Рассылка спама с вредоносными вложениями - довольно популярный способ распространения малвари и заражения компьютеров пользователей в интернете. По данным разных антивирусных компаний, доля писем с вредоносными вложениями составляет от 3 до 5 процентов от общего объема спам-трафика, то есть как минимум каждое тридцатое письмо в потоке спам-рассылок несет в себе вредоносный сюрприз.
Несмотря на то что Россия (сюрприз!) не входит в число лидеров по количеству заражений компьютеров таким способом (тройку лидеров традиционно составляют США, Германия и Англия), мы считаем, будет нелишним узнать, что же заставляет многих пользователей в разных уголках планеты щелкать указателем мыши на вложениях в письмах от незнакомых отправителей. Поехали!
ЗЛОЕ ПИСЬМО
Адрес отправителя (поле From)
Первое, о чем следует позаботиться злоумышленнику, рассылающему вредоносный спам, - от чьего лица будет вестись рассылка. Послания от имени частных лиц (если не брать в расчет рассылку со взломанного почтового аккаунта по адресной книге) в этом деле не очень эффективны, поэтому в ход идут различные компании, организации и даже некоторые органы судебной или исполнительной власти.
Топ-10 вредоносных программ, распространяемых по электронной почте
В последнее время особенной популярностью пользуются международные службы доставки (DHL, FedEx, United Parcel Service (UPS) или TNT). Если помнишь, именно так, под видом отчета о доставке от FedEx или UPS, распространялся
Cryptolocker.
Проблему с адресом отправителя в поле From: (От:) злодеи решают несколькими способами:
Взламывают почту нужной компании и шлют письма оттуда (что крайне сложно реализовать и практически нереально, особенно если речь идет о крупной и серьезной компании);
регистрируют домен с именем, очень похожим на название нужной компании;
используют бесплатный почтовый сервис, зарегистрировав
на нем что-нибудь типа [email protected];
подменяют настоящий адрес отправителя (способов сделать это несколько, начиная от различных программ и сервисов в интернете и заканчивая скриптами для отправки писем).
Тема письма (поле Subject)
Тема письма должна привлекать внимание получателя и побуждать его открыть письмо. Естественно, она должна соответствовать роду деятельности конторы, от имени которой письмо отправлено.
Если рассылка ведется, к примеру, от имени службы доставки, то наиболее популярными темами писем будут:
Все, что связано с отправкой, отслеживанием или доставкой отправлений (уведомления об отправке, статус доставки, подтверждение отправки, документы об отправке, информация о доставке);
информация о заказе и счет на оплату;
уведомления о сообщениях и аккаунтах (создание и подтверждение аккаунта, получение новых сообщений).
Примеры заполнения поля Subject в письмах от имени популярных служб доставки
Для нашей страны более характерны рассылки от имени разных государственных органов, и в этом случае злоумышленники выбирают соответствующие темы, например «Судебное постановление» (от имени Федеральной службы судебных приставов) или «Квитанция на оплату штрафа за нарушение ПДД» (от чьего имени шлют письма с такой темой, я думаю, ты догадался).
Текст письма и оформление
Для придания правдоподобности письмам злоумышленники очень активно используют логотипы компаний, под именем которых они работают, контактные данные и прочую информацию. Чтобы не только убедить получателя в правдивости письма, но и подтолкнуть его открыть вложение, могут использоваться уведомления об ошибках при доставке отправлений (неправильный адрес получателя, отсутствие получателя и подобное), просьбы совершить какие-либо действия с указанием возможных санкций в случае их невыполнения или фразы с указанием того, что находится во вложении (например, «акт сверки», «транспортная накладная» или «счет на оплату»).
Помимо этого, очень часто в ход идут различные типовые словосочетания, характерные для официальных рассылок (что-нибудь вроде please do not reply to this email или this is automatically generated email ).
