В прятки с мистером Бондом

Андрей Семенюченко

Спецвыпуск: Хакер, номер #070, стр. 070-046-2

Интересным фактом стало появление интернет-червя ZippedFiles, разновидность которого скрывалась от антивирусов благодаря тому, что тело червя было сжато утилитой компрессии Neolite. На тот момент ни один антивирус не поддерживал формат сжатия Neolite (кстати сказать, использование таких пакеров – исторический метод, поскольку одно время их было много, а антивирусы распаковывали только PKZip и LZExe. – Прим. Лозовского). Чуть позже появились первые бестелесные черви, создавшие серьезные проблемы разработчикам антивирусных программ благодаря тому, что в процессе работы такие черви существуют исключительно в системной памяти, а передаются на другие компьютеры в виде специальных пакетных данных. Антивирусным разработчикам пришлось существенно дополнять стандартный антивирусный монитор, работа которого была основана на перехвате именно файловых операций.

[появление новых угроз]

Несмотря на то, что, казалось бы, компьютерные зловреды довольно сильно продвинулись в эволюционном развитии к концу XX века, тем не менее, в начале нового века появляются все более изощренные технологии. Это связано, в первую очередь, с тем, что написание вредоносных программ превратилось в прибыльный бизнес. Давай попробуем ответить на вопрос, кто создавал вирусы раньше, а кто — сейчас?

Если раньше вирусы писали в основном одиночки с целью позабавиться, потешить собственное эго, попробовать свои силы, то сейчас это чаще всего высоко организованные хакерские группы, преследующие четкие цели. Их не интересует банальное издевательство или совершение деструктивных действий на компьютере жертве (если только за это не платят :)). Они лишь зарабатывают деньги любым доступным способом — легальным или нелегальным. И таких способов, кстати, в интернете предостаточно. Это и рассылка спама, и фишинг, и компьютерный шпионаж, и создание бот-сетей.

Но у авторов вредоносных программ всегда была одна большая проблема, связанная с невозможностью длительного сохранения присутствия стороннего кода в системе, незаметной как для пользователя, так и для антивирусных средств. Решение этой проблемы воплощено в создании целого класса вредоносных программ: руткитов, полиморфных вирусов, невидимых IM-червей, вирусов, скрывающихся в стримах ntfs и многих других.

[технологии руткитов]

Считается, что в среде UNIX вредоносные программы пока не получили такого распространения, как в Windows, однако именно оттуда пришел термин rootkit, который сейчас часто используется для обозначения stealth-технологий, применяемых авторами троянских программ под Windows.