Комп’ютерні віруси – загроза яку ти недооцінюєш

Leave a Comment | Кібербезпека |

Комп’ютерний вірус — це тип шкідливого програмного забезпечення, здатний самовідтворюватися, вбудовуватися в легітимні файли і поширюватися з одного комп’ютера на інший без відома користувача. Подібно до біологічних вірусів, він не може існувати самостійно і потребує “хост-програми” для функціонування.

Віруси були створені як технічні експерименти в 1980-х роках. На відміну від перших вірусів, сучасні можуть завдати серйозної шкоди, від знищення особистих даних до зупинки роботи великих підприємств і цілих галузей, тому розуміння їх принципів роботи є важливою складовою цифрової безпеки.

🛡️ 1.Типи комп’ютерних вірусів і принципи їх роботи 🛡️

Комп’ютерні віруси, як і біологічні, еволюціонували та спеціалізувалися на різних “жертвах” і методах атаки. Сьогодні кіберзлочинці використовують цілий арсенал шкідливого ПЗ — від простих рекламних надокучливостей до витончених програм-вимагачів, здатних паралізувати цілі корпорації.

Щоб ефективно захищатися, потрібно знати свого ворога в обличчя. Давайте розглянемо основні типи цифрових загроз, як вони проникають у систему і яку небезпеку становлять — від найбільш руйнівних до просто дратівливих. Кожен з них має свої особливості, симптоми зараження та методи боротьби.

🔒Ransomware (Програми-вимагачі)

Блокують доступ до ваших файлів, шифруючи їх, і вимагають викуп за розшифрування. Часто призводять до повної втрати даних та значних фінансових збитків для компаній та окремих користувачів.

  • WannaCry — у 2017 році заразив понад 200,000 комп’ютерів у 150 країнах, завдавши збитків на мільярди доларів
  • NotPetya — спочатку націлений на Україну, але швидко поширився світом, спричинивши збитки понад 10 мільярдів доларів
  • Ryuk — відомий атаками на організації охорони здоров’я, включаючи лікарні під час пандемії COVID-19
  • Conti — сучасне програмне забезпечення з подвійним вимаганням, яке спершу викрадає дані, а потім шифрує їх
🐴Трояни

Маскуються під корисне програмне забезпечення, але насправді надають хакерам віддалений доступ до вашого комп’ютера. Можуть красти конфіденційну інформацію, встановлювати інші віруси та використовувати ваш комп’ютер для незаконної діяльності.

  • Zeus (Zbot) — банківський троян, який викрав мільйони доларів, перехоплюючи банківські облікові дані
  • Emotet — спочатку банківський троян, що еволюціонував у платформу доставки іншого шкідливого ПЗ
  • DarkComet RAT — популярний інструмент віддаленого доступу, який використовувався для шпигунства та крадіжки даних
  • Trickbot — модульний банківський троян, часто використовується як перший етап для розгортання програм-вимагачів
⚙️Rootkits / Bootkits

Забезпечують глибоке проникнення в систему, ховаючи свою присутність та інше шкідливе ПЗ від антивірусів. Надзвичайно складні для виявлення та видалення, оскільки працюють на найнижчому рівні системи.

  • Sony BMG rootkit — скандальний випадок, коли легітимна компанія встановлювала rootkit на комп’ютери через музичні CD
  • Stuxnet — складний руткіт, що був використаний для атаки на іранські ядерні об’єкти
  • TDL/Alureon — сімейство руткітів, які змінюють головний завантажувальний запис для приховування від антивірусів
  • Grayfish — надзвичайно складний буткіт, пов’язаний з групою APT Equation Group
🚪Бекдори (Backdoors)

Створюють “чорний хід” у системі, дозволяючи зловмисникам обходити звичайні механізми аутентифікації та отримувати неавторизований доступ до системи у будь-який час. Часто використовуються для створення постійного доступу після першого зараження.

