Get best of the week

计算机病毒:从无害的家庭间谍到银行卡窃贼的故事



免责声明:本文是为提供信息和教育目的而写的,并不声称是“技术”成分的高水平。本文中提供的图表本质上不是促销性的。

计算机病毒的历史已有近40年的历史了。最早的一种病毒是针对Apple计算机开发的(但随后并未导致Apple计算机的大量感染)。这发生在1981年,被称为“先驱”麋鹿克洛纳(Elk Cloner)(免费翻译为“驼鹿克隆”)。这种“摇摇欲坠”的危害非常小,但很烦人:每次启动时,受感染计算机的用户在屏幕上都看到一个有趣的押韵(但不是PC所有者的押韵),此后计算机又开始以正常模式工作。

Elk Cloner从软盘感染了计算机:从受感染的软盘启动,系统启动了该病毒的副本。他对计算机没有任何严重影响,因为该计算机是由美国小学生理查德·斯克伦特(Richard Skrent)出于娱乐目的而编写的。因此,如Apple II引导部门所规定的那样,Elk Cloner(更正确地称为笑话程序)为“引导病毒”的广泛类别奠定了基础。有趣的是,在网络上,您经常可以找到这样的说法:在OS X和iOS下没有病毒。因此,除了“麋鹿克隆”之外,还有“ Yabloko”软件的现代病毒,尽管必须承认它们比Windows和Android小几倍。

1986年,第一个运行MS DOS操作系统的PC常见病毒出现了,它被称为Brain(从英语翻译为“大脑”)。但是,这种病毒的开发者巴基斯坦兄弟Farouk Alvi不想伤害人们:他们写了Brain来保护他们编写的医疗程序免于未经许可的复制。

它的工作方式是这样的:如果检测到盗版程序,则该病毒会使磁盘软化一些,并且在与该程序进行交互时还会限制内存。有趣的是,“大脑”的创建者要注意的是,下载该大脑时,用户不仅会收到感染消息,而且还会收到承诺发送“治愈”消息的开发人员电话(当然,仍然没有常用的防病毒程序)。暂时,兄弟俩信守了诺言,但感染的病情如此之多,以至于可以说整个流行病:来自世界各地的用户开始攻击不幸的巴基斯坦号码,兄弟俩别无选择,只能关掉电话。因此,世界幸存了由计算机病毒引起的首个“大流行”。

什么是病毒?


自从出现以来,计算机病毒已经走了很长的路要走,现代恶意软件的工作原理比80年代和90年代的程序薄得多,检测起来也更加困难。在这方面,计算机病毒与生物病毒的“老兄”非常相似。如今,用户可能已经多年没有注意到计算机上正在运行一个程序,该程序要么悄悄地收集有关PC或其他电子设备的信息,要么强迫用户的计算机执行某些操作,或者掩盖其他危险性更高的程序的操作。这类程序的每种类型都有其自己的名称,它们旨在使攻击者实现各种雇佣目标。

蠕虫或蠕虫


最古老的病毒恰好是“蠕虫”。 1961年,美国贝尔实验室的员工发明了一款名为“达尔文”的游戏,其特征在于,一种类型的“有机物”必须捕获另一种类型的“有机物”,而其“有机体”可以捕获计算机的全部内存。正是这种无害的玩具构成了蠕虫程序原理的基础,该蠕虫程序捕获了计算机的磁盘空间以减慢速度,并在某些情况下完全瘫痪了其工作。

今天,一个特殊且最常见的组是网络蠕虫。利用网络软件中的漏洞,此类程序会自动从一台计算机移动到另一台计算机,从而感染了越来越多的PC。一些蠕虫可以从编译的词典中对密码进行分类,并破坏打开的邮箱和帐户,进一步传播,并独立地寻找新的受害者。蠕虫的创建者的目标可能有所不同,但大多数情况下,它们的发布是为了发送垃圾邮件或完全阻止竞争对手的计算机网络的工作。

