Вирусы, шпионы и диалеры: кто, зачем и как. Шпионские программы на компьютере. Как обнаружить и удалить шпионскую программу? Вирус-шпион на службе у серых кардиналов

http://www.computermaster.ru/articles/secur2.html

Что нужно знать о компьютерных вирусах

(с) Александр Фролов, Григорий Фролов, 2002

[email protected]; http://www.frolov.pp.ru, http://www.datarecovery.ru

С момента создания персональных компьютеров, доступных специалистам и широким слоям населения, начала свой отсчет история компьютерных вирусов. Оказалось, что персональные компьютеры и программы, распространяющиеся на дискетах, представляют собой ту самую «питательную среду», в которой возникают и беззаботно живут компьютерные вирусы. Мифы и легенды, возникающие вокруг способности компьютерных вирусов приникать везде и повсюду, окутывают эти вредоносные создания туманом непонятного и неизвестного.

К сожалению, даже опытные в своем деле системные администраторы (не говоря уже об обычных пользователях) не всегда точно представляют себе, что же такое компьютерные вирусы, как они проникают в компьютеры и компьютерные сети, и какой могут нанести вред. Вместе с тем, не понимая механизма функционирования и распространения вирусов, невозможно организовать эффективную антивирусную защиту. Даже самая лучшая антивирусная программа окажется бессильной, если она будет использована неправильно.

Краткий курс истории компьютерных вирусов

Что же такое компьютерный вирус?

Наиболее общее определение компьютерного вируса можно дать как самораспространяющийся в информационной среде компьютеров программный код. Он может внедряться в исполняемые и командные файлы программ, распространяться через загрузочные секторы дискет и жестких дисков, документы офисных приложений, через электронную почту, Web-сайты, а также и по другим электронным каналам.

Проникнув в компьютерную систему, вирус может ограничиться безобидными визуальными или звуковыми эффектами, а может вызвать потерю или искажение данных, а также утечку личной и конфиденциальной информации. В худшем случае компьютерная система, пораженная вирусом, может оказаться под полным контролем злоумышленника.

Сегодня люди доверяют компьютерам решение многих критических задач. Поэтому выход из строя компьютерных систем может иметь весьма и весьма тяжелые последствия, вплоть до человеческих жертв (представьте себе вирус в компьютерных системах аэродромных служб). Об этом не следует забывать разработчикам информационных компьютерных систем и системным администраторам.

На сегодняшний день известны десятки тысяч различных вирусов. Несмотря на такое изобилие, существует довольно ограниченное количество типов вирусов, отличающихся друг от друга механизмом распространения и принципом действия. Есть и комбинированные вирусы, которые можно отнести одновременно к нескольким различным типам. Мы расскажем о различных типах вирусов, придерживаясь по возможности хронологического порядка их появления.

Файловые вирусы

Исторически файловые вирусы появились раньше вирусов других типов, и первоначально распространялись в среде операционной системы MS-DOS. Внедряясь в тело файлов программ COM и EXE, вирусы изменяют их таким образом, что при запуске управление передается не зараженной программе, а вирусу. Вирус может записать свой код в конец, начало или середину файла (рис. 1). Вирус может также разделить свой код на блоки, поместив их в разных местах зараженной программы.

Рис. 1. Вирус в файле MOUSE.COM

Получив управление, вирус может заразить другие программы, внедриться в оперативную память компьютера и выполнить другие вредоносные функции. Далее вирус передает управление зараженной программе, и та исполняется обычным образом. В результате пользователь, запускающий программу, и не подозревает, что она «больна».

Заметим, что файловые вирусы могут заражать не только программы COM и EXE, но и программные файлы других типов - оверлеи MS-DOS (OVL, OVI, OVR и другие), драйверы SYS, библиотеки динамической компоновки DLL, а также любые файлы с программным кодом. Разработаны файловые вирусы не только для MS-DOS, но и для других ОС, таких как Microsoft Windows, Linux, IBM OS/2. Однако подавляющее большинство вирусов данного типа обитает именно в среде ОС MS-DOS и Microsoft Windows.

Во времена MS-DOS файловые вирусы жили припеваючи благодаря свободному обмену программами, игровыми и деловыми. В те времена файлы программ имели относительно небольшой размер и распространялись на дискетах. Зараженную программу можно было также случайно загрузить с электронной доски объявлений BBS или из Интернета. А вместе с этими программами распространялись и файловые вирусы.

Современные программы занимают немалый объем и распространяются, как правило, на компакт-дисках. Обмен программами на дискетах уже давно ушел в прошлое. Устанавливая программу с лицензионного компакт-диска, Вы обычно не рискуете заразить свой компьютер вирусом. Другое дело - пиратские компакт-диски. Здесь ни за что ручаться нельзя (хотя нам известны примеры распространения вирусов и на лицензионных компакт-дисках).

В результате сегодня файловые вирусы уступили пальму первенства по популярности вирусам других типов, о которых мы еще расскажем.

Загрузочные вирусы

Загрузочные вирусы получают управление на этапе инициализации компьютера, еще до начала загрузки операционной системы. Чтобы понять, как они работают, нужно вспомнить последовательность инициализации компьютера и загрузки операционной системы.

Сразу после включения питания компьютера начинает работать процедура проверки POST (Power On Self Test), записанная в BIOS. В ходе проверки определяется конфигурация компьютера и проверяется работоспособность основных его подсистем. Затем процедура POST проверяет, вставлена ли дискета в дисковод A:. Если дискета вставлена, то дальнейшая загрузка операционной системы происходит с дискеты. В противном случае загрузка выполняется с жесткого диска.

При загрузке с дискеты процедура POST считывает с нее загрузочную запись (Boot Record, BR) в оперативную память. Эта запись всегда расположена в самом первом секторе дискеты и представляет собой маленькую программу. Кроме программы BR содержит структуру данных, определяющую формат дискеты и некоторые другие характеристики. Затем процедура POST передает управление BR. Получив управление, BR приступает непосредственно к загрузке операционной системы.

При загрузке с жесткого диска процедура POST считывает главную загрузочную запись (Master Boot Record, MBR) и записывает ее в оперативную память компьютера. Эта запись содержит программу первоначальной загрузки и таблицу разделов, в которой описаны все разделы жесткого диска. Она хранится в самом первом секторе жесткого диска.

После чтения MBR управление передается только что прочитанной с диска программе первоначальной загрузки. Она анализирует содержимое таблицы разделов, выбирает активный раздел и считывает загрузочную запись BR активного раздела. Эта запись аналогична записи BR системной дискеты и выполняет те же самые функции.

