Центр исследования компьютерной преступности

home контакты

Вирус на флэшке

Дата: 08.05.2007
Источник: RBCdaily.ru
Автор: Илья Носырев


virus/01virusal.jpgUSB-носители и mp3-плееры все чаще играют роль рассадников заразы

На днях имело место необычное компьютерное преступление: сразу несколько жителей Лондона обратились в полицию, утверждая, что их компьютеры заражены вирусом, содержавшимся на флэшках, которых пользователи обнаружили на одной из крупных парковок в британской столице. Как выяснилось, флэш-носители действительно содержали фишерский вирус, предназначенный для воровства банковских паролей у незадачливых любителей втыкать в свой компьютер неизвестные устройства. Представители нескольких западных компаний заявили о своем решении контролировать использование флэшек сотрудниками — скачанные с флэш-носителей вирусы, как правило, с большей вероятностью обходят систему защиты компьютера, чем вирусы, полученные по Сети.

«Такой способ заражения рассчитан исключительно на обладателей шаловливых ручек, способных воткнуть в компьютер найденную на улице флэшку и скачать с нее все файлы, — рассказал нашему изданию Рамиль Яфизов, старший технический консультант Symantec в России и СНГ. — Но внешние носители в последнее время все чаще становятся рассадниками вирусной заразы. Злоумышленники имеют богатый выбор средств: CD и DVD с нелицензионным софтом и mp3-музыкой, халявные и «потерянные» флэшки, а также цифровые плееры. Вирус, находящийся на mp3-плеере и рассчитанный на ПК, не причинит вреда самому устройству, имеющему микропроцессор и операционную систему, отличную от тех, что используются в компьютерах. А вот будучи скачанным на ПК во время перезаписи музыки или фильмов, он может принести серьезный вред.

«Практически любой внешний носитель информации может быть рассадником вирусов, — сообщил РБК daily Дмитрий Богданов, специалист службы техподдержки Apple. — И принципиальной разницы между съемным жестким диском, музыкальным плеером и флэшкой здесь не существует. При этом, разумеется, нельзя сказать, что этот носитель заражен вирусом: если устройство не имеет собственной операционной системы, значит, его и невозможно заразить. С усложнением устройств картина может поменяться, но я бы не стал загадывать, по какому пути пойдет развитие техники. К тому же, например, под технические устройства на Macintosh-платформе, использующие «родную» операционную систему, вирус написать невозможно — ведь в нашей операционной системе нет уязвимостей, позволяющих внедряться вредоносным программам. Другое дело, если пользователь сам инсталлирует вирус, приняв его за полезную программу, — но это уже на совести пользователя».

С совестью у пользователя, честно говоря, не всегда чисто. И если «потерянная» флэшка с вирусом рассчитана только на самых любопытных «чайников», то в крупных компаниях внешние носители чаще всего становятся средством осознанной и продуманной атаки самих пользователей. «Точной статистики нет, но практически 90—95% взломов совершается при том или ином участии сотрудников фирмы, — рассказал нашему изданию заместитель директора по маркетингу компании «Информзащита» Михаил Савельев. — В последние годы имеет место печальная тенденция: промысел вирусописателей сращивается с криминальной деятельностью обычных преступников. Сейчас даже довольно сложно отыскать вирус «в чистом виде», в том понимании, какое имело место еще десятилетие назад. Мы живем в эпоху «целевых» вирусов, разработанных специально для атаки на конкретную организацию, написанных так, чтобы те антивирусы, которые используются в данной фирме, не могли его обнаружить. Грань между вирусом и попыткой взлома становится все менее заметна, в наши дни вирусы редко пишутся из хулиганских побуждений, целью их создания является попытка виртуального ограбления».

Насколько правомерен и эффективен запрет на использование флэш-носителей внутри компаний и какими средствами его можно осуществить? «Запрет на использование внешних переносных носителей данных полностью лежит на усмотрении самой компании и зависит от характера данных, к которым может получить доступ тот или иной сотрудник, — говорит г-н Яфизов. — Во многих компаниях такой запрет уже существует, и реализуется он как административными мерами, путем подписания сотрудниками соглашения о корпоративной информационной политике, так и аппаратными и программными средствами. В качестве последних чаще всего фигурирует отключение USB-портов в BIOS, пломбирование системных блоков или просто отсутствие USB-портов на применяемых материнских платах. Есть и специализированное программное обеспечение, которое блокирует использование компьютером флэшек и прочих переносных носителей на уровне операционной системы».

«Как одна из мер защиты такой способ может быть вполне оправдан, — отмечает Михаил Савельев. — Другое дело, что сам по себе он недостаточно эффективен: если ограничиться только подобным запретом и не вести никакой разъяснительной работы, то мера совершенно бессмысленная: гораздо легче поймать вирус в Интернете. Вот почему мы стараемся бороться с подобной угрозой путем просветительских программ». Неэффективны будут и все попытки снабдить внешние носители собственными антивирусами. «Теоретически достаточно легко создать mp3-плеер или любой другой внешний носитель, имеющий собственную антивирусную защиту, — поясняет г-н Савельев. — Но с точки зрения эргономики это не слишком удачное решение: ведь устройство придется оснастить собственным процессором, что сильно удорожит его стоимость. Парадокс тут почти анекдотический — хорошо бы, если бы каждое из электронных устройств имело собственную антивирусную защиту, но вместе с тем такой подход будет не слишком удобен. Гораздо легче проверять флэшки, плееры и съемные жесткие диски внешними средствами, чем иметь под каждое из этих устройств собственный защитный функционал».

По словам экспертов, в последнее время взломщики все чаще пользуются методами социальной инженерии. «Например, это психологические способы, заставляющие пользователя открыть присланный ему файл или зайти на страничку, в код которой внедрен опасный код, — поясняет Михаил Савельев. — Любопытно, что в наши дни хакеры стремятся к «честности» — пользователь в итоге ни в коем случае не должен догадаться, что его обманули. Например, вредоносный код могут прислать под видом JPEG-файла: пользователь его откроет и действительно увидит нужную картинку. Затем случается вот что: некорректно сформированный заголовок заставляет повиснуть браузер и, аварийно завершив его работу, внедряется в систему, благополучно обманув антивирус путем имитации стандартной ошибки. Или пользователю предлагается ссылка, по которой его ждет музыкальный файл, — человек жмет на нее, выпадает вторая ссылка, третья и, наконец, загружается нужный ему файл. При этом пользователю невдомек, что одна из загрузок странички привела его на опасный сайт, позволив внедриться на его компьютер вирусу». Раньше о таких тонкостях взломщики не думали.

Более того, сейчас у хакеров даже принято по-своему заботиться о зомбированных компьютерах. Вполне возможно, что у и вашего компьютера есть «крыша». «Если ваш компьютер входит в бот-сеть — объединение зомбированных компьютеров, незаметно для владельца выполняющих нужные хакеру задачи, то хакер-владелец этой бот-сети стремится сделать все, чтобы на вашу машину не внедрился чужой вирус, вполне способный включить его в другую бот-сеть», — поясняет г-н Савельев. Любопытно, что здесь хакеры используют одну из самых известных моделей поведения в преступном мире: бандитская «крыша», которой вы платите деньги, всячески защищает вас от других уголовников.


Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2007 Computer Crime Research Center

CCRC logo
Рассылка новостей