Валентин Холмогоров - PRO вирусы. Версия 4.0

Поддельные сайты

Этот транспорт, которым пользуются злоумышленники для распространения вредоносных программ, также можно условно отнести к категории фишинга.

В Интернете чрезвычайно распространены всевозможные сайты файлового обмена и торренты, с которых можно скачать полезные программы, игры и музыку, а также сайты из разряда «Вопрос — ответ», где пользователи могут разместить запрос о поиске какой-либо программы и получить соответствующую ссылку. Злоумышленники не гнушаются подделывать такие сайты, размещая там ссылки на вредоносные приложения.

Например, пользователю нужно переконвертировать снятый портативной видеокамерой клип из формата. MOV в другой формат, скажем,AVI. Он вводит соответствующий запрос на сайте поисковой системы и получает ссылку на страничку, где другой пользователь уже задавал похожий вопрос: «Всем привет! Моя камера сохраняет видео в формате mov, а мне нужно записать ее на диск в avi. Как это делается?». И тут же получает ответ: «Для этого тебе нужна специальная программа-конвертер, вот ссылка. Я тоже долго искал такую и нашел — там все просто! Не благодари!».

Сайт, на котором опубликован этот диалог, вроде бы, известный и надежный (в действительности злоумышленники создали его копию-двойник), поэтому потенциальная жертва с радостью нажимает на предложенную ссылку… И машина в считаные секунды оказывается заражена троянской программой.

Бесплатные и взломанные приложения

Как известно, бесплатный сыр бывает только в мышеловке, да и то — исключительно для последней по счету мыши. В Интернете распространяется множество различных бесплатных программ. Однако истинных альтруистов среди их разработчиков не так уж и много, программистам тоже хочется есть, поэтому в комплекте с некоторыми бесплатными приложениями часто идут различные «коммерческие» дополнения, от установки которых, впрочем, как правило, можно отказаться, сбросив соответствующие флажки на этапе принятия лицензионного соглашения. Однако лицензионные соглашения обычно никто никогда не читает, поэтому вместе с нужным приложением на компьютер иногда инсталлируется и несколько нежелательных утилит. Этим пользуются многочисленные «партнерские программы», позволяющие разработчикам монетизировать свои бесплатные приложения. Так, в частности, распространяются рекламные троянцы. Достаточно невнимательно прочитать условия использования бесплатной программы или игры, и на экран вашего компьютера отовсюду будут выпрыгивать назойливые рекламные объявления.

Весьма распространенным способом внедрения на компьютер опасного, нежелательного и откровенно вредоносного ПО являются взломанные версии платных коммерческих приложений, распространяемых через торренты и файлообменные ресурсы. Троянцами зачастую оказываются и всевозможные «лекарства» для взлома коммерческого ПО — различные «кряки», «кейгены», «активаторы» и прочие пиратские утилиты.

Известны случаи распространения троянцев даже под видом музыки, видео и книг в популярных форматах, в частности FB2 — внутри скачанного архива вместо нового бестселлера известного писателя вполне может оказаться опасный исполняемый файл.

Системы TDS

В целях максимального охвата потенциальной аудитории злоумышленники используют всевозможные системы управления трафиком ( TDS, Trafc Distribution Systems ). С их помощью осуществляются автоматические перенаправления пользователей (редиректы) на различные вредоносные ресурсы в зависимости от заданных киберпреступником условий. Например, встроенный злоумышленниками в веб-сайт TDS-сценарий может определить по IP-адресу географическое местоположение посетителя, и пользователя из России отправить на русскоязычную страницу, с которой ему будет предложено скачать вредоносную программу под видом популярной игры, а иностранного посетителя — на англоязычную версию этого же сайта.

Определив версию браузера, TDS-скрипт автоматически перенаправит пользователя на страницу, содержащую эксплойт конкретно для его версии Opera, Firefox или Chrome. Наконец, по параметру User Agent, определяющему тип клиентского приложения, пользователи «настольной» версии Windows будут автоматически перенаправлены на страницу с троянцем для этой системы, пользователи мобильных устройств под управлением Android — на страницу загрузки мобильной вредоносной программы, пользователи Apple — на сайт, с которого можно скачать троянца для macOS. Иными словами, TDS позволяют заразить максимальное количество посетителей какого-либо вредоносного сайта, не потеряв привлеченный на него трафик впустую. К слову, комплекты скриптов для реализации TDS являются весьма популярным и востребованным товаром на всевозможных подпольных форумах.