Теперь о том, как «работает» загрузочный вирус.

При заражении дискеты или жесткого диска компьютера загрузочный вирус заменяет загрузочную запись BR или главную загрузочную запись MBR (рис. 2). Исходные записи BR или MBR при этом запись обычно не пропадают (хотя так бывает не всегда). Вирус копирует их в один из свободных секторов диска.

Рис. 2. Вирус в загрузочной записи

Таким образом, вирус получает управление сразу после завершения процедуры POST. Затем он, как правило, действует по стандартному алгоритму. Вирус копирует себя в конец оперативной памяти, уменьшая при этом ее доступный объем. После этого он перехватывает несколько функций BIOS, так что обращение к ним передает управление вирусу. В конце процедуры заражения вирус загружает в оперативную память компьютера настоящий загрузочный сектор и передает ему управление. Далее компьютер загружается как обычно, но вирус уже находится в памяти и может контролировать работу всех программ и драйверов.

Комбинированные вирусы

Очень часто встречаются комбинированные вирусы, объединяющие свойства файловых и загрузочных вирусов.

В качестве примера можно привести широко распространенный в прошлом файлово-загрузочный вирус OneHalf. Проникая в компьютер с операционной системой MS-DOS, этот вирус заражает главную загрузочную запись. Во время загрузки компьютера вирус постепенно шифрует секторы жесткого диска, начиная с самых последних секторов. Когда резидентный модуль вируса находится в памяти, он контролирует все обращения к зашифрованным секторам и расшифровывает их, так что все программное обеспечение компьютера работает нормально. Если OneHalf просто удалить из оперативной памяти и загрузочного сектора, то станет невозможно правильно прочитать информацию, записанную в зашифрованных секторах диска.

Когда вирус зашифрует половину жесткого диска, он отображает на экране надпись:

Dis is one half. Press any key to continue ...

После этого вирус ожидает, когда пользователь нажмет на какую-либо клавишу и продолжает свою работу

Вирус OneHalf использует различные механизмы для своей маскировки. Он является стелс-вирусом и использует при распространении полиморфные алгоритмы. Обнаружение и удаление вируса OneHalf - достаточно сложная задача, доступная далеко не всем антивирусным программам.

Вирусы-спутники

Как известно, в операционных системах MS-DOS, и Microsoft Windows различных версий существуют три типа файлов, которые пользователь может запустить на выполнение. Это командные или пакетные файлы BAT, а также исполнимые файлы COM и EXE. При этом в одном каталоге могут одновременно находиться несколько выполнимых файлов, имеющих одинаковое имя, но разное расширение имени.

Когда пользователь запускает программу и то вводит ее имя в системном приглашении операционной системы, то он обычно не указывает расширение файла. Какой же файл будет выполнен, если в каталоге имеется несколько программ с одинаковым именем, но разным расширением имени?

Оказывается, в этом случае запустится файл COM. Если в текущем каталоге или в каталогах, указанных в переменной среды PATH, существуют только файлы EXE и BAT, то выполняться будет файл EXE.

Когда вирус-спутник заражает файл EXE или BAT, он создает в этом же каталоге еще один файл с таким же именем, но с расширением имени COM. Вирус записывает себя в этот COM-файл. Таким образом, при запуске программы первым получит управление вирус-спутник, который затем может запустить эту программу, но уже под своим контролем.

Вирусы в пакетных файлах

Существует несколько вирусов, способных заражать пакетные файлы BAT. Для этого ими используется весьма изощренный способ. Мы рассмотрим его на примере вируса BAT.Batman. При заражении пакетного файла в его начало вставляется текст следующего вида:

@ECHO OFF REM [...] copy %0 b.com>nul b.com del b.com rem [...]

В квадратных скобках [...] здесь схематично показано расположение байт, которые являются процессорными инструкциями или данными вируса. Команда @ECHO OFF отключает вывод на экран названий выполняемых команд. Строка, начинающаяся с команды REM, является комментарием и никак не интерпретируется.

Команда copy %0 b.com>nul копирует зараженный командный файл в файл B.COM. Затем этот файл запускается и удаляется с диска командой del b.com.

Самое интересное, что файл B.COM, созданный вирусом, до единого байта совпадает с зараженным командным файлом. Оказывается, что если интерпретировать первые две строки зараженного BAT-файла как программу, она будет состоять из команд центрального процессора, которые фактически ничего не делают. Центральный процессор выполняет эти команды, а затем начинает выполнять настоящий код вируса, записанный после оператора комментария REM. Получив управление, вирус перехватывает прерывания ОС и активизируется.

В процессе распространения вирус следит за записью данных в файлы. Если первая строка, записываемая в файл, содержит команду @echo, тогда вирус считает, что записывается командный файл и заражает его.

Шифрующиеся и полиморфные вирусы

Чтобы затруднить обнаружение, некоторые вирусы шифруют свой код. Каждый раз, когда вирус заражает новую программу, он зашифровывает собственный код, используя новый ключ. В результате два экземпляра такого вируса могут значительно отличаться друг от друга, даже иметь разную длину. Шифрование кода вируса значительно усложняет процесс его исследования. Обычные программы не смогут дизассемблировать такой вирус.

Естественно, вирус способен работать только в том случае, если исполняемый код расшифрован. Когда запускается зараженная программа (или начинается загрузка с зараженной загрузочной записи BR) и вирус получает управление, он должен расшифровать свой код.

Для того чтобы затруднить обнаружение вируса, для шифрования применяются не только разные ключи, но и разные процедуры шифрования. Два экземпляра таких вирусов не имеют ни одной совпадающей последовательности кода. Такие вирусы, которые могут полностью изменять свой код, получили название полиморфных вирусов.

Стелс-вирусы

Стелс-вирусы пытаются скрыть свое присутствие в компьютере. Они имеют резидентный модуль, постоянно находящийся в оперативной памяти компьютера. Этот модуль устанавливается в момент запуска зараженной программы или при загрузке с диска, зараженного загрузочным вирусом.

Резидентный модуль вируса перехватывает обращения к дисковой подсистеме компьютера. Если операционная система или другая программа считывают файл зараженной программы, то вирус подставляет настоящий, незараженный, файл программы. Для этого резидентный модуль вируса может временно удалять вирус из зараженного файла. После окончания работы с файлом он заражается снова.

Загрузочные стелс-вирусы действуют по такой же схеме. Когда какая-либо программа считывает данные из загрузочного сектора, вместо зараженного сектора подставляется настоящий загрузочный сектор.

Маскировка стелс-вирусов срабатывает только в том случае, если в оперативной памяти компьютера находится резидентный модуль вируса. Если компьютер загружается с «чистой», не зараженной системной дискеты, у вируса нет шансов получить управление и поэтому стелс-механизм не работает.

Макрокомандные вирусы

До сих пор мы рассказывали о вирусах, обитающих в исполняемых файлах программ и загрузочных секторах дисков. Широкое распространение пакета офисных программ Microsoft Office вызвало лавинообразное появление вирусов нового типа, распространяющихся не с программами, а с файлами документов.

На первый взгляд это может показаться невозможным - в самом деле, где спрятаться вирусам в текстовых документах Microsoft Word или в ячейках электронных таблиц Microsoft Excel?

Однако на самом деле файлы документов Microsoft Office могут содержать в себе небольшие программы для обработки этих документов, составленные на языке программирования Visual Basic for Applications. Это относится не только к документам Word и Excel, но и к базам данных Access, а также файлам презентаций Power Point. Такие программы создаются с использованием макрокоманд, поэтому вирусы, живущие в офисных документах, называются макрокомандными.

Как распространяются макрокомандные вирусы?

Вместе с файлами документов. Пользователи обмениваются файлами через дискеты, сетевые каталоги файл-серверов корпоративной интрасети, через электронную почту и по другим каналам. Чтобы заразить компьютер макрокомандным вирусом, достаточно просто открыть файл документа в соответствующем офисном приложении - и дело сделано!

Сейчас макрокомандные вирусы очень распространены, чему в немалой степени способствует популярность Microsoft Office. Они могут принести вреда не меньше, а в некоторых случаях даже больше, чем «обычные» вирусы, заражающие выполнимые файлы и загрузочные секторы дисков и дискет. Наибольшая опасность макрокомандных вирусов, на наш взгляд, заключается в том, что они могут изменять зараженные документы, оставаясь незамеченными долгое время.

В настоящее время каждый пользователь совершает путешествие по просторам сети. В интернете на юзера могут «нападать» самые разные угрозы. Пользователям следует знать как можно больше информации о шпионах, чтобы постараться защититься от них.

Такого рода вредителя выделены в отдельный класс угроз. Данное программное обеспечение дает возможность одним юзерам установить слежку за другими. В таком случае можно будет просматривать за действиями пользователей без их ведома.

Иногда шпионы могут быть утилитами, но чаще всего они представлены вирусами. Относятся эти вредители к классу spyware. Отличие одной категории от другой в том, что программы-шпионы начинают активничать только после установки.

Шпионские софты могут быть как узкого спектра действия. То есть они выделены в число экранных и клавиатурных шпионов. Также представлены комплексные приложения. Чаще всего эта категория вредителей используется с целью проведения слежения пользователями и их действиями.

Таким образом, начальники могут отслеживать все производимые манипуляции пользователей. Также может быть осуществлен родительский контроль. В общем, отдельная категория программ является невероятно полезной в повседневной жизни.

Особенности шпионов-вирусов и программ

Разнообразие шпионов-утилит велико. Пользователи могут сталкиваться с самыми разными элементами, которые проводят слежку. Но все же стоит выделить отличительные черты программ и вирусов.

Довольно часто антивирусники блокируют шпионские программы, относя их к числу вредоносных. Однако, эти объекты к вредоносным не имеют никакого отношения. Но при этом блокировка их производится все равно.

В чём именно разница между реальным вредителем spyware и теми сервисами, которые предназначены для проведения секретной слежки за персональным компьютером? Отличие данных объектов в выполнении работы и сфере применения.

Шпионские вирусы самостоятельно загружаются на гаджеты без разрешения пользователей. То есть пользователь может быть даже не в курсе того, что на его аппарате «поселились» вредители. При этом они будут совершать различные кражи данных, копирование файлов и порчу документов. В общем, вредители ведут себя соответственно.

Шпионы-софты в свою очередь должны быть установлены непосредственно пользователем. Данные программы реально являются помощниками. Они нужны для того, чтобы контролировать прочих пользователей.

Разные типы шпионов. Контроль за набором на клавиатуре

Каждый пользователь может столкнуться с такими вредителями. Но в некоторых случаях юзеры могут об этом даже не догадываться. Наиболее опасным видом являются кейлоггеры. Именно эти вредители встречаются намного чаще всех остальных.

Данные объекты могут быть специально встроенными в систему для осуществления слежки или относится к числу самостоятельных видов вредителей. В их принципе действия разницы особой не существует.

Клавиатурные шпионы разработаны с целью осуществления контроля за теми действиями, которые производит пользователь в процессе работы за персональным компьютером. Различные кейлоггеры различаются в основном именно по принципу действий. В некоторых случаях они могут только изредка активничать.
Причем, размещены такого рода элементы зачастую именно на винчестере.

В этом случае пользователь может даже не знать о том, что все его пароли успешно копируются и передаются сторонним юзерам. В дальнейшем обеспечивается доступ к конфиденциальной информации, которая используется мошенниками по своему усмотрению.

Вряд ли шпионы просто «подглядывают». Всегда они копируют информацию с целью дальнейшего ее использования для реализации собственных целей. Злоумышленник может взломать чужой аккаунт, вносить коррективы в настройки, сменить указанный пароль и выполнить прочие манипуляции, чтобы максимально навредить владельцу учетной записи.

Но поскольку устанавливать шпиона могут администраторы устройств, то в таком случае блокироваться данные софты не будут. Это связано с тем, что они вносятся в исключения. Так что они не будут восприниматься в качестве угроз.

Простой и очень актуальный шпион

Пользователи в процессе работы на ПК могли сталкиваться с SC-KeyLog. Данный: кейлоггер является бесплатным. Но определяется он установленными на аппарате защитниками еще в момент выполнения загрузки такого объекта.

Если юзер принял решение установить данное программное обеспечение, то он может сразу же внести его в список безопасных для устройства утилит. В таком случае антивирусник не будет производить блокировку загружаемого объекта.

Далее нужно будет выбрать то место, где файл с сервисом в дальнейшем будет располагаться. Исполняемый файл следящего модуля после этого разместиться на указанном ранее диске. Как только установка ПО будет завершена, то пользователи могут уже переходить к настройке данного сервиса.

Необходимо указать адрес электронки, на которой будут присылаться данные о перехвате информации. Когда все самые важные настройки реализованы, то файлы данного сервиса будут моментально внесены в список доверенных программ антивируса. На этом этапе все подготовительные работы завершены в полном объеме.