  • Back Orifice — один з найстаріших і найвідоміших бекдорів для Windows
  • NetBus — бекдор, що став відомим через використання для шпигунства
  • SolarWinds бекдор — використаний у гучній атаці на постачальників 2020 року через оновлення програмного забезпечення SolarWinds Orion
  • PlugX — розширений бекдор, часто використовуваний у цільових атаках, пов’язаних з китайськими APT-групами
👻Fileless Malware (Безфайлове шкідливе ПЗ)

Працює виключно в оперативній пам’яті комп’ютера, не створюючи файлів на жорсткому диску, що робить його майже невидимим для традиційних антивірусів. Може використовувати легітимні системні інструменти таких як PowerShell, для проведення атак.

  • Back Orifice — один з найстаріших і найвідоміших бекдорів для Windows
  • NetBus — бекдор, що став відомим через використання для шпигунства
  • SolarWinds бекдор — використаний у гучній атаці на постачальників 2020 року через оновлення програмного забезпечення SolarWinds Orion
  • PlugX — розширений бекдор, часто використовуваний у цільових атаках, пов’язаних з китайськими APT-групами
👁️Spyware (Шпигунське ПЗ)

Збирає інформацію про користувача без його відома — паролі, дані кредитних карток, історію переглядів, повідомлення. Може фіксувати натискання клавіш, робити скріншоти та навіть активувати мікрофон і камеру.

  • Pegasus — надзвичайно витончене шпигунське ПЗ для мобільних пристроїв, розроблене NSO Group, використовувалося проти журналістів та активістів
  • KeyLogger Pro — записує натискання клавіш для крадіжки паролів та іншої конфіденційної інформації
  • FlexiSpy — шпигунське ПЗ для смартфонів, що перехоплює дзвінки, повідомлення та може активувати мікрофон
  • StealthGenie — мобільне шпигунське ПЗ, творці якого були притягнуті до відповідальності за його розробку та продаж
🐛Хробаки (Worms)

Самостійно поширюються мережею без участі користувача, швидко заражаючи велику кількість пристроїв. Споживають мережевий трафік і системні ресурси, що призводить до сповільнення роботи мереж або їх повного виходу з ладу.

  • ILOVEYOU — один з найбільш руйнівних комп’ютерних хробаків, заразив мільйони комп’ютерів у 2000 році через електронну пошту
  • Conficker — заразив мільйони комп’ютерів у понад 190 країнах, створивши один з найбільших ботнетів
  • Slammer — у 2003 році викликав масові проблеми в інтернет-інфраструктурі, заразивши близько 75,000 серверів за 10 хвилин
  • Mirai — хробак для IoT-пристроїв, що створив величезний ботнет і здійснив масштабні DDoS-атаки на Dyn у 2016 році
🔄Поліморфні віруси

Постійно змінюють свій код при кожному зараженні, що ускладнює їх виявлення антивірусними програмами на основі сигнатур. Здатні еволюціонувати і адаптуватися до захисних механізмів.

  • Virlock — поліморфний файловий вірус, що також функціонує як програма-вимагач
  • Lexor — один з перших ефективних поліморфних вірусів, що використовував шифрування для зміни свого коду
  • Zmist — надзвичайно складний поліморфний вірус, що використовує метаморфні технології для зміни свого коду
  • Marburg — поліморфний вірус, що перезаписував свій власний код при кожному зараженні
💾MBR-віруси

Заражають головний завантажувальний запис (Master Boot Record) жорсткого диска, отримуючи контроль над системою до запуску операційної системи. Можуть повністю блокувати завантаження комп’ютера або приховано перехоплювати керування.

  • CIH (Чорнобиль) — знищував дані на жорсткому диску і намагався перезаписати BIOS
  • Nymaim — поєднував функції банківського трояна, програми-вимагача та буткіта
  • Sasser — спричинив масові збої в роботі комп’ютерів по всьому світу
  • Petya — шифрував MBR та вимагав викуп за його відновлення
Логічні бомби

Програмний код, який залишається неактивним до настання певних умов (дата, час, дія користувача), після чого активується і виконує шкідливі дії. Особливо небезпечні в корпоративному середовищі, оскільки можуть бути встановлені з легітимним доступом (наприклад, невдоволеними співробітниками)

  • Логічна бомба South Korean banks — у 2013 році стерла дані з тисяч комп’ютерів у південнокорейських банках
  • Логічна бомба Siemens — встановлена колишнім співробітником в 2016 році в програмне забезпечення Siemens
  • Злоякісні скрипти TSB Bank — спрацьовували за певних обставин, спричиняючи фінансові махінації
  • Michelangelo — спрацьовував щороку 6 березня, у день народження митця
📄Файлові віруси

Заражають виконувані файли (.exe) та активуються при їх запуску. Можуть пошкоджувати або видаляти файли, створювати нові проблеми, знижувати продуктивність системи та поширюватися на інші файли.