ВИДЫ ВРЕДОНОСНЫХ ВЛОЖЕНИЙ
Вложение в виде исполняемого файла
Несмотря на то что большинство почтовых серверов уже давно не пропускают через себя исполняемые файлы, такой тип вредоносных вложений еще иногда встречается. Как правило, такой файл маскируется под какой-нибудь безобидный документ (doc или PDF) или картинку.
При этом в файл прописывается соответствующая иконка, а сам файл именуется, к примеру, «накладная.pdf.exe» (при этом расширение exe очень часто отделяется от имени файла большим количеством пробелов, чтобы его не было сильно видно).
Вложения с запароленным архивом
Запароленный архив позволяет обойти все антивирусные проверки на почтовых серверах, межсетевые экраны и сканеры безопасности. Сам вредоносный файл, как и в первом случае, маскируется под что-нибудь безобидное. Самое главное в этом случае - побудить получателя ввести указанный в письме пароль, разархивировать вложение и открыть его.
Вложение в виде документа с эксплойтом или вредоносным VBA-скриптом
Такое письмо сможет преодолеть запрет на пересылку исполняемых файлов, а во многих случаях и антивирусную проверку на почтовых серверах (особенно если эксплойт свежий).
Наиболее часто используются уязвимости:
Adobe Acrobat reader (CVE-2013-0640,CVE-2012-0775);
Adobe Flash Player (CVE-2012-1535);
MS Office (CVE-2012-0158, CVE-2011-1269, CVE-2010-3333, CVE-2009-3129).
Помимо эксплойтов, в качестве вредоносных вложений могут использоваться документы MS Office с вредоносными макросами на VBA (да-да, встречаются еще люди, у которых выполнение макросов в Word’е не запрещено, да и антивирусы далеко не всегда реагируют на такие скрипты).
Вложенные HTML-документы
К письму прикладывается HTML-документ с кодом, реализующим drive-by-атаку. Этот способ позволяет во многих случаях обойти антивирусные фильтры почтовых серверов, а также запреты, блокирующие переходы через iframe.
Гиперссылки в тексте письма
В таких письмах вложения, как правило, отсутствуют, а сам текст письма содержит несколько ссылок, ведущих на один и тот же ресурс, на котором либо лежит связка эксплойтов, либо производится редирект на другой вредоносный ресурс. Все эти ссылки маскируются под ссылки на приличные и безопасные сайты либо под простой текст.
ЗАКЛЮЧЕНИЕ
Несмотря ни на что, спам-рассылки по-прежнему остаются очень эффективным способом распространения вредоносного кода. И можно предположить, что по мере сокращения количества уязвимостей в софте и в железе этот способ будет использоваться все чаще и чаще, приобретая все более изощренные формы, чтобы проэксплуатировать самую главную уязвимость любой информационной системы - ее пользователя.
Вызывайте экзорциста админа, ребята! Главбух поймала мощный вирус, всё пропало! Частая, частая ситуация, основанная на человеческом факторе, свежих вирусных тенденциях и целеустремлённости хакеров. И правда, зачем самим копаться в чужом ПО, если можно положиться в этом на работников компании.
Да, продукты крупных государственных и частных контор постоянно взламываются, хотя над их созданием и поддержкой работают сотни опытных людей.
А уж обычному человеку тем более нечего противопоставить хакерам. При этом никому не нужен один сиротливый аккаунт, цель взломщиков – получить крупную базу потенциальных жертв и обработать её «письмами счастья», спамом или вирусами. А всю личную-публичную информацию мы и сами раздаём направо-налево.
Последние вирусные тенденции
Отличительная особенность всех свежих вирусов и хакерских приёмов состоит в том, что они взаимодействуют с человеком, а не с системой. То есть запускает процесс сама жертва. Это называется «социальная инженерия» – метод незаконного доступа к информации, основанный на особенностях психологии человека. И если раньше злоумышленникам приходилось превращаться в настоящих детективов, выслеживая свои цели, общаясь, иногда даже устраиваясь на работу во взламываемую компанию, то сейчас мы можем сказать спасибо социальным сетям. Они значительно упростили и ускорили процесс сбора информации.
