В современном мире существует несколько тысяч программ-вирусов, и их количество ежегодно возрастает. По некоторым данным, в мире ежедневно создается от трех до восьми новых вирусных программ.
Вопрос о том, как определить, является ли программа вредоносной, очень сложный, особенно для неспециалиста. Вредоносных для ЭВМ программ существует очень много.
Так, к вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.
«Сетевые черви»
К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:
· проникновения на удаленные компьютеры;
· запуска своей копии на удаленном компьютере;
· дальнейшего распространения на другие компьютеры в сети.
Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.
Большинство известных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо веб- или FTP-ресурсе в ICQ– и IRC-сообщениях, файл в каталоге обмена P2P и т. д.
Некоторые черви (так называемые «бесфайловые» или «пакетные» черви) распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.
Для проникновения на удаленные компьютеры и запуска своей копии черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.
Некоторые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, некоторые черви содержат троянские функции или способны заражать выполняемые файлы на локальном диске, то есть имеют свойство троянской программы и/или компьютерного вируса.
«Классические компьютерные вирусы»
К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:
· последующего запуска своего кода при каких-либо действиях пользователя;
· дальнейшего внедрения в другие ресурсы компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удаленные компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
· при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
· вирус скопировал себя на съемный носитель или заразил файлы на нем;
· пользователь отослал электронное письмо с зараженным вложением.
Некоторые вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например бэкдор-процедуру или троянскую компоненту уничтожения информации на диске.
«Троянские программы»
В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.
Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).
«Хакерские утилиты и прочие вредоносные программы»
К данной категории относятся:
· утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
· программные библиотеки, разработанные для создания вредоносного программного обеспечения;
· хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
· «злые шутки», затрудняющие работу с компьютером;
· программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
· прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам[74].
Цели использования компьютерных вредоносных программ
«Мелкое воровство»
С появлением и популяризацией платных Интернет-сервисов (почта, WWW, хостинг) компьютерный андеграунд начинает проявлять повышенный интерес к получению доступа в сеть за чужой счет, то есть посредством кражи чьего-либо логина и пароля (или нескольких логинов/паролей с различных пораженных компьютеров) путем применения специально разработанных троянских программ.
В начале 1997 года зафиксированы первые случаи создания и распространения троянских программ, ворующих пароли доступа к системе AOL.
В 1998 году, с распространением Интернет-услуг в Европе и России, аналогичные троянские программы появляются и для других Интернет-сервисов. До сих пор троянцы, ворующие пароли к dial-up, пароли к AOL, коды доступа к другим сервисам, составляют заметную часть ежедневных «поступлений» в лаборатории антивирусных компаний всего мира.
Троянские программы данного типа, как и вирусы, обычно создаются молодыми людьми, у которых нет средств для оплаты Интернет-услуг. Характерен тот факт, что по мере удешевления Интернет-сервисов уменьшается и удельное количество таких троянских программ.
«Мелкими воришками» также создаются троянские программы других типов: ворующие регистрационные данные и ключевые файлы различных программных продуктов (часто – сетевых игр), использующие ресурсы зараженных компьютеров в интересах своего «хозяина» и т. п.
Наиболее опасную категорию вирусописателей составляют хакеры-одиночки или группы хакеров, которые осознанно или неосознанно создают вредоносные программы с единственной целью: получить чужие деньги (рекламируя что-либо или просто воруя их), ресурсы зараженного компьютера (опять-таки, ради денег – для обслуживания спам-бизнеса или организации DoS-атак с целью дальнейшего шантажа).
Обслуживание рекламного и спам-бизнеса – один из основных видов деятельности таких хакеров. Для рассылки спама ими создаются специализированные троянские proxy-сервера, которые затем внедряются в десятки тысяч компьютеров. Затем такая сеть «зомби-машин» поступает на черный Интернет-рынок, где приобретается спамерами. Для внедрения в операционную систему и дальнейшего обновления принудительной рекламы создаются утилиты, использующие откровенно хакерские методы: незаметную инсталляцию в систему, разнообразные маскировки (чтобы затруднить удаление рекламного софта), противодействие антивирусным программам.
Вторым видом деятельности подобных вирусописателей является создание, распространение и обслуживание троянских программ-шпионов, направленных на воровство денежных средств с персональных (а если повезет – то и с корпоративных) «электронных кошельков» или с обслуживаемых через Интернет банковских счетов.
Троянские программы данного типа собирают информацию о кодах доступа к счетам и пересылают ее своему «хозяину».
Третьим видом криминальной деятельности этой группы является Интернет-рэкет, то есть организация массированной DoS-атаки на один или несколько Интернет-ресурсов с последующим требованием денежного вознаграждения за прекращение атаки. Обычно под удар попадают Интернет-магазины, букмекерские конторы – то есть компании, бизнес которых напрямую зависит от работоспособности веб-сайта компании.
Вирусы, созданные этой категорией «писателей», становятся причиной многочисленных вирусных эпидемий, инициированных для массового распространения и установки описанных выше троянских компонент.
Системы навязывания электронной рекламы, различные «звонилки» на платные телефонные номера, утилиты, периодически предлагающие пользователю посетить те или иные платные веб-ресурсы, прочие типы нежелательного программного обеспечения – они также требуют технической поддержки со стороны программистов-хакеров. Данная поддержка требуется для реализации механизмов скрытного внедрения в систему, периодического обновления своих компонент и противодействия антивирусным программам.
Очевидно, что для решения данных задач в большинстве случаев также используется труд хакеров, поскольку перечисленные задачи практически совпадают с функционалом троянских программ различных типов.
Объемы и характеристики вредоносных программ разнообразны. Объединяющим является их разрушительное воздействие на информационные ресурсы, а в некоторых случаях и на саму ЭВМ.
Выполнение объективной стороны данного преступления возможно только путем совершения активных действий. Создание, использование и распространение вредоносных программ для ЭВМ будет выполнено с момента создания такой программы, внесения изменений в существующие программы, использования либо распространения подобной программы. Наступление определенных последствий не предусмотрено объективной стороной состава. Однако такие программы должны содержать в себе потенциальную угрозу уничтожения, блокирования, модификации либо копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети (см. соответствующие положения к ст. 272 УК). Для признания деяния оконченным достаточно совершения одного из действий, предусмотренных диспозицией статьи, даже если программа реально не причинила вреда информационным ресурсам либо аппаратным средствам. К таким действиям относятся: