Для многих вирусописателей и киберпреступников целью является распространение вируса, червя или троянской программы на как можно большее количество компьютеров или мобильных телефонов. Существует три основных способа достижения этой цели:

• Социальная инженерия
• Заражения системы без ведома пользователя
• Комбинация обоих методов

Кроме того, создатель вредоносного ПО часто предпринимает шаги для предотвращения обнаружения заражения антивирусными программами.

Социальная инженерия

Когда создатели вредоносных программ используют методы социальной инженерии, они могут хитростью заставить неосторожного пользователя запустить зараженный файл или открыть ссылку к зараженному веб-сайту. Такими методами распространяются почтовые черви и многие другие виды вредоносного ПО.

Черви атакуют

Цель киберпреступника - привлечь внимание пользователя к вредоносной ссылке или к зараженному файлу и заставить пользователя нажать на него.

Некоторые примеры на этот вид атаки:

• Червь LoveLetter, который в 2000 г. вызвал перегрузку почтовых серверов многих компаний. Жертвы получили сообщение, предлагающее открыть любовное письмо во вложении. При открытии вложения червь отправлял копии себя всем контактам из адресной книге жертвы. По сей день считается, что червь LoveLetter был в числе причинивших наибольший финансовый ущерб.
• Почтовый червь Mydoom, который появился в интернете в январе 2004 г., использовал образцы текста, имитирующие технические сообщения, генерируемые почтовым сервером.
• Червь Swen маскировался под сообщение от Microsoft; в сообщение утверждалось, что во вложении находится патч для исправления уязвимостей Windows. Неудивительно, что многие пользователи восприняли сообщения серьезно и попытались установить этот поддельный патч, который на самом деле был червем.

Каналы доставки вредоносных ссылок

Ссылки на зараженные сайты могут рассылаться через электронную почту, ICQ, Skype и другие службы мгновенного обмена сообщениями, а также через интернет-чаты IRC. Мобильные вирусы зачастую доставляются через SMS-сообщения.

Вне зависимости от используемого метода доставки, сообщение, как правило, содержит привлекающие внимание фразы, призванные завлечь ничего не подозревающего пользователя и заставить его нажать на ссылку. Этот метод проникновения может позволить вредоносной программе обойти антивирусные фильтры почтового сервера.

Атаки через P2P-сети

P2P-сети также используются для распространения вредоносного ПО. Червю или троянцу, созданному для такого распространения, дают имя, которое привлечет внимание пользователей и заставит их загрузить и запустить файл, например:

• AIM & AOL Password Hacker.exe
• Microsoft CD Key Generator.exe
• PornStar3D.exe
• Play Station emulator crack.exe

Как сделать так, чтобы жертвы не сообщали о заражении

В некоторых случаях создатели и распространители вредоносных программ принимают меры, чтобы уменьшить вероятность того, что жертвы заявят о произошедшем заражении.

Жертвы могут клюнуть на фальшивое предложение бесплатной утилиты или гида, в котором обещается:

• Бесплатный доступ к интернету или мобильной связи
• Возможность скачать генератор номеров кредитных карт
• Метод увеличения баланса онлайн-счета жертвы или получения других нелегальных преимуществ

В таких случаях пользователь, обнаружив, что он скачал троянца, желает скрыть свои незаконные намерения и избежать огласки. По этой причине, он вряд ли сообщит о заражении в правоохранительные органы.

Другой пример применения этого метода - это троянец, который рассылался по адресам, найденным на сайте по подбору персонала. Люди, зарегистрированные на этом веб-сайте, получали письма с фальшивыми предложениями о работе, которые содержали троянца.

Такие письма рассылались в основном по корпоративным адресам электронной почты, причем киберпреступники знали, что получившие рассылку сотрудники не захотят сообщать работодателю о том, что их компьютер был заражен во время поиска другой работы.