  • Jerusalem — один з перших файлових вірусів, що видаляв програми при їх запуску в п’ятницю 13-го
  • Cascade — спричиняв візуальний ефект “падіння” символів на екрані
  • Sality — один з найпоширеніших файлових вірусів, здатний до поліморфізму
  • Magistr — руйнівний вірус, що знищував дані на жорсткому диску і пошкоджував BIOS
🏠IoT-малвар

Атакує пристрої Інтернету речей (розумні камери, термостати, роутери), які часто мають слабкий захист. Використовує їх для створення ботнетів для DDoS-атак або як точку входу в корпоративні мережі.

  • Mirai — створив масивний ботнет з камер та інших IoT-пристроїв для проведення DDoS-атак
  • BrickerBot — “цеглував” (робив непрацездатними) незахищені IoT-пристрої
  • Reaper (IoTroop) — розвинув ідеї Mirai, додавши можливість експлуатації вразливостей
  • VPNFilter — заражав роутери та NAS-пристрої, дозволяючи перехоплювати трафік та ізолювати пристрої від інтернету
📱Мобільні віруси

Націлені на смартфони та планшети, можуть красти особисті дані, відстежувати місцезнаходження, підслуховувати розмови, отримувати доступ до банківських додатків і надсилати платні SMS без відома користувача.

  • Joker — проникав у Google Play Store в безлічі додатків, підписуючи користувачів на платні послуги
  • XHelper — Android-малвар, стійкий до видалення навіть після скидання до заводських налаштувань
  • Pegasus — високорозвинене шпигунське ПЗ для iOS та Android, що використовує кілька методів зараження
  • FluBot — розповсюджується через SMS-повідомлення, краде банківські облікові дані
📝Макровіруси

Написані на мовах макросів для офісних додатків (Word, Excel), активуються при відкритті заражених документів. Можуть поширюватися через електронну пошту, шифрувати документи або красти дані.

  • Melissa — один з перших поширених макровірусів, розповсюджувався електронною поштою
  • Concept — перший відомий макровірус для Microsoft Word
  • O97M/Y2K — активувався 1 січня 2000 року, пошкоджуючи системний реєстр
  • Emotet — сучасна загроза, яка часто використовує макроси Office для початкового зараження
⛏️Cryptojackers (Криптомайнери)

Непомітно використовують обчислювальні ресурси вашого пристрою для майнінгу криптовалют. Призводять до суттєвого сповільнення роботи, перегріву компонентів.

  • Coinhive — JavaScript-майнер, що впроваджувався на веб-сайти для майнінгу Monero у браузерах відвідувачів
  • Smominru — створив великий ботнет для майнінгу, заразивши понад 500,000 серверів
  • WannaMine — використовував вразливість EternalBlue (як і WannaCry) для поширення майнера криптовалют
  • Clipsa — поєднував функції криптомайнера та викрадача криптовалютних гаманців через заміну адрес у буфері обміну
📢Adware (Рекламне ПЗ)

Показує нав’язливу рекламу, змінює домашню сторінку браузера та результати пошуку. Хоча зазвичай не знищує дані, але може суттєво сповільнювати роботу пристрою, збирати інформацію про ваші онлайн-звички та створювати додаткові вразливості для інших видів атак.