Прошерстив VK, Twitter, FB и Instagram своей цели, вы можете получить точную анкету человека с его номером телефона, почтой, именами родителей, друзей и прочими подробностями. И это всё бесплатно и добровольно – на, пользуйся, дорогой!
А если мошенники получат доступ к корпоративной почте одного из ваших сотрудников, спам рассылка грозит не только всем внутри компании, но и вашим клиентам. В другом случае, взломщики надолго выведут из строя компьютер работника, отправив какой-нибудь «отчёт» на почту.
Хакеры планируют атаки на тех, кто работает с ценной информацией – секретарей, менеджеров, бухгалтеров, HRов.
Поскольку восстановление документов, системы, сайта или получение паролей встанет вам в копеечку , нужно понимать, с чем мы имеем дело. Чтобы все эти «социальные инженеры» не смогли на вас нажиться, разберём одну из свежих вирусных схем.
«Шифровальщики»
Вирус шифровальщик распространяется через электронную почту под видом серьёзных документов: судебной повестки, счетов, запросов из налоговой. И чтобы не установить его себе, нужно смотреть в оба. Наши технические специалисты специально проанализировали один такой вирус, чтобы мы смогли показать, на что нужно обращать внимание:
Следим за руками этих фокусников:
- Угрожающий заголовок. «Notice to Appear in Court» означает «Повестка в суд». Ребята пытаются запугать и заставить пользователя открыть письмо.
- Адрес отправителя – [email protected]. Явно показывает, что перед нами не официальное письмо, а спамер/хакер.
- Архив письма. Там есть файл, который должен сразу насторожить (в имя файла входит.doc, но расширение js – вирус маскируется под вордовский документ)
Внимание! Если компьютер был заражен шифровальщиком, то с вероятностью 95% информация будет утеряна безвозвратно. После скачивания и запуска вредоносного файла происходит обращение к удаленному серверу, с которого скачивается вирусный код. Все данные на компьютере шифруются случайной последовательностью символов.
Для «раскодирования» файлов понадобится ключ, который есть только у хакера. Мошенник обещает расшифровать информацию обратно за энную сумму, но далеко не факт, что так и случится. А зачем? Куда проще оставить человека и без денег, и без данных: контрактов, актов, приказов, любой ценной и чувствительной информации. Так что делайте резервные копии особо важной документации, будете спать спокойней. В данной ситуации это ваша единственная 100% защита от вирусов.
Обращайте внимание на вышеописанные особенности, и вы сможете предупредить опасные случаи блокировки компьютеров и удаления важной информации. В любом случае, устранение последствий критических уязвимостей выйдет намного дороже, чем соблюдение предосторожностей.
Поэтому вот ещё 6 советов для обнаружения вирусов и предупреждения заражения:
1. Регулярно обновляйте операционную систему и программы. Важные обновления, которые по умолчанию устанавливаются автоматически, можно отключить. Но не стоит, так новые версии часто закрывают обнаруженные дыры в безопасности ПО.
2. Установите антивирус и регулярно обновляйте базу вирусов. Каждый день появляется 100 тысяч новых вирусов!
3. Включите отображение расширений файлов: Панель управления\Свойства папки\Вид\Дополнительные параметры, снимите флажок с параметра «Скрывать расширения для зарегистрированных типов файлов» и нажмите ОК. Так вы всегда будете видеть настоящее расширение файла. Чаще всего замаскированные вирусы выглядят так: имя_файла.doc.js и имя_файла.pdf.exe. Реальные расширения файлов это js и exe, а все что перед ними – часть имени файла.
