Как происходит заражение почтовым вирусом при открытии зараженного файла
На этот вопрос можно дать очень простой ответ: "Всему виной Интернет". Так или иначе компьютерные вирусы попадают на компьютер пользователя посредством так называемой глобальной сети — либо вместе с электронным письмом, либо когда сам пользователь скачивает некоторый файл, содер жащий вирус, и потом запускает его на своем компьютере или несет на дискете на компьютер друга, коллеги.
Давайте разберемся подробнее, как же на самом деле все происходит и чего следует в первую очередь опасаться.
Вариант первый — зараженная дискета. При этом заражение может проис ходить как при открытии содержимого дискеты (например, вирус VBS . Redlof ), так и при открытии файла, например, зараженного макровирусом. Дискеты все реже используются в качестве загрузочных, но вариант заражения в момент загрузки с дискеты нельзя полностью исключить, т. к. забытая дискета в дисководе в момент запуска компьютера несет в себе потенциальную опасность. Если на ней имеется загрузочный вирус, тогда он загружается в память компьютера при первом же обращении к ней, при этом он может успеть заразить зафузочную область жесткого диска. То же самое относится и к жестким дискам, подключаемым к компьютеру, а также компакт-дискам. Наиболее полную защиту от подобной ситуации дают анти вирусные мониторы, блокирующие доступ к зараженному диску или файлу. Вариант второй — электронная почта. При этом заражение может происхо дить либо при запуске файла, вложенного в письмо и содержащего про- фаммный код вируса, либо при просмотре письма, когда вирус запускается автоматически, используя так называемые "дыры" (ошибки в программе), позволяющие подобный запуск. Самую большую гарантию безопасности при этом могут дать антивирусные мониторы или специальные модули, специализирующиеся на проверке поступающей почты.
Вариант третий — скачивание файлов. При этом практически любой скаченный вами файл может быть заражен компьютерным вирусом, поэтому прежде чем любой из них использовать (распаковывать, запускать), следует проверить их антивирусным сканером, хотя в большинстве случаев можно положиться на программу-монитор.
Рассылка спама с вредоносными вложениями — довольно популярный способ распространения малвари и заражения компьютеров пользователей в интернете. По данным разных антивирусных компаний, доля писем с вредоносными вложениями составляет от 3 до 5 процентов от общего объема спам-трафика, то есть как минимум каждое тридцатое письмо в потоке спам-рассылок несет в себе вредоносный сюрприз.
Несмотря на то что Россия (сюрприз!) не входит в число лидеров по количеству заражений компьютеров таким способом (тройку лидеров традиционно составляют США, Германия и Англия), мы считаем, будет нелишним узнать, что же заставляет многих пользователей в разных уголках планеты щелкать указателем мыши на вложениях в письмах от незнакомых отправителей. Поехали!
ЗЛОЕ ПИСЬМО
Адрес отправителя (поле From)
Первое, о чем следует позаботиться злоумышленнику, рассылающему вредоносный спам, — от чьего лица будет вестись рассылка. Послания от имени частных лиц (если не брать в расчет рассылку со взломанного почтового аккаунта по адресной книге) в этом деле не очень эффективны, поэтому в ход идут различные компании, организации и даже некоторые органы судебной или исполнительной власти.
В последнее время особенной популярностью пользуются международные службы доставки (DHL, FedEx, United Parcel Service (UPS) или TNT). Если помнишь, именно так, под видом отчета о доставке от FedEx или UPS, распространялся
Cryptolocker.
Проблему с адресом отправителя в поле From: (От:) злодеи решают несколькими способами:
Тема письма (поле Subject)
Тема письма должна привлекать внимание получателя и побуждать его открыть письмо. Естественно, она должна соответствовать роду деятельности конторы, от имени которой письмо отправлено.
Если рассылка ведется, к примеру, от имени службы доставки, то наиболее популярными темами писем будут:
Для нашей страны более характерны рассылки от имени разных государственных органов, и в этом случае злоумышленники выбирают соответствующие темы, например «Судебное постановление» (от имени Федеральной службы судебных приставов) или «Квитанция на оплату штрафа за нарушение ПДД» (от чьего имени шлют письма с такой темой, я думаю, ты догадался).