木马或木马


就像古代木马躲在木马中进入达奈营地一样,这些病毒作为其他完全无害的程序的一部分渗透到计算机中,直到用户启动木马程序所隐藏的程序,它们的行为才比草皮下的水更安静。但是,随着程序可执行文件的启动,您将激活此危险的来宾,根据来宾的类型,该来宾将对您造成伤害:窃取信息,传播其他同样危险的病毒,损坏某些文件。除了极少数例外,木马不知道如何繁殖,但从损害的程度来看,它们比蠕虫要危险得多,并且可能对计算机所有者造成巨大损害。

Rootkits或Maskers


这些看似无害的程序的主要目标是隐藏其他恶意程序的活动和攻击者的活动。为此,Rootkit采取了多种技巧:它们改变操作系统的运行模式,安静地关闭或打开各种功能,而最先进的Rootkit甚至几乎无法察觉地阻止反病毒程序的运行,以使它们不会发现被Rootkit掩盖的电子害虫,甚至找不到人形的危险小人。在您的PC上翻腾。

僵尸或僵尸


在自然界中,有所谓的摄魂怪黄蜂,其毒物完全使蟑螂的意志瘫痪,使黄蜂隶属于它们的巢穴,然后在它们的卵中产卵-僵尸蟑螂成了小驴的食物。僵尸在虚拟世界中也很常见。此类僵尸病毒的行为就像黄蜂一样,迫使计算机系统执行命令(例如,对各种资源进行大规模攻击,发送垃圾邮件等)。同时,大多数PC所有者甚至都没有意识到他们的铁杆朋友被“僵尸化”并执行攻击者的命令。

间谍软件或间谍软件


间谍的主要任务是在所有者发送他的国家/地区窃取有价值的信息。同样,间谍软件会尝试窃取用户帐户的登录名和密码,其中很大一部分旨在向病毒创建者发送有关银行卡和帐户的信息,以向毫无戒心的用户发送信息。键盘记录程序

是一种特殊的间谍软件。(来自英语。键盘记录程序),即可以捕获键盘上字符输入并将这些输入的信息写入日志的程序,可以将这些日志直接发送到主机服务器。这样的程序几乎可以拦截任何输入信息-从网站上的登录名和密码到即时通讯程序和社交网络中的通信,包括键盘输入的总记录。键盘记录器是一种相当常见的间谍软件,不仅在黑客中,而且在监视“一半”或家庭成员的爱好者中也是如此。



广告软件或广告软件病毒


这样的病毒对计算机不是更有害,而是对用户更有害,因为突然广告开始出现在屏幕上,并且显示频率可能非常不同。我们遇到了每天同时包含广告的程序,并且感染了Adware的浏览器会不断更改起始页面或定期进入入侵者站点。

温洛克或阻滞剂


一种最不愉快的病毒类型,它通过出现无法重新启动就无法关闭的窗口的外观而使PC瘫痪。阻止程序显示有关用户需要执行的操作的信息,以便病毒创建者可以解锁其计算机。在100%的情况下,这是攻击者的付款数据,但花点时间汇款-没有人会为您解除锁定。

引导程序或引导病毒


引导程序与阻止程序明确地告知用户目标不同,而引导程序则安静地运行,这对PC所有者而言更加危险。在磁盘的启动扇区中注册时,启动工具包会悄悄地控制操作系统并获得对计算机主机个人信息的访问权限。因此,攻击者拥有用户帐户,查看所有对应信息,包括加密的信息(加密密钥,bootkit也知道如何窃取),甚至可以窃取文件。

最近的威胁


现代病毒不仅为PC编写,而且为运行Android,iOS和其他移动OS的设备编写。但是,它们的作用原理仍然相同,并且通常它们符合上述分类。

网络犯罪分子仍然利用一切机会伤害他人以谋取私利。因此,最近宣布的COVID-19大流行成为了攻击者寻求控制用户有价值数据的基础。因此,三月份启动了一个新应用程序,以世卫组织关于冠状病毒的应用程序为幌子窃取用户数据。通过启动它,木马被激活,木马开始收集有关用户帐户的信息并将其发送给其创建者。