4. Выполняйте резервное копирование важных файлов – рабочих документов и фотографий. Периодичность резервного копирования нужно выбирать в зависимости от периодичности изменения файлов. Для резервного хранения можно использовать облачный сервис, если он позволяет вернуться к старым версиям файлов и настроить ручную синхронизацию. Тогда, в случае заражения компьютера, вирус не попадёт в облако. Мы также рекомендуем хранить копию важных данных в архиве. Большинство вирусов не может проникнуть в архив, и вся архивированная информация восстанавливается после лечения компьютера.
5. Повышайте профессиональную грамотность своих специалистов! Как мы уже говорили, хакеры затачивают свои атаки под нашу психологию, и постоянно совершенствуют свои методики. Не думайте, что кликнет/загрузит/введёт свои данные кто угодно, кроме вашей компании и команды. Попасться может любой, задача состоит только в подборе нужного крючка к человеку. Поэтому обучайте своих сотрудников, хоть в индивидуальном, хоть в командном порядке, хоть в игровой форме, хоть как-нибудь!
6. Внимательно следите за письмами на почте, сообщениями в корпоративных мессенджерах и любой другой входящей информацией. Проверяйте почтовые адреса отправителей, вложенные файлы и содержание писем. Большинство вирусов нужно запустить вручную, чтобы они могли причинить вред компьютеру.
Мы очень надеемся, что вы читаете эту статью для предварительного ознакомления, а не потому что уже всё плохо. Мы желаем вам никогда не встретиться с тотальным неконтролируемым спамом, исчезнувшей документацией за полгода и прочими приятными последствиями пойманных вирусов. Следуйте вышеописанным шести шагам, смотрите в оба и да останется ваша информация конфиденциальной!
Особая разновидность сетевых вирусов. Для своего распространения почтовые вирусы используют возможности протоколов электронной почты. Они осуществляют пересылку своего тела по электронной почте в виде присоединенного файла. Когда пользователь открывает такой файл, вирус активируется, и выполняет заложенные в него функции. Из-за различных ошибок, присутствующих в клиентских почтовых программах (особенно Microsoft Outlook), файл вложения может запуститься автоматически, при открытии самого письма, например – вирус «I Love You». Для рассылки, вирус может использовать список адресов, хранящийся в адресной книге почтового клиента.
В целях маскировки распространители вирусов не редко пользуются тем фактом, что по умолчанию Проводник Microsoft Windows не отображает расширения зарегистрированных файлов. В результате, присоединенный к письму файл с именем, например, FreeCreditCard.txt.exe, будет показан пользователю как FreeCreditCard.txt. И если пользователь не проконтролирует внешние атрибуты файла, и попытается открыть его, то вредоносная программа будет запущена. Еще один широко используемый ход: включение в имя файла между именем и истинным разрешением 70 – 100 или более пробелов. Имя файла приобретает вид:
«Readme.txt .exe» ,
причем, Проводник Проводник Microsoft Windows, из-за недоработки разработчиков показывает только «Readme.txt» . В результате чего пользователь без всяких подозрений может попытаться открыть файл, и тем самым запустить вредоносную программу.
Кроме того, сообщения электронной почты часто приходят в виде документов HTML, которые могут включать ссылки на элементы управления ActiveX, апплеты Java и другие активные компоненты. При получении сообщения в формате HTML почтовый клиент показывает его содержимое в своем окне. Если сообщение содержит вредоносные активные компоненты, они сразу же запускаются и делают свое черное дело. Чаще всего таким способом распространяются троянские программы и сетевые черви.
Macro – вирусы.
Macro-вирусы (или скриптовые вирусы) используют возможности макроязыков, встроенных в различные операционные системы и средства обработки информации (текстовые редакторы, электронные таблицы, финансовые системы и т.п.). Сегодня широко известны подобные вирусы для приложений пакета MSOffice, так же известны случаи появления macro-вирусов для пакета 1С. Вирусы для ОС Windows, написанные на VISUAL BASIC, так же можно считать разновидностью macro-вирусов.