  • Fireball — заразив понад 250 мільйонів комп’ютерів, змінюючи налаштування браузера та показуючи рекламу
  • Vonteera — блокував антивірусні веб-сайти, щоб запобігти видаленню
  • BrowseFox — змінював налаштування браузера та відслідковував поведінку користувача
  • DollarRevenue — показував спливаючу рекламу та встановлював додаткові компоненти без згоди користувача

🕵️ 2. Як розпізнати вірус: “симптоми” та методи виявлення

Ідентифікація ознак компрометації в системах різних класів

Виявлення наявності шкідливого програмного забезпечення в інформаційній системі вимагає системного аналізу низки аномалій у функціонуванні апаратного та програмного забезпечення. Раннє виявлення індикаторів компрометації (IoC) критично важливе для мінімізації потенційних збитків та запобігання повної компрометації системи. Нижче наведено комплексний огляд діагностичних ознак, які можуть свідчити про присутність шкідливого ПЗ в системі.

Аномалії продуктивності та споживання ресурсів

Деградація продуктивності системи

  • Суттєве зниження швидкодії під час виконання рутинних обчислювальних операцій
  • Аномально висока латентність відгуку інтерфейсу користувача
  • Неприродні затримки при запуску застосунків та виконанні стандартних системних функцій
  • Непропорційно висока утилізація ЦП при виконанні малоресурсоємних завдань

Аномалії апаратного функціонування

  • Підвищена активність системи охолодження (прискорена робота вентиляторів) за відсутності ресурсоємних процесів у передньому плані
  • Нехарактерний нагрів компонентів системи під час простою або виконання низькоінтенсивних обчислень
  • Підвищене енергоспоживання без очевидних тригерів користувацької активності
  • Швидкий розряд акумулятора у мобільних пристроях та ноутбуках
Аномалії системних процесів та компонентів

Підозрілі процеси у системному моніторі

  • Наявність процесів з нехарактерними або обфускованими іменами
  • Дублікати легітимних системних процесів (наприклад, svchost.exe або lsass.exe)
  • Процеси, які імітують стандартні системні компоненти з незначними відхиленнями в найменуванні (chrome_update.exe замість ChromeUpdater)
  • Запущені процеси з аномально високим пріоритетом виконання
  • Підозрілі батьківсько-дочірні взаємозв’язки між процесами

Модифікації системного реєстру та автозавантаження

  • Несанкціоновані модифікації ключів автозавантаження (Run та RunOnce)
  • Додавання нових сервісів у системний реєстр Windows
  • Зміни в налаштуваннях групових політик та планувальника завдань
  • Модифікації розширень виконуваних файлів у реєстрі
Аномалії файлової системи

Непояснені зміни у файловій системі

  • Несанкціоноване створення нових виконуваних файлів у системних директоріях
  • Зникнення або шифрування користувацьких файлів та документів
  • Модифікація атрибутів файлів (приховані, системні) без участі користувача
  • Поява файлів з подвійним розширенням (document.pdf.exe)
  • Раптове зростання розміру системних файлів журналювання

Аномалії у використанні дискового простору

  • Непропорційно швидке заповнення дискового простору без очевидної причини
  • Створення великих тимчасових файлів у прихованих директоріях
  • Накопичення криптографічних гаманців або майнінгових конфігураційних файлів
  • Зростання обсягу swap-файлу та файлу підкачки
Мережеві аномалії

Нехарактерна мережева активність

  • Підвищений мережевий трафік у періоди бездіяльності системи
  • Встановлення з’єднань з невідомими або підозрілими доменними іменами
  • Аномальна DNS-активність, особливо до динамічних DNS-провайдерів
  • Використання нестандартних портів для звичайних протоколів
  • Високий обсяг вихідного трафіку до нерелевантних географічних регіонів
  • Постійні DNS-запити до домену, навіть після отримання відповіді (DNS tunneling)

Індикатори компрометації у мережевих з’єднаннях

  • Наявність прихованих проксі-серверів або VPN-з’єднань, встановлених без відома користувача
  • Стабільні низькорівневі з’єднання з командними серверами (C2)
  • Аномальна активність на портах, що використовуються для зловмисної діяльності (IRC, Tor)
Аномалії в браузерному середовищі

Модифікації налаштувань браузера

  • Несанкціонована зміна стартової сторінки або пошукової системи за замовчуванням
  • Встановлення розширень браузера без авторизації користувача
  • Маніпуляції з налаштуваннями проксі-сервера для перехоплення трафіку
  • Інтеграція шкідливого JavaScript-коду у кеш браузера

Аномалії користувацького досвіду

  • Нав’язлива реклама, що з’являється поза контекстом переглянутих сторінок
  • Перенаправлення на фішингові сайти або ресурси з шкідливим вмістом
  • Заміна легітимних рекламних блоків на зловмисні (malvertising)
  • Модифікація відображення веб-сторінок для впровадження фішингових елементів
Спеціалізовані індикатори за типами шкідливого ПЗ

Індикатори присутності криптомайнерів

  • Аномально висока утилізація ЦП та/або GPU на тривалих інтервалах часу
  • Присутність специфічних процесів або служб, пов’язаних з криптовалютним майнінгом
  • Комунікація з відомими майнінг-пулами або використання майнінг-протоколів
  • Сталий високий рівень використання системних ресурсів, особливо в періоди неактивності

Індикатори присутності програм-вимагачів

  • Раптова зміна розширень у значної кількості файлів
  • Поява файлів з інструкціями щодо викупу (readme.txt, recovery.html)
  • Неможливість відкриття раніше доступних документів
  • Зміни в заставці екрану з повідомленням про шифрування

Індикатори присутності шпигунського ПЗ

  • Активація веб-камери без користувацького запиту (індикатор активності)
  • Нетипово великі файли журналів, потенційно містять keylogging-дані
  • Незвична затримка при введенні тексту через клавіатуру
  • Незрозумілі процеси з доступом до пристроїв введення
Спеціалізовані індикатори для мобільних пристроїв

Аномалії мобільних операційних систем

  • Надмірне споживання енергії акумулятора при вимкненому екрані
  • Перегрів пристрою в режимі очікування
  • Неможливість повного вимкнення пристрою або перезавантаження
  • Спонтанна активація екрану або застосунків без взаємодії

Аномалії поведінки мобільних застосунків

  • Надмірні запити на доступ до системних сервісів (контакти, повідомлення, локація)
  • Фонове виконання застосунків, які повинні працювати лише в активному режимі
  • Несанкціонована активація камери, мікрофону або GPS
  • Надсилання SMS-повідомлень на преміум-номери без відома користувача
metodologiya veryfikacziyi pidozr visual selection

Комбінація кількох індикаторів компрометації, значно підвищує ймовірність правильної ідентифікації шкідливого ПЗ в системі та дозволяє вжити своєчасних заходів для мінімізації потенційних наслідків інфікування.

🛡 3. Інструменти для перевірки пристроїв (комп’ютерів) на наявність шкідливого програмного забезпечення

🔸 Malwarebytes Free (Умовно безкоштовно)

Призначений для пошуку троянів, spyware, adware.

🔸 Microsoft Safety Scanner (безкоштовно)

Призначений для пошуку зловмисного програмного забезпечення на комп’ютерах Windows

🔸 Zemana AntiMalware Free (Умовно безкоштовно)

Призначений для пошуку майнерів, кейлогерів, та інших небажаних додатків

🔸Сканер AdwCleaner (Безкоштовно)

Призначений для очищення від реклами та різних тулбарів

🔸Сканер ESET Online Scanner (Безкоштовно)

Призначений для глибокої перевірки системи.

🔸 Сканер RogueKiller Free (Умовно безкоштовно)

Призначений для пошуку rootkits та cryptojackers

🔸Онлайн сканер VirusTotal (Безкоштовно)

Він призначений для перевірки файлів або сайтів онлайн, через вебінтерфейс

Важливо зазначити: Представлені інструменти забезпечують ефективний, але не абсолютний захист від кіберзагроз. Навіть найсучасніші антивірусні рішення характеризуються певним відсотком хибнопозитивних результатів сканування. Тому не всі об’єкти, позначені як потенційно небезпечні, обов’язково є шкідливим програмним забезпеченням.

Рекомендується проводити додаткову верифікацію виявлених загроз перед їх нейтралізацією, особливо у випадках системних або робочих файлів. Дані інструменти слід розглядати як ефективний перший рубіж захисту, що дозволяє ідентифікувати більшість загроз навіть користувачам без спеціалізованих знань у сфері кібербезпеки.

0 0 votes
Rating
guest
0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Scroll to Top