还组织了几次对医疗设施的网络攻击-一些攻击者试图使医院的工作瘫痪,而其他攻击者(迷宫勒索软件计划的开发者)试图通过勒索赚钱,承诺在未能满足将来自一个研究中心的患者数据合并到网络中的实质性要求的情况下。勒索软件未收到任何款项,因此所有以前患者的数据都已公开。

在其他有趣的新闻中,我们注意到2020年3月26日,一名新的AMD GPU的源代码黑客绑架了他们。黑客在网络上出现了一则广告,指出如果找不到买家,他会在公共领域发布此信息。此外,还发现了一群开发了Milum引导程序的网络罪犯,该程序可为其所有者提供对受感染网站主机的完全访问权限。

带减号的传说


尽管事实上计算机病毒还不到半个世纪之久,但在如此短的时间内,它们已经能够发出良好的声音,并在世界各地的用户中屡屡引起恐惧。

计算机病毒的最早流行病之一可追溯到1988年,当时以其创造者Robert Morris命名的“大蠕虫”或Morris蠕虫开始在美国的Arpanet网络上行走。该蠕虫通过获取密码,将其副本泛滥到网络用户的计算机中,并以此方式感染了约6000台PC,造成了大约1亿美元的损失-在当时,尤其是对于计算机程序而言,是一笔巨大的数目。该病毒的创建者自愿承认了一切,因此他被判处3年缓刑和巨额罚款,并被送往社区服务。这是计算机欺诈的第一项惩罚。但是,莫里斯蠕虫的流行为计算机安全提供了很好的服务-计算机科学家认为,正是在“大蠕虫”攻击之后输入错误的密码后,暂停会很不错。在软件领域的多个成功项目之后,莫里斯本人​​并没有因此而迷失和创造。

1999年4月,虚拟世界了解到一种新的威胁-台湾CIH病毒,该病毒对于信息和操作系统来说是致命的,该病毒的另一个别名为:切尔诺贝利(于4月26日发射)。切尔诺贝利不仅破坏了用户硬盘上的文件,甚至破坏了预安装的BIOS,从而感染了全球约50万台PC。但是,在他的病毒大量传播之前,台湾学生陈因豪(他于2000年被捕,然后被释放)首先接受了猫的训练,并于1998年6月恶意感染了他本地大学的计算机,然后美国病毒不再受到该病毒的控制。电脑游戏发行服务器。后来发现,陈并没有计划任何坏事,而该病毒只是出于娱乐目的而创建的,大规模感染后,他非常担心,甚至向在切尔诺贝利受害最大的中国互联网用户道歉。

2000年5月,菲律宾ILOVEYOU病毒通过电子邮件进入了全球超过300万用户的计算机,但这并不是为了宣告爱情。毫无戒心的用户打开了附件,过了一会儿发现重要文件要么被破坏,要么无可救药地被破坏。同时,狡猾的ILOVEYOU伪装成文本程序(病毒文件具有双扩展名),因此识别它并不容易。这种“准入”造成的损失约为100亿美元-比任何其他计算机病毒都要多。

Backdoor.Win32.Sinowal引导程序是迄今为止运行时间最长的病毒之一。该引导病毒将被写入系统并在磁盘扇区级别对其进行控制。该病毒甚至会窃取加密密钥,并向开发人员发送个人数据以及用户帐户中的数据。尚无法从中计算出确切的损害,但是,鉴于防病毒程序多年来甚至无法检测到这种有害生物(Backdoor.Win32.Sinowal于2009年开发),因此用户损失可能高达数百万甚至数十亿美元。 。