Отличительной особенностью macro-вирусов является следующее:
Тело вируса представляет собой текстовый файл, содержащий команды и данные macro-языка;
Macro-вирус может активизироваться только в среде, где функционирует интерпретатор данного macro-языка;
Тело macro-вируса, как правило, помещается внутри файла документа, предназначенного для обработки в программном пакете, имеющем в своем составе соответствующий интерпретатор macro-языка;
Тело вируса, при заражении программы, как правило, сохраняется в программе вместе с настройками пользователя (н-р, шаблон normal.dot редактора MSWord), либо с дополнительными подгружаемыми модулями.
Запущенные из зараженного документа macro-вирусы захватывают управление при открытии заражённого файла, перехватывают некоторые файловые функции, и затем заражают файлы, к которым происходит обращение. Macro-вирусы способны «жить» не только на отдельных компьютерах, но и взаимодействовать с сетью, если подобные функции реализованы в среде, в которой обрабатывается зараженный документ.
Среда «жизни» macro-вирусов так же имеет внешние признаки заражения. Например, один из симптомов заражения программы MSWord – отсутствует возможность сохранять файлы с помощью команды «Сохранить как…». Или, если в меню «Сервис» вы не можете войти в пункт «Макрос» – это тоже признак заражения.
Так как, макровирусы под MSWord были наиболее популярны, то остановимся на них подробнее.
Во первых, необходимо помнить, что весь пакет программ MS Office состоит из макросов. Любое действие, совершаемое с документом, выполняется при помощи макроса. Например: печать документа – «FilePrint », сохранение файла – «FileSave », сохранение документа в другом файле – «FileSaveAs ».
Для автоматического запуска макроса из шаблона при том или ином событии макрос должен иметь одно из следующих имен:
- AutoExec – Запускается при старте MSWord или загрузке глобального шаблона
- AutoNew – Запускается при создании нового документа
- AutoOpen – Запускается при открытии документа
- AutoClose – Запускается при закрытии документа
- AutoExit – Запускается при выходе из Word или при закрытии глобального шаблона.
В принципе, выполнение таких макросов можно отменить, нажав клавишу Shift при выполнении описанных выше действий.
Кроме того, создатели Microsoft Office облегчили задачу злоумышленников тем, что ввели возможность подменять команды MSWord макросами пользователя. Таким образом, если в загруженном документе есть макрос с именем, например, «FileOpen », то он будет исполняться каждый раз при открытии другого документа. То есть, макровирус, имеющий соответствующее имя, будет запускаться вместо соответствующего встроенного макроса редактора.
При заражении MSWord макровирусы сохраняют свое тело в шаблоне Normal.dot , но могут существовать так же другие шаблоны, подгружаемые при запуске редактора, и содержащие макровирусы. Для этого в редакторе используется параметр настройки «Автозагружаемые» доступный пользователю из меню: Сервис/ Параметры/ Расположение .
В принципе, MSWord сам в состоянии контролировать процесс загрузки макросов при открытии документа. Для этого необходимо выставить уровень безопасности в меню: Сервис \Макрос \Безопасность . Уровень безопасности MSWord управляется ключом реестра, например: MSWord 2000, управляется ключом: HKEY_CURRENT_USER \Software \Microsoft \Office \9.0 \Word \Security , для более поздних версий редактора «9.0» необходимо заменить на «10.0», «11.0», и т.п. Значения ключа, соответственно: 1, 2, 3 и более. 1 – самый низкий уровень безопасности, позволяющий запускать любой макрос без уведомления пользователя. Любой макрос, исполненный под Win 9x, или под ОС Win 2000, Win XP, Win Vista под пользователем с правами администратора, способен изменить значение ключа на 1 , и пользователь после этого будет не в состоянии отследить последующие загрузки макровирусов.