Письмо от «судебных приставов»
Текст письма и оформление
Для придания правдоподобности письмам злоумышленники очень активно используют логотипы компаний, под именем которых они работают, контактные данные и прочую информацию. Чтобы не только убедить получателя в правдивости письма, но и подтолкнуть его открыть вложение, могут использоваться уведомления об ошибках при доставке отправлений (неправильный адрес получателя, отсутствие получателя и подобное), просьбы совершить какие-либо действия с указанием возможных санкций в случае их невыполнения или фразы с указанием того, что находится во вложении (например, «акт сверки», «транспортная накладная» или «счет на оплату»).
Помимо этого, очень часто в ход идут различные типовые словосочетания, характерные для официальных рассылок (что-нибудь вроде please do not reply to this email или this is automatically generated email).
ВИДЫ ВРЕДОНОСНЫХ ВЛОЖЕНИЙ
Вложение в виде исполняемого файла
Несмотря на то что большинство почтовых серверов уже давно не пропускают через себя исполняемые файлы, такой тип вредоносных вложений еще иногда встречается. Как правило, такой файл маскируется под какой-нибудь безобидный документ (doc или PDF) или картинку.
При этом в файл прописывается соответствующая иконка, а сам файл именуется, к примеру, «накладная.pdf.exe» (при этом расширение exe очень часто отделяется от имени файла большим количеством пробелов, чтобы его не было сильно видно).
Вложения с запароленным архивом
Запароленный архив позволяет обойти все антивирусные проверки на почтовых серверах, межсетевые экраны и сканеры безопасности. Сам вредоносный файл, как и в первом случае, маскируется под что-нибудь безобидное. Самое главное в этом случае — побудить получателя ввести указанный в письме пароль, разархивировать вложение и открыть его.
Вложение в виде документа с эксплойтом или вредоносным VBA-скриптом
Такое письмо сможет преодолеть запрет на пересылку исполняемых файлов, а во многих случаях и антивирусную проверку на почтовых серверах (особенно если эксплойт свежий).
Наиболее часто используются уязвимости:
•Adobe Acrobat reader (CVE-2013-0640,CVE-2012-0775);
•Adobe Flash Player (CVE-2012-1535);
•MS Office (CVE-2012-0158, CVE-2011-1269, CVE-2010-3333, CVE-2009-3129).
Помимо эксплойтов, в качестве вредоносных вложений могут использоваться документы MS Office с вредоносными макросами на VBA (да-да, встречаются еще люди, у которых выполнение макросов в Word’е не запрещено, да и антивирусы далеко не всегда реагируют на такие скрипты).
Вложенные HTML-документы
К письму прикладывается HTML-документ с кодом, реализующим drive-by-атаку. Этот способ позволяет во многих случаях обойти антивирусные фильтры почтовых серверов, а также запреты, блокирующие переходы через iframe.
Пример кода вредоносного HTML-вложения под видом электронного авиабилета в письме якобы от British AirwaysХАКЕР
Гиперссылки в тексте письма
В таких письмах вложения, как правило, отсутствуют, а сам текст письма содержит несколько ссылок, ведущих на один и тот же ресурс, на котором либо лежит связка эксплойтов, либо производится редирект на другой вредоносный ресурс. Все эти ссылки маскируются под ссылки на приличные и безопасные сайты либо под простой текст.
ЗАКЛЮЧЕНИЕ
Несмотря ни на что, спам-рассылки по-прежнему остаются очень эффективным способом распространения вредоносного кода. И можно предположить, что по мере сокращения количества уязвимостей в софте и в железе этот способ будет использоваться все чаще и чаще, приобретая все более изощренные формы, чтобы проэксплуатировать самую главную уязвимость любой информационной системы — ее пользователя.
Вредоносный код, встроенный во вложенный в электронное письмо документ – это реальность. И это актуальная угроза.
Это испытанный прием. Пытается ли злоумышленник добавить в ботнет как можно больше компьютеров, пробует ли достать информацию из корпоративной сети при помощи целенаправленной APT-атаки или же хочет завладеть вашим банковским счетом через троян — во всех случаях вредоносные вложения были и остаются самым востребованным способом атаки в течение многих лет. Пользователи компьютеров хорошо знают о том, что открывать файлы Word, PDF, изображения и прочие типы документов, присланные с незнакомых и подозрительных адресов, которые могут выглядеть совсем безобидно, может быть весьма опасно. Кроме того, вся антивирусная индустрия, а также веб-разработки, почтовые сервисы — все направлено на внедрение новых технологий борьбы с зараженными вложениями. И все это происходит одновременно с тем, что производители программного обеспечения выпускают крайне эффективные патчи, устраняющие многие уязвимости.