SC-KeyLog в ходе работы отображает заголовки всех тех окон, с которыми работает юзер. Также утилита в полной мере контролирует все те действия, которые производятся на клавиатуре. Но есть один недостаток: невозможность автоматического переключения раскладки. Так что все тексты выводятся исключительно английскими буквами.

Шпионы более широкого спектра действия

Также пользователи могут столкнуться с комплексными вредителями. Хотя наиболее распространены именно кейлоггеры, но при этом они хороши исключительно в тех случаях, когда вполне достаточно знать, что именно вводится на клавиатуре и запуск каких утилит производится.

Но в некоторых случаях информации этой совсем не хватает. Поэтому были созданы комплексные софты, которые работают в наиболее сложном режиме. Используются они для ведения всестороннего шпионажа. Эти комплексные объекты могут быть наполнены несколькими актуальными компонентами.

В их числе кейлоггеры, перехватчики буфера обмена, шпионы по отслеживанию выводимых на экран гаджета данных. Также пользователи могут использовать встроенный регистратор запуска и активности программ и многое другое.

Яркие представители бесплатных комплексных шпионов

Чтобы оценить принцип работы такого рода программных продуктов, нужно на практике проверить их работоспособность. Для примера можно рассмотреть софт Softex Expert Home. Это бесплатная русскоязычная система. Утилита эта будет моментально блокировать самые разные нажатия клавиатуры.

Также производится детальный мониторинг запущенных сервисов, а также полный контроль их активности. Проверке подвергаются все активные действия пользователя, работа с собственными учетными записями и многое другое.

Но также как и в отношении прочих утилит такого направления, при загрузке этого софта выполняется блокировка. Установленные антивирусники моментально реагируют на установку такого приложения и принимают его в качестве угрозы. По этой причине блокировка – это первое, что делают защитники.

Поэтому необходимо будет отключить работу антивируса. Как только установка выбранного сервиса будет произведена, то снова активируем работу защитника. Во время установки шпиона потребуется задать сочетание клавиш, при нажатии которых будет произведен вызов интерфейса.

Также следует установить пароль, который будет открывать доступ к данным, собранным в ходе функционирования данного софта. Шпион после установки потребуется перенести в список с положительными сервисами, действия которых не должны быть заблокированы.

Softex Expert Home функционировать может не только в обычном, но и в стационарном режиме. при этом на экране не будут созданы ярлыки и прочие атрибуты программы. При нажатии ранее выбранных клавиш сразу же будет загружаться основное окно ПО.

В появившемся окошке указывается секретный ключ, а после нужно будет перейти в раздел с настройками. Производим корректировку важных параметров. Пользователям этого сервиса для шпионажа за домашним ПК вполне достаточно.

Ещё одной бесплатной комплексной программой является Refog Free Keylogger. Простой интерфейс непременно порадует пользователей. Данное программное обеспечение помогает осуществлять перехват переписки в установленных мессенджерах, следит за социальными сетями.

В общем, утилита «умеет» производить огромное количество самых разных действий при помощи стандартного Проводника. Приложение контролирует всю операционную систему и все производимые в ней изменения. В ходе работы утилита может блокироваться антивирусом, если будут применяться необходимые эвристические алгоритмы.

Главным недостатком бесплатной версии отмечаются некоторые ограничения. Связано это с некоторыми аспектами в проведении слежки. В остальном же сбоев не наблюдается.

Также пользователи могут устанавливать такого рода шпионы и на мобильные девайсы. В сети можно будет найти несколько актуальных помощников такого плана. Ярким представителем является утилита KidLogger. Это весьма актуальный мультиплатформенный софт для слежки.

Коварные анализаторы трафика

Благодаря такого рода приложениям злоумышленники подключаются к сессии в сети. При этом они могут выполнять все манипуляции от лица пользователя.
Мошенники могут пользоваться всеми паролями, осуществлять вход на различные аккаунты и прочие сайты.

По этой причине крайне важно производить шифрование трафика. Больше всего угроза падает на пользователей, принявших решение работать с общественными сетями.

NirSoft SmartSniff – это классический представитель снифферов. Данный сервис помогает провести перехват данных, которые могут красть мошенники. Также утилита направлена на проведение отладки сети.

Но поскольку пользователи все чаще предпочитают проводить работу на стационарных аппаратах, то и для этой категории устройств предусмотрены софты данного типа. Для Android подойдет WireShark Shark for Root.

Благодаря этому сервису мошенникам удается осуществлять кражу данных непосредственно с мобильника. Достаточно подключить смартфон или планшет к публичной точке доступа.

Борьба с вредителями. Меры противодействия

Каждый пользователь непременно должен бороться со шпионами. Если знать принцип их действия, то можно будет подобрать наиболее актуальные способы устранения данного типа вредителей. Конечно же, пользователи самостоятельно могут следить за действиями на аппаратах, но это может осуществлять с добрыми намерениями.

Если же мошенники пытаются проникнут в устройство для заполучения данных, которые являются конфиденциальными, чтобы в дальнейшем использовать их. Противодействовать шпионам сложно, но это вполне реализуемая задача.

Первое, что необходимо выполнить, так это провести обновление баз антивирусных программ. Также нужно будет проверить все объекты, которые находятся в «белом» списке защитника. При этом важно убедиться в том, что подозрительных объектов в нем нет.

Пользователям обязательно работать не с простыми антивирусами. Лучшими в данной категории являются AdwCleaner и AVZ. Данные программные продукты относятся к числу наиболее часто используемых для выполнения блокировки от угроз самых разных типов.

Также может помочь утилита AnVir Task Manager. Особенность функционирования приложения в том, что оно направлено на определение имен и адресов всех запущенных процессов. При этом с точностью определяется степень вреда, который может быть нанесен системе. Утилиты эти надежны в том, чтобы быстро обезвреживать даже снифферы.

Начало 21-го века определенно можно назвать началом настоящей, подлинной информационной эпохи. Несколько лет назад большинство людей приходило в изумление от того, насколько широкие возможности открыли так называемые «компьютеры». Удивительные истории и городские легенды о хакерах, способных украсть миллионы долларов, приличные зарплаты столичных программистов, работающих в крупных корпорациях - все это, конечно, уже не так сильно удивляет рядового обывателя, но ярко иллюстрирует могущество компьютерной техники и тех, кто в этом хорошо разбирается. Сфера информационных технологий разрослась настолько, что стала одним из ключевых элементов базовой логистики для многих предприятий.