215.Файловые вирусы поражают:
файлы табличного процессора
Исполнимые файлы
служебные области на диске
216.Макровирусы поражают
Служебные области диска
Программы, имеющие язык макрокоманд
исполнимые файлы
217.Вирусы бомбы характеризуются тем, что
поражают исполнимые файлы
не обнаруживаются средствами ОС
Не имеют фазы размножения
не имеют постоянного кода
поражают загрузочные файлы
218 Стелс – вирусы - это программы, которые…
поражают текстовые файлы
уничтожают служебные области на диске
беспокоят неожиданными сообщениями
Нельзя увидеть средствами ОС
поражают исполнимые файлы
219 Разрушительные вирусы уничтожают
исполнимые файлы
Служебные области на жестком диске
текстовые файлы
Файлы табличного процессора
графические файлы
220 Программы, получившие название Троянские кони относятся к
файловым вирусам
макровирусам
безвредным программам
221 .Вирус-это
программа, поражающая только системные файлы
Программа, способная выполнять несанкционированные действия на ЭВМ
программа, уничтожающая только загрузочные файлы
программа, беспокоящая неожиданными сообщениями
программа, скрывающая файлы
223 Заражению компьютерными вирусами могут подвергнуться
все ответы верны
Программы и документы
видеофайлы
звуковые файлы
графические файлы
понятие физической структуры жесткого диска не входит
224 Вирус в компьютере может появится
при решении математической задачи
при подключении к компьютеру модема
самопроизвольно
при архивировании данных
Переместится с гибкого диска
225 Заражению компьютерными вирусами могут подвернуться
все ответы верны
Программы и документы
звуковые файлы
графические файлы
видеофайлы
226 Компьютерными вирусами является…
Специальная программа небольшого размера которая может приписывать себя к другим программам, она обладает способностью «размножаться»
программа проверки и лечения дисков
программа дефрагментация дисков
любая программа, созданная на языках низкого уровня
программа сканирования с плохо отформатированной дискеты
227 Программы получившие названия «Троянские кони» относятся к:
безвредным программам
файловым вирусам
Вредоносным кодам
макровирусам
228. Компьютер может заразиться вирусом при:
Работе с «зараженной программой»
форматировании дискеты
запуске антивирусной программы
тестировании компьютера
перезагрузке компьютера
229 Указать несуществующий тип вируса
Установочные вирусы
загрузочные вирусы
макровирусы
вирусы – спутники
файловые вирусы.
230 Вирусы поражающие файлы с расширением com. exe
файловые вирусы
установочные вирусы
Загрузочные вирусы
макровирусы
вирусы DIR
231 Программа ревизор обнаруживает вирусы…
периодически проверят все имеющие на диске файлы
контролирует важные функции компьютера и пути возможного заражения
отслеживает изменения загрузочных секторов дисков
При открытии файла подсчитывает контрольные суммы и сравнивает их с данными хранящимися в базе данных
по дате заражения вирусов
232 Указать несуществующий вид программ для защиты от вирусов
Программы отсеиватели
программы ревизоры
программы фильтры
программы детекторы
доктора ревизоры
233 Загрузочные вирусы
Поражает системные области жестких и гибких дисков.
всегда изменяет код заражаемого файла;
поражает файлы;
всегда меняет начало файла;
меняет начало и длину файла.
234 Назначение антивирусных программ под названием детекторы
обнаружение и уничтожение вирусов;
контроль возможных путей распространения компьютерных вирусов;
Обнаружение компьютерных вирусов;
“излечение” зараженных файлов;
уничтожение зараженных файлов.
235 Укажите программы которые не относятся к антивирусным
Программы сканирования
программы детекторы
программы фаги
программы ревизоры
все ответы верны
236 Заражение «почтовым» вирусом происходит …
При подключении к веб-серверу, зараженному «почтовым» вирусом
При открытии зараженного файла, присланного с письмом по е-mail
При работе в сети Интернет
При подключении к почтовому серверу
При получении с письмом присланном по е-mail, зараженного файла