使用Windows安全漏洞的最常见的网络蠕虫之一是Conficker(Config Ficker的英文-德文不太好,可以翻译为“具有配置”)。两个月后,该蠕虫感染了超过1200万台计算机。计算小人并不容易,因为创建者学会了快速更改威胁扩散的服务器。除了网络访问之外,该蠕虫还可能通过受感染的闪存驱动器渗透计算机。 Conficker给用户带来了很多不便:首先,它能够禁用更新和Windows Defender并阻止对防病毒软件站点的访问,这使得无法获取最新的病毒数据库。而且主要的不便之处是PC的严重速度降低:蠕虫将处理器100%加载,不能正常工作。此外,这种有害生物还组织了受感染计算机的网络攻击。

电子垃圾邮件之王Festi于2009年推出,每天通过25万个IP发送约25亿封电子邮件,占全球垃圾邮件总数的25%。为了使识别更加复杂,开发人员为他们的恶意软件提供了加密功能,因此使用防病毒程序进行基于签名的搜索变得无用,只有深度扫描才能提供帮助。当网站管理员为某人从其站点下载文件而收钱时,该病毒会通过安装付费代码(PPI)传播。

与大多数“兄弟”不同,Stuxnet病毒造成的损害不是破坏虚拟的,而是破坏实际的基础架构,渗透到数字控制系统中,并破坏工业和其他重要设施,例如发电厂和机场。人们认为Stuxnet是由美国人和以色列人开发的,目的是破坏伊朗的核计划,但不仅破坏了伊朗的设施。该蠕虫通过USB驱动器传播,可在运行各种Windows版本的计算机上运行。

Carbanak病毒成为银行家的噩梦,这在2014年对俄罗斯,美国,瑞士,荷兰,日本和乌克兰的银行造成了总计10亿美元的损失。 Carbanak行动缓慢但自信,首先从普通银行员工那里收集数据,然后通过投资电子邮件获得这些数据,然后渗透到高层并大量提取。从渗透到银行系统到成功取款,可能需要2到4个月的时间。

2017年5月出现的WannaCry阻止程序(意味着“我想哭”)已经有超过50万计算机用户在哭。这种勒索软件在俄罗斯,乌克兰和印度非常普遍,它对PC的内容进行加密,并在屏幕上显示信息,要求您解锁。通过PC的开放TCP端口渗透到系统中。蠕虫本身不会根据任何标准选择受害者,因此会使普通用户和各种机构的工作瘫痪。因此,WannaCry导致英国几家医院的重要手术延迟,并且移动运营商Megafon和俄罗斯内政部的在线活动一度陷入瘫痪。尽管蠕虫本身是“盲目的”,但WannaCry可以被黑客故意使用:例如,在同一蠕虫的帮助下,2017年同一时间,在Sberbank的网络基础架构上发起了黑客攻击,但该银行的安全服务成功将其击退。

有趣的是,该阻止程序并非从零开始编写的:WannaCry是 Eternal Blue 修改版本,Eternal Blue是为满足美国国家安全局(NSA)的需要而编写的病毒。美国人指责朝鲜的特殊服务传播病毒,俄罗斯政府有信心美国的特殊服务助长了WannaCry的传播,而微软则使用了更加简化的语言并称“来自不同国家的特殊服务”。

如何不用病毒感染计算机?


我们来

看看船长的标题:)首先,您需要注意可靠的防火墙,防病毒和反间谍程序的可用性(后者在检测和清除间谍软件和广告软件类别的病毒方面更有效)。也有针对浏览器的内置防病毒解决方案,但我们认为不必说防病毒应实时与保护一起工作。

如果您的PC或电话上有重要文件(例​​如,用于工作),请不要忘记定期备份(“备份”),并且副本不应该存储在设备本身,而应该存储在外部驱动器或可靠的云存储中。理想情况下,应该通过端到端加密来保护它们,以便没有人甚至该存储库的所有者都无法访问您的文件。