Но вместе с новыми полезными возможностями, вместе с новыми удобствами и способами отправки и обработки данных, появились и новые способы их кражи. В информационном пространстве эта проблема будет существовать всегда. Самое известное информационное пространство, доступное практически любому человеку без исключения - это интернет. И те возможности, которые он предлагает, те перспективы, что открываются любому посетителю всемирной паутины, таят в себе множество откровенно опасных и страшных вещей. Интернет, как многие полагают, - это не одна поисковая система, и не миллионы сайтов, которые можно просто взять и найти. Видимая часть этой сети - лишь поверхность океана, и смело можно давать гарантию, что большинству ныне живущих людей не стоит даже пытаться нырнуть поглубже. Это чревато как минимум уголовной ответственностью.

Есть, однако, и более банальные вещи, например - вирусы. Создано их было за последние 20 лет очень и очень много. Без шуток и преувеличений можно сказать, что их количество растет каждую минуту. К слову об уголовной ответственности, за их распространение предусмотрено наказание по закону.

Один из видов компьютерных вирусов - это вирусы-шпионы . Их название соответствует их деятельности: находясь в операционной системе в активном виде, они собирают информацию с компьютера пользователя и отправляют ее злоумышленнику, создавшему вирус.

Многие спросят: «какую информацию?». Ответ достаточно прост. Многие люди пользуются платежными системами, работают с банковской учетной записью у себя на компьютере, совершают какие-либо транзакции, заказывают что-либо в интернет-магазинах.

Все это и интересно тому, кто создает подобное программное обеспечение. Любая информация в интернете имеет свою цену. Похитив адрес электронной почты, злоумышленник может добавить ее в список спам-рассылки. Получив пароль к этой электронной почте, он может читать любые письма, которые туда приходят, включая регистрационные данные и личные данные. Доступ к электронному кошельку означает, что злоумышленник может распоряжаться финансами своей жертвы, и так далее, и тому подобное. Как видно, даже на компьютерах у людей есть что своровать. Поэтому сомневаться в опасности вирусов-шпионов не стоит.

Что можно сделать, чтобы обезопасить себя от spyware:

1. Обзавестись антивирусом. Самый банальный, самый простой и самый надежный способ. Несмотря на свою тривиальность, перед всеми остальными он обладает почти неоспоримыми преимуществами. Перед тем, как запускать новые файлы, антивирус всегда проверяет их, автоматически блокирует в случае обнаружения угрозы и позволяет пользователю проверить компьютер на наличие вирусов в любой момент.
2. Быть более внимательным. Опять же, банальный совет, но довольно действенный. Он прост до невозможности - не скачивать что попало, не устанавливать дешевые программы, обещающие золотые горы или решение всех проблем в мире. Бесплатный сыр бывает только в одном месте, и попадаться туда должны грызуны, а не люди.
3. Повысить свою компьютерную грамотность. Это задача не из легких, особенно для тех, кто с компьютерами не слишком хорошо ладит. Однако стоит помнить, что с каждым годом компьютеризация охватывает все больше и больше сфер нашей жизни. Чем лучше каждый из нас начнет разбираться в том, как электронные вычислительные машины работают, тем безопаснее мы будем себя чувствовать. Этот совет, впрочем, распространяется не только на компьютеры, но и на все остальное. Времена таковы, что «уметь что-то делать» понемногу уходит в прошлое, и на его место становится «уметь научиться что-то делать». Технологии развиваются слишком быстро, чтобы привыкать к ним. Один и тот же способ выполнять какую-либо задачу неизбежно устаревает, причем с бешеной скоростью. Чтобы по-настоящему обезопасить себя, свою информацию, да и шансы на успех в жизни, нужно учиться находить способы, а не учиться самим способам.
4. Очищать компьютер от важной информации. В отличие от предыдущего совета, здесь все просто. Каждый день удалять историю посещений в браузере, не сохранять паролей, не оставаться залогиненым на сайтах банков и платежных систем. Таким образом украсть информацию будет труднее, ведь большую часть времени ее и не будет на самом компьютере.

Простейшие меры предосторожности способны сохранить сбережения, конфиденциальную переписку и важную информацию. Ими просто не следует пренебрегать. Ведь ничего сложного в том, чтобы установить любой бесплатный антивирус себе на компьютер, нет. Даже если сделать просто это, то вероятность «попасть впросак» снижается в несколько раз.

Вирусы-шутки - это несложные программы, которые можно подсунуть другу (или врагу), и тот будет думать, что его компьютер взломан, поражен вирусом или серьезно поврежден. Вирусы-шутки можно писать в обычном Блокноте: нужно лишь записать в файл команды, которые замедляют работу компьютера, выводят из строя работу операционной системы или просто пугают пользователя, а затем заставить его запустить этот файл. Вирусы-шутки могут быть чем угодно, начиная от надоедливой неприятности и заканчивая кошмаром, нарушающим работу системы. «Вирусы» из этой статьи предназначены только для безобидных шуток, самое худшее, что они могут сделать, - это выключить компьютер. Внимание: эти вирусы-шутки предназначены только для компьютеров под управлением Windows, они не будут работать на Mac OS без специальной подготовки. Начнем с шага 1.

Шаги

Пишем поддельный вирус, открывающий «бесконечные» окна

Запустите Блокнот. Пакетные (.BAT) файлы содержат команды для компьютера в текстовом виде. Для того, чтобы написать BAT-файл, не нужен специальный редактор - достаточно Блокнота из стандартного набора программ Windows. Блокнот можно найти в меню «Пуск» или в подменю «Стандартные». Открыть Блокнот можно также, нажав сочетание клавиш Win+R, в текстовом поле появившегося диалогового окна набрать «notepad» и нажать Enter.

Наберите «@echo off», а затем, с новой строки, «CLS». По умолчанию BAT-файлы открывают окно командной строки и выводят исполняемые команды. Команды «@echo off» и «CLS» предотвращают появление команд в окне командной строки, делая причину шутки невидимой для «жертвы».

Напишите команды для открытия множества (или бесконечного количества) окон. Теперь наступило время написать последовательность команд, исполняя которые, ваш поддельный вирус откроет много окон разных программ один раз или будет отрывать эти окна бесконечно. Важно знать, если бесконечно открывается очень много окон, компьютер в конце концов может зависнуть. Читайте далее о том, как сделать оба вида «вируса»:

• Чтобы открыть определенное количество окон, с новой строки наберите в Блокноте следующую команду: start (название программы) . Вместо фразы в скобках введите название программы на компьютере «жертвы» или или полное имя исполняемого файла. Эта команда дает инструкцию компьютеру открывать окно указанной программы. Например, start iexplore.exe откроет окно Internet Explorer. Повторите команду «start» столько раз, сколько захотите, и ваш «вирус» откроет окно столько раз, сколько вы укажете. Вот несколько программ которые можно ввести после команды «start»:
  • iexplore.exe - браузер Interent Explorer
  • calc.exe - Калькулятор
  • notepad.exe - Блокнот
  • winword.exe - Microsoft Word
• Чтобы открыть бесконечное количество окон, сначала с новой строки наберите :A , включая двоеточие. На следующей строке наберите start iexplore.exe (или другую программу). И, наконец, строкой ниже наберите goto A . Эта последовательность команд заставит компьютер открывать окно Internet Explorer (или любой другой программы), возвращаться к месту непосредственно перед открытием окна, а затем сразу же открывать новое окно, пока окно командной строки не будет закрыто или компьютер не зависнет.