Необычные методы социальной инженерии

В некоторых случаях киберпреступники при совершении кибератак использовали сложные методы, например:

• Однажды клиенты одного банка получили фальшивое письмо якобы из банка, в котором клиентов просили подтвердить свои коды доступа. Подтвердить надо было не по обычным каналам, т.е. не по электронной почте и не по интернету. Вместо этого клиента просили распечатать форму, которая была в сообщении, заполнить в нее свои данные и выслать ее факсом на телефонный номер киберпреступника.
• В Японии киберпреступники использовали службу доставки на дом для распространения компакт-дисков, зараженных троянцем- шпионом. Диски были доставлены клиентам одного из японских банков. Адреса клиентов были ранее украдены из базы данных банка.

Эксплуатация уязвимостей и методы внедрения вредоносного ПО

Киберпреступники часто эксплуатируют любые уязвимости, существующие в операционной системе (ОС) или в прикладном ПО, запущенном на компьютере-жертве.

Таким образом, сетевой червь или троянец может проникнуть на машину-жертву и запуститься.

Что такое уязвимость?

Уязвимость - это, по сути, брешь в коде или логике работы в ОС или прикладном ПО.

Современные ОС и приложения очень сложны и имеют широкий функционал, поэтому, разработчикам сложно создать ПО, который бы не содержал никаких ошибок.

Нет недостатка в вирусописателях и киберпреступниках, готовых посвятить значительные усилия исследованиям того, как они могут получить выгоду от

эксплуатации любой уязвимости до того, как она будет закрыта производителем, который выпустит соответствующее обновление.

Виды уязвимостей:

• Уязвимости в приложениях
  Почтовые черви Nimda иAliz эксплуатировали уязвимости в Microsoft Outlook. Когда пользователь открывал зараженное сообщение - или даже просто помещал курсов на сообщение в окне предварительного просмотра -запускался файл червя.
• Уязвимости в операционных системах (ОС)
  CodeRed, Sasser, Slammer и Lovesan (Blaster) - это примеры червей, эксплуатировавших уязвимости в ОС Windows. Черви Ramen и Slapper проникали в компьютеры через уязвимости в ОС Linux и в некоторых Linux-приложениях.

Эксплуатация уязвимостей в интернет-браузерах

Одним из самых популярных методов внедрения вредоносного ПО стало распространение вредоносного кода через веб-страницы. На веб-страницу помещаются зараженный файл и скриптовая программа, эксплуатирующая браузерную уязвимость. Когда на эту страницу заходит пользователь, скриптовая программа скачивает зараженный файл на компьютер пользователя, используя уязвимость в браузере, и затем запускает этот файл.

Чтобы заразить как можно больше машин, создатели вредоносное программы используют целый набор методов привлечения пользователей на веб-страницу:

• Рассылка спам-сообщений, содержащий адрес зараженной страницы
• Рассылка сообщений через системы мгновенного обмена сообщениями
• Через поисковые системы - текст, помещаемый на зараженную страницу, обрабатывается поисковыми системами, и ссылка на страницу попадает в поисковую выдачу.

Подготовка заражения троянцами

Киберпреступники также используют небольшие троянцы, которые загружают и запускают более крупные троянцы. Маленький троянец проникает на компьютер пользователя - например, через уязвимость, а затем загружает из интернета и устанавливает другие вредоносные компоненты.

Многие троянцы изменяют настройки браузера на наименее безопасные из возможных, чтобы облегчить скачивание других троянцев.

Разработчики ПО и антивирусных решений отвечают на вызов

К сожалению, период между появлением новой уязвимости и началом его эксплуатации червями и троянцами становится все короче и короче. Это создает проблемы как для разработчиков ПО, так и для антивирусных компаний:

• Разработчики приложений или ОС должны исправить ошибку как можно быстрее - для этого они разрабатывают обновление-патч, тестируют его и распространяют его по пользователям.
• Разработчики антивирусов должны работать быстро - они должны выпустить решение, которое обнаруживает и блокирует файлы, сетевые пакеты и любые прочие объекты, используемые для эксплуатации уязвимости.