И несмотря на это, бесчисленное количество компьютеров по всему миру ежедневно заражается, когда пользователи открывают полученные по почте вложенные документы. Как так получается, что все усилия умнейших людей планеты и вся индустрия высоких технологий оказываются бессильными перед кучкой злоумышленников, которые к тому же не организованы в группы?
В целом причина довольно проста. Нападающие, многие из которых работают либо поодиночке, либо небольшими группами, имеют специально разработанные инструменты, позволяющие эффективно работать. В то же время создатели браузеров, почтовых сервисов и прочие технологические гиганты намного инертнее, как и любая крупная компания со множеством бюрократических барьеров. Но мы не можем винить во всем только бизнес, так как большинство пользователей осознанно отказываются от установки обновлений, а многие открывают вложения в сомнительные письма, хотя и не должны этого делать.
Отдадим должное нападающим — они не так глупы. Они внимательно смотрят за реакцией компаний на свои действия, делают выводы и оперативно изменяют тактику нападений. Они собирают разведданные на людей, которые являются целью их атаки, через социальные сети и прочие ресурсы, где те могут засветиться. Затем шлют им письма, в которых упоминают некоторые факты, повышающие доверие к отправителю.
Например, последнее обновление безопасности от Microsoft исправило уязвимость Internet Explorer, но не исправило одну из известных уязвимостей нулевого дня в MS Office. Пользуясь этим, злоумышленники могут рассылать вредоносные документы, используя зараженные вложения. Конечно, если нападающий использует инструменты, которые знает ваш антивирус, то вы в безопасности. Но он способен оперативно изменить опознаваемые части кода или инструмент атаки, чтобы нанести свой удар, оставаясь в невидимости для антивирусов.
Не буду слишком хвалить злоумышленников. В конце концов, хорошие парни всегда лучше плохих, хотя и более медленные. Хорошие парни неплохо зарабатывают, имеют социальную защиту, им не нужно опасаться тюрьмы. Поэтому они спокойно изучают работу плохих парней, равно как и плохие парни тоже изучают работу хороших.
Ниже приведены наиболее распространенные случаи заражения устройств вредоносными программами.
Письма со спамом
Авторы вредоносных программ часто пытаются обманным умыслом скачать вредоносные файлы. Это может быть письмо с вложенным файлом, который описывается как уведомление о доставке, возврат налогового платежа или счет по купленному билету. В письме может быть сказано, что необходимо открыть вложение, чтобы получить отправление или деньги.
Если вы откроете вложение, то на ваш компьютер будет установлена вредоносная программа.
Иногда вредоносное письмо легко заметить: в нем может быть орфографические и грамматические ошибки, или оно может быть отправлено с незнакомого электронного адреса. Тем не менее, эти письма могут выглядеть и так, будто их отправила настоящая компания или знакомый вам человек. Некоторые вредоносные программы могут взламывать учетные записи электронной почты и использовать их для отправки вредоносной нежелательной почты на все адреса, найденные в списке контактов.
Чтобы снизить вероятность заражения устройства:
Если вы не уверены, что знаете отправителя, или что-то кажется подозрительным, не открывайте письмо.
Дополнительные сведения см. в статье Защита от фишинга.
В Microsoft OneDrive встроена система защиты от атак программ-шантажистов. Дополнительные данные см. в этой теме.
Вредоносные Office макрос
Microsoft Office включает в себя мощный язык сценариев, позволяющий разработчикам создавать дополнительные инструменты, которые помогут вам работать продуктивнее. К сожалению, злоумышленники также могут использовать этот язык для создания вредоносных сценариев, которые устанавливают вредоносные программы или делают другие плохие вещи.
Если вы откроете файл Office и увидите такое уведомление:
не в enable that content unless you're certain you know exactly what it does, even if the file appears to come from someone you trust.