• Вот образец одной из самых надоедливых программ и ее код:

  @echo off
  :a
  start notepad
  goto a

  
  Все, что она делает - открывает Блокнот бесконечное количество раз до тех пор, пока пользователь не закроет окно командной строки. Не запускайте ее на компьютере без присмотра - это может плохо закончиться.

  Это упрощенный вариант метода 1, рассмотренного выше.

• Экспериментируйте с разными командами! Если вы хотите сделать шутку зловредной, примените команду, которая удаляет файлы или стирает данные с жесткого диска.

Предупреждения

• У вас могут быть проблемы с использованием вредоносных пакетных файлов или порчей школьных или общественных компьютеров. Непредусмотренная отправка таких файлов через интернет или запись их в общественные системы запрещена.
• Не перестарайтесь. 10 копий чего-то вроде Пинбола очень раздражают. Сотни копий могут привести к зависанию компьютера и лишить кое-кого работы.

Вирусы, шпионы и диалеры: кто, зачем и как

Я думаю, что, если сегодня у любого школьника спросить, что такое лавсан, он не станет рассказывать вам о "синтетическом волокне, получаемом при помощи поликонденсации этиленгликоля и двухосновной кислоты ароматического ряда". Нет, его ответ будет вроде этого: "Lo-vesan, он же msblast, проникающий в операционную систему семейства Microsoft Windows NT, используя уязвимость в службе DCOM RPC Microsoft Windows". Я боюсь предположить, какие ассоциации будут через некоторое время со словом doom. Явно не только с одноименной игрой.

Как вы могли понять из названия и вступления, разговор сегодня пойдет о вирусах и иже с ними. Прежде чем перейти к ответам на вопросы, поставленные в названии, мне бы хотелось пройтись непосредственно по нашим сегодняшним "гостям". Здесь же будет дан ответ о том, как все это попадает на наши компьютеры.

Вирусы
Вирусы суть программы, несущие какие-то деструктивные последствия. Причем неважно, в чем они заключаются: здесь может быть все - от банальной замены разрешений файла и порчи его внутреннего содержания до нарушения работы Интернета и краха операционной системы. Также под вирусом подразумевают программу, не только несущую деструктивные функции, но и способную размножаться. Вот что сказано по этому поводу в одной умной книге: "Обязательным (необходимым) свойством компьютерного вируса является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению" ((с) Евгений Касперский. "Компьютерные вирусы"). Действительно, для того, чтобы выжить, вирусам необходимо размножаться, и это доказано такой наукой, как биология. Кстати, именно от тех самых биологических вирусов и произошло название компьютерных. И сами они вполне оправдали свое название: все вирусы просты и, тем не менее, несмотря на старания антивирусных компаний, затраты которых исчисляются огромными суммами, живут и процветают. За примерами далеко ходить не надо: возьмем хотя бы такой вирус, как I-Worm.Mydoom.b. Уж сколько раз говорили, что нельзя открывать вложенные файлы от неизвестных лиц, да и к посланиям от известных следует относиться с опаской, особенно если вы о таком не договаривались. К тому же, если текст письма будет содержать примерно следующее: "Зацени классную фотку моей девушки", то тут уж его сразу же необходимо отправлять в trash. Но если в приведенном выше примере текст еще имеет смысл, то содержание писем, зараженных mydoom"ом, довольно странное. Судите сами:

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received. The message contains Unicode characters and has been sent as a binary attachment. The message contains MIME-encoded graphics and has been sent as a binary attachment. Mail transaction failed. Partial message is available.

Внутри письма содержится файл, имеющий 9 вариантов названия вложенного файла и 5 вариантов расширения. Ко мне на ящик приходило две вариации. Первая - zip-архив с якобы doc-файлом, а второй - это простой exe"шник с иконкой, замененной на иконку блокнота. Если во втором случае любой пользователь может заметить подвох, посмотрев на разрешение, то в первом сделать это уже сложнее. Именно на первый случай я склонен относить наибольшее количество заражений. Что делает данный вирус, я рассказывать не буду, т.к. про это уже много раз сказано в печатных изданиях и интернет-ресурсах. На примере Mydoom мы познакомились с первым способом распространения вирусов - через электронную почту.

Следующий способ рассмотрим на примере Worm.Win32.Lovesan (известного также как msblast). Чем же примечателен этот вирус, и почему заражение им приобрело массовый характер? Примечателен сей индивид тем, что в принципе никак не влияет на работоспособность системы в целом. Компьютер, зараженный им, просто не может нормально работать в Интернете. Через некоторое время выскакивает табличка с сообщением об ошибке RPC, после чего компьютер перезагружается. Как же происходит заражение? Данный вирус использует уязвимость в службе DCOM RPC в Microsoft Windows 2000/XP/2003 и попадает на компьютер пользователя через 135 порт определенного IP-адреса. Как же злоумышленник узнает именно ваш адрес? Да очень просто. Сейчас написано столько IP-сканеров, что даже дошкольнику нетрудно узнать IP-адреса и посмотреть открытые порты, через которые можно загрузить вирус на компьютер. Для наглядности продемонстрирую, как происходит заражение непосредственно вирусом Lovesan. Червь производит сканирование IP-адресов на предмет нахождения открытых и незащищенных портов. Процесс приведен на схеме:

20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1,8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1,8 секунды
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и продолжается в таком же духе и далее.

