Гриф МО РФ. Гриф МУМЦ "Профессиональный учебник". Гриф НИИ образования и науки.
Освещены основные разделы правовой статистики, в том числе методы прогнозирования, математического моделирования и изучения взаимосвязей. Описаны основные статистические методы в пакетах прикладных программ и их применение в аналитической деятельности. Рассмотрены перспективы использования статистического анализа и прогнозирования в практической работе правоохранительных органов.
Для студентов и преподавателей юридических вузов.
Правовая статистика
Классический учебник Пятое издание
