503
Артем Ковбель: програми-викрадачі. Історія розвитку та принципи їхньої роботи
— Кримінал
Комп’ютерний вірус – вид шкідливого ПЗ (програмного забезпечення), що самовідтворюється, програми, здатної відтворювати код самої себе, впроваджуватися в архітектуру ПЗ комп’ютера, завантажувальні сектори, системні області, знімні накопичувачі інформації, тим самим порушувати, блокувати роботу комп’ютера.
Основи теорії самовідтворюваних механізмів були закладені американцем Джоном Фон Нейманом, який у 1951 році запропонував метод створення таких механізмів.
Серед перших комп’ютерних епідемій, викликаних комп’ютерними вірусами, варто відзначити: Brain – перший stealth вірус, який при спробі читання інфікованого сектора підставляв його незаражений оригінал.
Jerusalem – один з перших MS -DOS вірусів, Morris’s warm – вірус – хробак, метою якого було заволодіння паролями та інформацією на чужому ПК шляхом розсилки листів.
Datacrime – віруси руйнівники файлової системи. Також, 1989 був створений перший «троянський кінь», підвид вірусів, так званий ransomware, ПЗ, призначене для вимагання.
Як правило, шкідливі програми (черв’яки, троянські коні) використовують уразливість операційної системи або програмного забезпечення з метою проникнення та зараження вірусом. Вразливість — це помилка в коді або логіці роботи ОС або програмного додатка – це види типових вразливостей. Оскільки сучасні програми досить комплексні, тому написати ідеальну програму безпомилково практично неможливо. Як правило, зараження відбувається при відвідуванні користувачем різних сайтів та завантаження на комп’ютер шкідливих програм.
У нашій практиці IT forensic, моя команда розслідувала випадок отримання e-mail від знайомих користувачів (користувачів з довідкової книги потерпілого) і здійснення APT атак (Advanced persistent thread).
Наслідком чого ставав remote захоплення комп’ютера з подальшим створенням його образу і отримання доступу до всіх персональних даних користувача і здійснення зіпування даних і відправки їх першоджерелу.
Потім цей вірус отримав доступ до всіх e-mail адрес, за допомогою чого здійснив розсилку шкідливих листів.
Варто зазначити, що даний вид вірусу може тривалий час перебувати в активному стані на зараженому комп’ютері користувача, ніяк себе не проявляючи. Період перебування такої шкідливої програми до її ідентифікації обчислювався сотнями днів. Вірус був ідентифікований шляхом запуску програми YARA – forensic deep dive program програма, яка дозволяє ідентифікувати шкідливі файли, ланцюжки шкідливих програм на ранніх етапах їх поширення по архітектурі ПЗ.
***
Як і у випадку з шахрайством, бізнес неможливо на 100% вберегти від кібератак, витоків інформації та інших проблем пов’язаних з порушенням інформаційної безпеки підприємства.
Але створити превентивні заходи у вигляді департаменту з інформаційної безпеки з чітким регламентів прописаних правил – це під силу будь-якій компанії.
Артем Ковбель, партнер Kreston GCG
За матеріалами: Finance.ua
Поділитися новиною