Для сканирования червь выбирает один из двух способов. Способ первый: сканирование случайного base address (A.B.C.D), где D равно 0, а A, B, C случайно выбраны из диапазона 1-255. Диапазон сканирования следующий: ...0.
Способ второй: червь определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C больше 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его. Итак, второй способ распространения вирусов - через незащищенные порты компьютера, используя бреши в программном обеспечении.
Способ третий - через Интернет, когда вы скачиваете файлы (в желательном или нежелательном варианте). Опять же, объясню на примерах. Пример желательного. Вы скачиваете из Сети какой-нибудь новый прикол, или программу, или игру, а она заражена вирусом. После загрузки программа/игра/прикол запускается, и - вуаля - вы являетесь обладателем вируса. Что тут можно сказать? Будьте бдительны, регулярно обновляйте базы данных своего антивируса, проверяйте все программы антивирусом и не забывайте хотя бы основы компьютерной безопасности. Кто-то может сказать: "А зачем мне, например, проверять программы, которые не могли быть заражены вирусом?". Хочется спросить: "Это что ж за программы такие?" Любые программы могут быть заражены, особенно если скачиваются они с варезников или сайтов хакерских групп.

Теперь перейдем к нежелательной загрузке. Я бы выделил два вида такой загрузки. Первый: когда пользователь и не подозревает о том, что на его компьютер что-то загружается. Выполняется данная загрузка посредством выполнения скриптов. Второй вид нежелательной загрузки - это когда загружается не то, что надо. Приведу пример. В свое время один сайт с крэками непосредственно перед закачкой файла предлагал установить то "Free XXX bar", то "100% крэк Интернета". Если пользователь согласился с этим (а я уверен, что такие были, ибо еще помню вопрос месяца в "Виртуальных Радостях" про "стопроцентный крэк инета"), то происходила закачка трояна или вируса. Разница, в принципе, небольшая. Однако это еще не самое интересное: в случае отклонения такого заманчивого предложения выскакивала табличка с надписью приблизительно следующего содержания: "Site error" и кнопочкой ОК или Continue, по нажатию на которую закачка трояна все же происходила, правда, уже без ведома пользователя. И спасти от этого мог лишь файрволл.
Какие побочные эффекты, кроме основных деструктивных функций, могут нести с собой вирусы? Одно из "бесплатных приложений" - функция DOS (Denial of service) атаки на какие-либо сайты. В большинстве случаев жертвами становятся сайты антивирусных компаний, антиспамерские сайты и - как же без этого - сайт многострадальной компании Microsoft. Еще одним побочным эффектом является установка backdoor-компонента, вследствие чего злоумышленник получает полный контроль над компьютером пользователя. Чем это грозит, догадаться нетрудно.

Шпионы
В следующую группу входят программы-шпионы, сюда же можно отнести рекламные модули. Основным способом распространения программ данного вида является их установка в качестве компонента, зачастую неотделимого, в какую-либо программу. Кроме этого, есть нежелательная загрузка (описания см. выше) и загрузка отслеживающих cookies-файлов.
Что же делают данные индивидуумы? Начнем с общего для шпионов и рекламных модулей. Оба вида собирают информацию о пользователе и его компьютере, следят за его действиями, разновидность шпионов - reylogger"ы - еще и записывают все, что вы настучали на клавиатуре, в файл. Также отслеживается ваша активность в Интернете: что посещаете, где больше всего задерживаетесь, по каким ссылкам кликаете. После сбора данных вся информация отсылается хозяину. И тут пути шпионов и рекламных модулей расходятся. После сбора данных рекламными модулями информация чаще всего перепродается третьему лицу, которое внимательно ее изучает. После этого в лучшем случае составляется программа интернет-политики третьего лица типа: что предлагать, где вешать свою рекламу. Но это в лучшем случае, а в худшем - на ваш ящик просто начнут сыпаться мега/кило/тонны спам-писем.

Чем же отличаются шпионы? После изучения данных того же reylogger"а злоумышленник может узнать ваши личные строго конфиденциальные данные, которые впоследствии может использовать для шантажа. И такие случаи бывали. Кроме того, он может узнать пароли пользователя, а также найти слабые места в системе, с тем чтобы использовать все это для установки троянов и backdoor-компонентов. Чем это грозит, читайте выше.

Диалеры
Способы их проникновения не отличаются от вышеописанных. Поэтому сразу же перейдем к рассмотрению. Тут необходимо оговориться, что существуют вполне мирные диалеры, называемые в народе "звонилками". Эти программы используются с целью помочь пользователям dial-up"a дозвониться до провайдера и по возможности поддерживать с ним стабильную связь даже на старых или "модернизированных" линиях. Те же, о которых пойдет наш разговор, имеют другое название - боевые диалеры. Используя бреши в операционной системе, а иногда и по халатности или наивности пользователей (см. выше про 100% крэк Интернета) данные программы подменяют телефон провайдера телефоном оператора связи из какой-нибудь экзотической страны. Причем в большинстве случаев в окне набора номера остается старый добрый телефон провайдера. Еще диалеры прописывают в планировщике задание позвонить в заданное время. И хорошо если пользователь имеет привычку выключать модем или он у него внешний и орет так, что мама не горюй. А если модем тихонький да встроенный? Вот и я о том. И узнает бедолага о своем горе лишь по приходе ба-а-альшого такого счета за телефон.

Кто
Пришла пора рассказать о том, кто же пишет и запускает всю эту гадость в Сеть. Здесь я попытаюсь классифицировать те группы людей, которые занимаются этим неблаговидным делом. Здесь не будет сказано о так называемых "белых" хакерах. Объясню, почему. Данная разновидность не представляет опасности для общества и скорее несет ему пользу. Именно они чаще всего пишут вирусы-антивирусы для обезвреживания особо вредоносных особей. Почему вирусы? Эти программы распространяются по тому же механизму, что и вирусы. Почему анти-? Потому, что блокируют или удаляют определенный вид вируса с компьютера. Главным их отличием от вирусов является также самоликвидация после выполнения своей задачи и отсутствие каких-либо деструктивных функций. Примером может служить подобный вирус, появившийся в Сети через некоторое время после рецидива Lovesan"а. После загрузки вируса-антивируса Lovesan удалялся, а пользователю предлагалось загрузить обновления для Windows. "Белые" хакеры также находят бреши в программном обеспечении и компьютерных системах, после чего сообщают о найденных ошибках компаниям. Теперь перейдем непосредственно к нашей классификации.

Тип первый: "дети скриптов". Зовут себя не иначе как 37717 (00|_ HaCkeR-rr, читают журнал "Хакер", не знают ни одного языка программирования, а всех "своих" троянов и вирусов творят посредством скачивания готовых программ из Сети. (Чтобы избежать наездов, оговорюсь, что журнал "Хакер", в принципе, неплох, и материал в нем подается в довольно простой форме - местами, правда. Но в простой форме для людей, уже имеющих какой-то багаж знаний. И материал они дают с умом - не рассказывают все до конца - дабы не привлекли их никуда, надо думать.) Эти "хакеры" обычно, после того как пришлют кому-нибудь скачанный откуда-нибудь троян, и последний сработает, тут же начинают орать на форумах о своей крутизне и т.д., и т.п. За что тут же вполне справедливо получают в свой адрес кучу нелицеприятных высказываний, ибо не дело это. Раз уж напакостил, то лучше помолчи. Особой опасности данные индивиды не представляют, т.к. на более-менее масштабное дело у них просто не хватит ни опыта, ни (в некоторых случаях) мозгов.