在上网时要注意安全,不要养成不加思索地单击横幅和链接(尤其是电子邮件中的链接)的习惯,最好只单击100%确定的链接。相对最近(2014-2016年),盗窃Skype帐户的方法非常普遍:用户从联系人列表中的一个被黑帐户中收到一条消息,该消息仅包含一个链接。单击带有您的帐户的链接后,您可以说再见。

除其他外,广告拦截器正在积极与可能包含恶意代码的弹出窗口进行对抗,这也可以提供帮助。请记住要定期清理浏览器缓存-间谍软件和广告软件可能隐藏在这些文件中。

即使您确实愿意,也不要访问可疑站点。这些资源很可能包含恶意代码,网站所有者将使用这些恶意代码尝试在您的浏览器中安装间谍软件或其他恶意软件。特别值得注意的是所谓的网络钓鱼站点,即伪造站点。在界面上,它们看起来像真实的一对一,但是魔鬼一如既往地在细节中,在这种情况下,在域名中。例如,他们向您发送了一个知名社交网络站点的链接,但是,而不是正确的facebook.com上,将出现faceboook.com(是否有区别?)。注意力不集中的用户将进入这样的站点,并在此处输入用户名和密码,这对于攻击者而言是必需的,攻击者将可以在真实的Facebook上访问您的帐户。现在想象您在一个伪造的银行网站上输入了银行卡的详细信息,在该网站上有一笔可观的金额。通常,网络钓鱼方法会涉及数十种,但这是另一篇文章的主题。当然,阻止本身并不表示该站点是伪造和受感染的信号,但是许多被阻止的站点确实对用户构成了危险。

如果您在海盗旗下上网冲浪,请下载并安装被黑客入侵的付费程序时要小心:并非所有黑客都是利他主义者,并且过分地发布被黑客入侵的程序。因此,如果一个防病毒程序大声疾呼,请考虑一下该程序对您是否真的很重要,因为没有人可以自信地说此操作是错误的。不要从有问题的软件分发站点下载程序-它们通常会将间谍软件和其他软件放到安装程序(exe可执行文件)中。因此,最好的解决方案是直接在开发人员的网站上下载应用程序。

应该检查来自第三方来源的文件是否符合扩展名-例如,双扩展名几乎可以肯定表明我们有病毒程序,因此请不要忘记在Windows中启用扩展名的显示。另外,养成始终使用防病毒程序检查所有下载文件的习惯,并且不要打开不确定的文件。顺便说一句,您需要扫描插入式USB驱动器。



无害病毒-它也会发生


在计算机病毒的历史中,有有趣的无害程序的例子,这些程序从技术上讲是病毒,但对用户没有任何危害。因此,早在1997年,就开发了HPS病毒,该病毒的目的是临时更改可以上下颠倒显示或反映出来的图形bmp文件,但是,这可能会给较旧版本的Windows用户带来不便,因为它们是使用倍bmp图形。但是,HPS并没有造成任何实际损害,因此可以将其正确地称为无害漫画病毒。

“关怀”韦尔奇亚


Welchia蠕虫声称是历史上最有用的蠕虫:该程序在通过网络自动下载后于2003年出现,它检查了危险的网络蠕虫是否感染了PC(编写该程序是为了消除Blaster w32.blaster.worm蠕虫,也称为LoveSan),已将其删除。并且在自动模式下,尝试安装适用于Windows的更新,涵盖了网络漏洞。成功完成所有这些操作后,Welchia ...自行离职。没错,Welchia也并非一切顺利-事实是,在安装Windows更新后,该蠕虫发出了命令以强制PC重新启动。并且,如果此时用户正在处理一个重要的项目,但是没有设法保存文件,该用户又该如何处理呢?此外,为了修复某些漏洞,Welchia添加了其他漏洞-例如,将某些端口保持打开状态,然后可以用于网络攻击。

More articles:


All Articles