Особенности киберпреступлений в России: инструменты нападения и защиты информации (Масалков) - страница 52
Другой скачанный «музыкальный» файл был детектирован как Backdoor.Win32.DarkKomet[43], представляющий собой вредоносную программу, предназначенную для удаленного управления или администрирования компьютера (рис. 2.12).
Рис. 2.12. Результат проверки файла на ресурсе virustotal.com
Данный вирус был распознан 59 из 66 антивирусных продуктов, и нужно упомянуть, что это очень древняя модификация вредоносной программы, поэтому она известна практически всем средствам безопасности.
При использовании целенаправленной атаки применяются вредоносные программы, не определяемые практически никакими средствами защиты, из-за того что их версии не внесены еще ни в одну базу. Не самый интересный пример, поэтому попробуем найти для демонстрации еще что-нибудь интересное.
Внесем в поиск программы DC++ слово «program», как будто нам нужно что-то из программ, и внесем слово «пираты», как будто мы хотим найти что-либо по этой тематике.
Поиск выдал список, содержащий программу с громким названием «[Program for hacking any Website] + Crack (RUS + Multi) working version (2017) — Download.exe» и файл «Пираты Карибского моря 5 HD 2017.exe».
Первое, что необходимо показать, — что не все антивирусные программы детектируют угрозу. Чтобы это продемонстрировать, мы, как и ранее, загрузим наш зловредный файл для анализа на ресурс https://www.virustotal.com.
После проведенного анализа видно, что 25 из 66 антивирусных систем распознали угрозу, хотя она даже на невооруженный глаз очевидна.
Здесь сознательно не будет приводиться список антивирусных продуктов, которые автоматически определили, а какие промолчали. Связано это не с тем, что какой-то продукт лучше, а какой-то хуже, это просто стечение обстоятельств, связанное с моментом попадания конкретного вредоносного продукта в базу антивирусной системы.
Так вот, загруженный файл [Program for hacking any Website] + Crack (RUS + Multi) working version (2017) — Download.exe, конечно, не является никакой утилитой для взлома сайтов, это обыкновенный бэкдор с броским названием файла.
Проверка файла «Пираты Карибского моря 5 HD 2017.exe» показала (рис. 2.13), что 59 из 66 антивирусных систем распознали бэкдор, но связано это лишь с тем, как оказалось, что компиляция его была осуществлена еще в июне 2012 года, то есть сам вредонос невероятно древний.
Рис. 2.13.Результат проверки файла на ресурсе virustotal.com
Рыбак, использующий этот образец программы для фишинга, просто меняет название файла, следуя статистике (рейтингу) поисковых запросов пользователей, даже не удосуживаясь переупаковать вредонос. Он, подобно старику, использует потрепанные сети, но все-таки является киберпреступником, использующим фишинг в надежде на то, что в сети может попасться золотая рыбка…