Тип второй: "начинающий". Данный вид является прямым потомком первого. Некоторые из представителей первого типа спустя некоторый промежуток времени начинают понимать, что они не так круты, как им казалось, что, оказывается, существуют какие-то языки программирования, что можно что-то сделать и после этого не орать на весь мир про то, какой я молодец. Кто-то из них в будущем, возможно, превратится в представителя класса профи. Эти люди начинают учить какой-нибудь язык, пробовать что-то писать, в них начинает просыпаться творческая мысль. И одновременно они начинают представлять определенную опасность для общества, ибо кто знает, какое ужасающее произведение по неопытности может написать такой представитель класса вирусописателей. Ведь когда код пишет профессионал, он все-таки осознает, что некоторые вещи делать не нужно, т.к. они могут сыграть против него. У новичка таких знаний нет, и этим он опасен.

Тип третий: "профи". Развиваются из второго вида. "Профи" отличаются глубоким знанием языков программирования, сетевой безопасности, разбираются в глубинах операционных систем и, что самое важное, обладают очень серьезными знаниями и пониманием механизма работы сетей и компьютерных систем. Причем "профи" не только узнают о брешах в системах безопасности из бюллетеней компаний, но и сами находят их. Часто они объединяются в хакерские группы для улучшения качества своей "работы". Эти люди в основном скрытные и не жадные до славы, при проведении какой-нибудь успешной операции не бегут сообщать об этом всему миру, а предпочитают мирно отпраздновать успех в кругу друзей. Безусловно, представляют большую опасность, но, поскольку все они люди знающие, то не пойдут на действия, которые могут вызвать глобальный обвал какой-либо системы - к примеру, Интернета. Хотя бывают и исключения (не все еще забыли про Slammer"a).

Тип четвертый: "промышленные хакеры". Наиболее опасные для общества представители семейства хакеров. Их по праву можно называть настоящими преступниками. Именно на их совести лежит написание большей части диалеров и взлом сетей банков, крупных компаний и правительственных учреждений. Зачем и ради чего они это делают, мы поговорим ниже. "Промышленники" не считаются ни с чем и ни с кем, эти индивиды способны сделать все ради достижения своих целей.

Теперь обобщим написанное. "Дети скриптов": молодо-зелено да неопытно. Хочется показать, что ты круче всех, а круче тебя - только Крутой Сэм.
"Начинающий": появилась тяга к написанию чего-то самостоятельного. Часть из них, к счастью, после попытки освоения премудростей интернет-протоколов и языков программирования бросают это дело и идут заниматься чем-то более мирным.
"Профи": если вдруг наступает состояние "осознал свою вину, меру, степень, глубину", то представитель данного вида становится высококвалифицированным специалистом по компьютерной безопасности. Хотелось бы, чтобы побольше профи перешло к такому состоянию.
"Промышленники": ничего святого. Про таких хорошо говорит народная мудрость: "Горбатого могила исправит".
Таково грубое разделение на типы представителей класса компьютерных злоумышленников. Теперь перейдем к вопросу, зачем они это делают.

Зачем
А действительно, зачем пишутся вирусы, трояны, диалеры и прочая нечисть? Одной из причин является желание самоутверждения. Оно характерно для представителей первого и второго типа. Одному просто нужно показать своим друзьям, что он "типа того, реальна, крутой пацан", второму - прежде всего для поднятия уровня самооценки. Вторая причина - получение опыта. Характерна для начинающих. После написания своего первого шедевра, естественно, хочется его на ком-нибудь испытать. Не на себе же, в самом деле. Вот и появляется в Сети определенное число новых, не всегда очень опасных, вирусов. Следующая причина - дух соперничества. Вы никогда не слышали про хакерские соревнования? Последнее известное мне состоялось летом. Победила бразильская хакерская группа (оказывается, не только футбол у них силен). Задача стояла следующая: кто сломает больше всего сайтов. Но я уверен, что есть соревнования и по самому навороченному вирусу, и по самому лучшему клавиатурному шпиону. Адреналин - еще одна причина. Представьте себе: ночь, свет монитора, пальцы бегают по клавиатуре, вчера была найдена брешь в системе защиты, сегодня нужно попытаться получить доступ к системе и показать товарищу администратору, кто в доме хозяин. Следом за этой причиной идет и следующая - романтика. А что, кому нравится на закат смотреть, кому на звезды, а кому - вирусы писать да сайты дефейсить. Сколько людей, столько и вкусов. Причина следующая - политический или социальный протест. По этой причине взламывается большинство правительственных сайтов, сайтов политических партий, печатных и интернет-изданий, а также крупных корпораций. За примерами далеко ходить не надо. Сразу же после начала войны в Ираке были произведены атаки на правительственные американские сайты со стороны недовольных политикой Буша, а также на сайт арабской газеты "Аль-Джазира" и ряд других арабских ресурсов с противоположной стороны. И, пожалуй, последняя причина - это вездесущие деньги. Ради них в основном работают, если можно так выразиться, промышленные хакеры. Взламывая сети банков, они получают доступ к счетам клиентов. Что за этим последует, догадаться нетрудно. Собирая информацию о любом пользователе Сети посредством программ-шпионов, они в дальнейшем занимаются банальным шантажом. Действия, на которые идут "промышленники", можно перечислять еще очень долго, хочу лишь еще раз сказать, что именно они являются полноценными компьютерными преступниками, и относиться к ним нужно как к преступникам.

Дабы избежать гневных писем в свой адрес на тему: "А что, остальные такие добрые и пушистые, что ты их так защищаешь?", скажу следующее. Защищать я никого не собирался, и никто из представителей четырех описанных видов не является ангелом во плоти - все они несут определенное зло. Но хакеры периодически дают нам понять, что не все совершенно в этом мире. Приведу пример. Вирус Slammer, на время парализовавший работу Интернета, использовал ошибку, которую Microsoft обнаружила и выложила заплатку за три месяца до этого. Но следует помнить, что приведенный пример - исключение. А посему необходимо соблюдать хотя бы основы компьютерной безопасности.

Андрей Радзевич
В статье использованы материалы Большой вирусной энциклопедии, viruslist.com