Предупреждение: Злоумышленники могут сообщить вам о том, что с вас будут взиматься плата за службу, на которую вы никогда не подписаны. Когда вы свяжитесь с ним, чтобы сообщить вам, что для отмены службы вам нужно просто скачать Excel файл, который они предоставляют, и упростят некоторые сведения. Если скачать и открыть файл, Excel вы увидите предупреждение выше. Если выбрать включить содержимое, запустится вредоносный макрос и заражает вашу систему.
Ни одна законная компания никогда не задаст вам Office, чтобы отменить службу. Если кто-то попросит вас, просто повесь трубку. Это мошенническое решение, и вам не нужно отменять службу.
Дополнительные информацию о том, как управлять запуском макроса на устройстве, см. в Office файлах.
Зараженные съемные носители
Многие вредоносные программы распространяются, заражая съемные носители, такие как USB-устройства флэш-памяти или внешние жесткие диски. Вредоносная программа может автоматически установиться при подключении зараженного носителя к компьютеру.
Ниже приведены рекомендации, которые помогут защититься от этого типа заражения.
Во-первых, необходимо очень осторожно относиться к USB-устройствам, которые вам не принадлежат. Если вы нашли USB-устройство, которое предположительно было утеряно или выброшено, не подключайте его к компьютеру с важными данными. Иногда злоумышленники намеренно оставляют зараженные USB-устройства в общественных местах, рассчитывая, что кто-нибудь их найдет и подключит к компьютеру.
Совет: Это называется "USB-drop attack".
Если не подключать это устройство, вы не сможете заразить компьютер. Если вы обнаружили, что USB-накопитель просто затерялся, посмотрите, есть ли ближайший регистратор или потерянный и найденный, что его можно сдать.
Во-вторых, если вы подключили неизвестное съемное устройство к компьютеру, незамедлительно выполните его сканирование.
Вместе с другим программным обеспечением
Некоторые вредоносные программы могут устанавливаться одновременно с другими скачанными программами. К таким программам относится программное обеспечение со сторонних веб-сайтов или файлы, передаваемые через одноранговые сети.
Кроме того, некоторые программы могут устанавливать другое ПО, которое Майкрософт определяет как потенциально нежелательные программы. К такому ПО могут относиться панели инструментов или программы, отображающие дополнительную рекламу при просмотре веб-страниц. Как правило, вы можете отказаться от установки такого дополнительного программного обеспечения, сняв флажок в процессе установки. Безопасность Windows защитить вас от потенциально нежелательных приложений. Дополнительные сведения см. в статье Защита компьютера от потенциально нежелательных приложений.
Программы для генерирования программных ключей (генераторы ключей) часто параллельно устанавливают вредоносные программы. Средства обеспечения безопасности Майкрософт обнаруживают вредоносные программы на более чем половине компьютеров с установленными генераторами ключей.
Чтобы избежать установки вредоносных программ или потенциально нежелательных программ, выполните следующее.
Скачивайте программное обеспечение только с официального веб-сайта его поставщика.
Внимательно читайте информацию об устанавливаемом программном обеспечении, прежде чем нажимать кнопку "ОК".
Взломанные или скомпрометированные веб-страницы
Вредоносные программы могут использовать известные программные уязвимости для заражения компьютера. Уязвимость — это брешь в программном обеспечении, через которую вредоносные программы могут получить доступ к компьютеру.
При попытке перейти на веб-сайт он может попытаться использовать уязвимости в веб-браузере, чтобы заражать компьютер вредоносными программами. Это может быть вредоносный веб-сайт или обычный веб-сайт, который был взломан или скомпрометирован.
Именно поэтому очень важно поддерживать все программное обеспечение, особенно веб-браузер, в актуальном состоянии и удалять не используемую программу. К ним относятся неиспользованые расширения браузера.
Таким образом вы можете снизить вероятность получения вредоносных программ с помощью современного браузера, например Microsoft Edge ирегулярно обновляя его.
Совет: Не хотите обновлять браузер, так как открыто слишком много вкладок? Все современные браузеры снова откроют вкладки после обновления.
Другие вредоносные программы
Некоторые типы вредоносных программ могут загружать на компьютер другие угрозы. После установки этих угроз на компьютере они продолжат загружать дополнительные угрозы.
Лучший способ защиты от вредоносных программ и потенциально нежелательного программного обеспечения — это последние обновления в режиме реального времени, такие как антивирусная программа в Microsoft Defender.
Читайте также: