В работе рассматривается алгоритм действия вредоносного вируса Стиллер «(s)AINT», который прост в использовании и одновременно многофункционален. После запуска он копирует себя на жёсткий диск и собирает все данные, которые пользователи вводят с помощью клавиатуры, делает screenshots, а также фото с веб-камеры и становится опасным для всех пользователей зараженной машины. Последствия от воздействия данного вируса серьезны. В статье рассматриваются способы защиты от данного вируса.
Ключевые слова: вредоносный вирус, способ защиты, электронный ресурс, зараженный компьютер, Интернет.
Компьютерный вирус — это программа, способная создавать свои копии, внедрять их в различные объекты или ресурсы компьютерных систем, сетей и производить определенные действия без ведома пользователя.
Свое название компьютерный вирус получил за некоторое сходство с биологическим вирусом (например, в зараженной программе самовоспроизводится другая программа — вирус, а инфицированная программа может длительное время работать без ошибок, как в стадии инкубации).
Программа, внутри которой находится вирус, называется зараженной программой.
Когда инфицированная программа начинает работу, то сначала управление получает вирус. Вирус заражает другие программы, а также выполняет запланированные деструктивные действия. Для маскировки своих действий вирус активизируется не всегда, а лишь при выполнении определенных условий (истечение некоторого времени, выполнение определенного числа операций, наступления некоторой даты или дня недели и т. д.). [1]
После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится. Внешне зараженная программа может работать так же, как и обычная программа [2].
В мире распространяются тысячи самых различных вирусов, однако не все из них широко известны. Вирус становится известен только тогда, когда причиненный им ущерб достигнет определенной денежной величины. Несколько лет назад в Интернете начали появляться вирусы, разрушительные последствия которых исчислялись миллиардами долларов. Так образовался клуб вирусов-миллиардеров, в котором на данный момент их насчитывается около десятка. Все из них нанесли ущерб мировой экономике больше, чем на 1 млрд. долларов [3].
Актуальность представленной темы заключается в том, что незнание пользователями ПК, сотовых телефонов и других устройств, которые работают через Интернет, о наличии вируса Стиллер «(s)AINT»и способов защиты от него, может привести к серьезным последствиям, таким как разглашение конфиденциальной информации, снятие денежных средств с банковских счетов и др.
Цель работы — ознакомить всех желающих с общей информацией о стиллере «(s)AINT», рассказать о её назначении и опасности для пользователей.
Поставленная цель включает в себя несколько задач: изучить алгоритм действия стиллера «(s)AINT», апробировать действия стиллера «(s)AINT», выявить последствия действия стиллера «(s)AINT», изучить способы защиты от стиллеров.
Объектом исследования является технология стиллера «(s)AINT». Предметом исследования — тип вредоносного программного обеспечения (далее по тексту ПО) стиллера «(s)AINT», который находится на зараженном компьютере и собирает данные.
Методы исследования: поисковый, анализа и синтеза, обобщения и систематизации полученных данных.
В основе рабочей гипотезы лежит предположение о том, что победить вредоносный вирус «Стиллер» можно только в том случае, если овладеть полной информацией об алгоритме его действия и способах защиты от него.
Научная новизна исследования: вредоносный тип ПО Стиллер «(s)AINT» слабо изучен, легко конспирирует себя и этим самым наносит огромный вред пользователям ПК, мобильных устройств и другой технике, которая работает с помощью сети Интернет.
Практическая значимость исследования определяется возможностью использования материалов данной работы для защиты персонального компьютера (далее по тексту — ПК), мобильных телефонов и других устройств, которые работают с помощью сети интернет с целью их защиты их от вредоносных вирусов.
«Стиллер» — тип вредоносного ПО, который находится на зараженном компьютере и собирает данные, чтобы отправить его злоумышленнику для использования. Типичными целями поражения являются учетные данные, используемые в онлайн-банковских услугах, сайтах социальных сетей, электронной почте или FTP-счетах.
Стиллер «(s)AINT» представляет собой программный код, который служит для хищения паролей и прочих данных с компьютера. Раньше данные отправлялись на сниффер, но сейчас уже активно по Интернету распространены коды, которые отправляют похищенное на почту [4].
Info stealers могут использовать множество методов сбора данных. Наиболее распространенными из них являются:
– зависание браузеров (а иногда и других приложений) и кражи учетных данных, которые набираются пользователем;
– использование скриптов веб-инъекций, которые добавляют дополнительные поля в веб-формы и отправляют информацию от них на сервер, принадлежащий злоумышленнику;
– захват формы (поиск определенных открытых окон и похищение их содержимого);
– с помощью раскладки клавиатуры;
– кражи паролей, сохраненных в системе, и файлов cookie.
Современные похитители обычно являются частями бот-сетей.
Иногда цель атаки и связанные с ней события, настраиваются удаленно командой, отправленной с сервера Command and Control (C & C).
Полагаем целесообразным обратиться к истории возникновения стиллера «(s)AINT»
Возраст похитителей информации начался с выпуска ZeuS в 2006 году. Это был продвинутый троян, ориентированный на учетные данные онлайн-банковских услуг. После того, как код ZeuS просочился, многие его производные начали появляться и популяризировать этот тип вредоносного ПО.
В декабре 2008 года впервые была обнаружена аутентификация в социальных сетях, Koobface. «Стиллер» первоначально предназначался для пользователей популярных сетевых веб-сайтов, таких как Facebook, Skype, Yahoo Messenger, MySpace, Twitter и почтовых клиентов, таких как Gmail, Yahoo Mail и AOL Mail.
В настоящее время у большинства агентов ботнета есть некоторые особенности кражи информации, даже если это не главная их цель.
Думается, что для раскрытия Стиллер «(s)AINT» необходимо, прежде всего, рассмотреть виды «Стиллеров»
Информация похитителей обычно связана со следующими типами вредоносных программ, таких как:
– Загружатели / Trojan Droppers — вирус инфекционного компьютера, который подтверждает себя на помеченном компьютере, используя преимущества ненадежных параметров безопасности и незащищенной сети.
– Троян — вредоносная компьютерная программа, которая используется для заражения системы целевого компьютера, и приводит к вредоносной активности на нем. Как правило, такие программы используются для похищения личной информации, распространения других вирусов или просто нарушения производительности компьютера. Кроме того, хакеры могут использовать их для получения несанкционированного удаленного доступа к зараженным компьютерам, заражения файлов, и повреждения системы. Как только троянский конь попадает в компьютер, он начинает скрываться от жертвы. Трояны очень похожи на обычные вирусы, поэтому, их довольно трудно обнаружить.
– Ботнет — компьютерная сеть. состостоящая из некоторого количества хостов с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заряженного компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании (DoS- и DDoS-атаки). Боты, как таковые, не являются вирусами. Они представляют собой набор программного обеспечения, который может состоять из вирусов, брандмауэров, программ для удаленного управления компьютером. А также инструментов для скрытия от операционной системы.
– Keyloggers — програмное обеспечение или аппаратное устройство, регистрирующее различные действия пользователя — нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и т. д. Когда программа попадает на компьютер, то она начинает выполнять свои задачи в виде шпионских функций без ведома, участия и согласия человека. Стоит задать вопрос «Кейлоггер — что это такое?», как выясняется, что многие даже не представляют себе, чем же является подобная программа. И из этого следует тот печальный факт, что многие пользователи элементарно недооценивают их угрозу и делают это напрасно. Так как главная цель этих программ — это похитить и передать своему создателю логины и пароли учетных записей пользователя, кошельков, банковских приложений [5].
Они представлены семействами вредоносных программ, такими как:
– Зевс — троянская программа нового типа, разработана группой хакеров в 2007 году, и предназначенная для атаки серверов и перехвата данных. Ущерб от данной троянской программы огромный.
– Tinba — разрушает важные системные файлы, которые гарантируют бесперебойное функционирование ПК и препятствуют нормальной работе устройства. Он отключает работу всех установленных мер безопасности, включая антивирусные инструменты и брандмауэры Windows, и открывает бэкдоры для других интернет-угроз.
– CoreBot — группа банковских троянов, опасна прежде всего тем, что способна обходить защиту не только антивирусных программ, но и стандартные виды двухфакторной аутентификации. Самые известные из троянских программ, такие как Zeus или SpyEye, относятся к категории, называемой «автозалив». Эти вредоносные программы не просто похищают пароли и номера платежных карт. Они, вклиниваясь между пользователем и сайтом, к которому он обращается, могут переводить средства со счета клиента на подставные счета.
– Ботнет Нейтрино — компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера.
Значение вредоносных программных обеспечений
Раннее обнаружение имеет решающее значение для этих видов вредоносного ПО. Любая задержка в обнаружении этой угрозы может привести к тому, что важные учетные записи будут скомпрометированы.
Последствия очень серьезны для похищенных паролей, так как информация похитителей опасна для всех пользователей зараженной машины. Поэтому очень важно иметь защиту от вредоносных программ хорошего качества, которая не позволит установить вредоносное ПО.
Последствия от вредоносных стиллеров влекут за собой:
– нарушение конфиденциальности;
– утечку конфиденциальной информации;
– похищение денежных средств со счетов как граждан, так и банков и их перевод на счета похитителей.
Украденные учетные записи электронной почты могут использоваться в серверном направлении для отправки спама, а украденная учетная запись SSH может использоваться как прокси-сервер для атак, совершаемых кибер-преступниками.
Прежде всего, следует взять за привычку, соблюдать безопасность при посещении веб-сайтов и не открывать неизвестные вложения. Однако в некоторых случаях этого недостаточно. Наборы наложения могут все же устанавливать вредоносное ПО на уязвимую машину, даже без какого-либо взаимодействия. Именно поэтому важно иметь качественное антивирусное ПО.
Stealer «Saint» простой в использование и одновременно многофункциональный, после запуска он как обычный троян копирует себя на жёсткий диск и добавляет в автозагрузку после чего работает как key loger, то есть собирает все данные? которые вы вводите на клавиатуре, делает screenshots, а также фото с веб-камеры после чего отправляется на почту злоумышленника. Злоумышленник в дальнейшем разбирает всю информацию и выбирает самое необходимое. Saint, довольно специфичный stealer сразу по нескольким причинам:
– во-первых, его не видят антивирусы;
– во-вторых, этот stealer написан на java поэтому для его работы у жертвы должно быть установлено соответствующие ПО (java runtime). Все действия будут выполняться на операционной системе kalilinux.
Ниже рассмотрим алгоритм работы «Стиллеров»
Алгоритм работы «Стиллера»:
- Открываем проводник.
- Вводим команду-apt update, команда обновит репозитарии для того, чтобы можно было скачать только самые новые программы.
- Вводим команду- apt install и названия пакетов (maven default-jdk default-jre openjdk-8-jdk openjdk-8-jre zlib1g-dev libncurses5-dev lib32z1 lib32ncurses5 -y).
- Копируем команду -git clone https://github.com/tiagorlampert/sAINT.git.
- Переходим в каталог Saint-cd sAINT.
- Вводим команду-chmod +x configure.sh.
- Вводим команду-./configure.sh.
- Нажимаем Enter и запускаем скрипт, который скачает все необходимые файлы. Благодаря этому мы сможем быстро собрать stealer в соответствии с нашей конфигурацией. Build Success обозначает, что всё скомпилировалось успешно. Далее отчищаем экран командой clear. Приступаем к сборке самого стиллера.
- Вводим команду-java -jar sAINT.jar. Нас приветствует окно сборщика sAINT.
Disclaimer
THIS SOFTWARE IS PROVIDED «AS IS» WITHOUT WARRANTY OF ANY KIND. YOU MAY USE THIS SOFTWARE AT YOUR OWN RISK. THE USE IS COMPLETE RESPONSIBILITY OF THE END-USER. THE DEVELOPERS ASSUME NO LIABILITY AND ARE NOT RESPONSIBLE FOR ANY MISUSE OR DAMAGE CAUSED BY THIS PROGRAM (ЭТО ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ПРЕДОСТАВЛЯЕТСЯ «ТАК КАК ЕСТЬ» БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ. ВЫ МОЖЕТЕ ИСПОЛЬЗОВАТЬ ЕГО НА СВОЙ СОБСТВЕННЫЙ РИСК. ИСПОЛЬЗОВАНИЕ — ПОЛНАЯ ОТВЕТСТВЕННОСТЬ КОНЕЧНОГО ПОЛЬЗОВАТЕЛЯ. РАЗРАБОТЧИКИ НЕ НЕСУТ ОТВЕТСТВЕННОСТЬ ЗА ЛЮБЫЕ НЕПРАВИЛЬНЫЕ ДЕЙСТВИЯ ИЛИ ПОВРЕЖДЕНИЯ, ВЫЗВАННЫЕ ЭТОЙ ПРОГРАММОЙ)
Рис. 1. Активация пакета Стиллера «SAINT»
Рис. 2. Главное меню стиллера «SAINT»
- Нажимаем Enter.
- Вводим свою электронную почту и пароль.
- Далее идёт пункт «Включить захват экрана?» Чтобы ответить да вводим-Y, а если отказываетесь вводим-N.
- «Включить захват изображения с веб-камеры?» Отвечаем «Y» или «N».
- «Включить сохранение?» Если ввести «Y», то стиллер пропишет себя в автозагрузку. Если необходимо провести одноразовый запуск стиллера, прописываем «N».
- «Хранить данные на компьютере?» Отвечаем «Y» или «N». Если соглашаемся все накопленные данные будут храниться на компьютере жертвы.
- «Введите число символов для отправки E-mail» Вводим то число символов, которое нам потребуется.
- Далее сверяем все данные, если всё устраивает вводим Y.
Рис. 3. Настройка функций стиллера «SAINT»
Так как Стиллер скомпилировался в формате java нам предлагают создать exe файл, жмём Y.
Стиллер готов.
Рис. 4. Готовый стиллер «SAINT»
Затем нужно скрыть стиллер, например, использовать метод bad USB или внедрить его в программу. В дальнейшем если жертва откроет программу, стиллер начнёт действовать самостоятельно.
Рис. 5. Вредоносный результат стиллера «SAINT»
Защита от «СТИЛЛЕРА»
Во-первых, никогда не следует открывать файлы из ненадёжных источников.
Во-вторых, следует установить хороший антивирус, но и он не всегда может помочь.
В-третьих, если всё-таки стиллер, запущен, запустите данный скрипт, который деактивирует «Стилеер» и уберёт из автозагрузки.
Скрипт деактивации стиллера:
В-четвёртых, если пользователь все-таки подозревает, что компьютер заражен кражей информации, он должен выполнить полную проверку системы с помощью автоматических средств защиты от вредоносных программ. Удаление вредоносного ПО недостаточно. Крайне важно немедленно изменить все пароли.
Резюмируя сказанное, можно сделать следующие выводы. В сети Сети-интернет мало информации о том, что такое «Стиллеры» и как ими пользоваться. Нужно помнить о том, что они создаются не просто так, ради забавы. Основной их целью является добыча полезной информации с компьютера жертвы для последующей продажи.
Создавать и использовать «Стиллер» определенно не стоит, так как за это могут привлечь к ответственности, в том числе и к уголовной. Нужно остерегаться «Стиллера», максимально защитив свой компьютер и не качать файлы с неизвестных источников.
Литература:
1. Савицкий А. Опрос: Самая непонятная киберугроза. Лаборатория Касперского (10февраля 2014). // Электронный ресурс / https://www.kaspersky.ru/blog/opros-samaya-neponyatnaya-kiberugroza/2960/ (дата обращения 12.12.2018)
2. Коэн Ф. Компьютерные вирусы — теория и эксперименты. Архивная копия от 30 сентября 2007 // // wikiplanet.click›enciclopedia (дата обращения 12.12.2018)
3. Боровко Р. Экономический ущерб от вирусов. Рынок информационной безопасности 2003 // Электронный ресурс / http://www.cnews.ru/reviews/free/security/part1/eco_loss.shtml (дата обращения 12.12.2018)
4. Электронный ресурс // http://fb.ru/article/408968/chto-takoe-stiller-i-kak-zaschitit-sebya-ot-nego (дата обращения 12.12.18)
5. Электронный ресурс // http://fb.ru/article/310372/keylogger-chto-eto-takoe-tseli-primeneniya-kak-ot-nego-zaschititsya-klaviaturnyiy-shpion (дата обращения 13.12.2018)
