पेशेवर संरक्षकों द्वारा विकसित आधुनिक दुर्भावनापूर्ण प्रोग्राम जो कठोर संरचित आपराधिक प्रणालियों के हिस्से के रूप में काम करते हैं, अब आपको केवल एंटीवायरस स्थापित करके वायरस से खुद को बचाने की अनुमति नहीं देते हैं।
इस संबंध में, पिछले लेख में यह पहले ही कहा गया था कि उनकी कंपनियों में सूचना सुरक्षा के लिए जिम्मेदार तकनीकी विशेषज्ञ सॉफ्टवेयर उत्पादों और उनके घटकों का सही उपयोग करने में सक्षम होने चाहिए, और नए खतरों के मामले में - नए उत्पादों या उनके घटकों को खरीदने की आवश्यकता को उचित ठहराते हैं।
यह स्पष्ट करना आवश्यक है कि कुछ विक्रेताओं, और विशेष रूप से डॉक्टर वेब में, सूचना सुरक्षा उपकरणों की इतनी विस्तृत श्रृंखला की पेशकश क्यों की जाती है। क्या सभी अवसरों के लिए केवल कंपनी की इच्छा है? या एंटीवायरस सॉफ़्टवेयर डेवलपर्स अपने आधिकारिक कर्तव्यों द्वारा विभिन्न खतरों की वास्तविकता के बारे में थोड़ा और जानते हैं, और, ग्रीवांट्स के नायकों की तरह, एक अच्छा लक्ष्य प्राप्त करना चाहते हैं - अपने ग्राहकों की संपूर्ण सुरक्षा? आइए इसे जानने की कोशिश करें।
इस समय मैलवेयर क्रिएटर्स के लिए सबसे प्रमुख लक्ष्यों में से एक रिमोट बैंकिंग सिस्टम है, आइए इन खतरों पर अधिक विस्तार से विचार करें।
हम update.drweb.com पर जाते हैं और खोज में Carberp दर्ज करते हैं। केवल 2012-03-02 के लिए अपडेट (लेखन के समय तारीख):
Trojan.Carberp.14 (2) Trojan.Carberp.15 (7) Trojan.Carberp.194 Trojan.Carberp.195 Trojan.Carberp.196 Trojan.Carberp.197 Trojan.Carberp.198 Trojan.Carberp.199 Trojan.Carberp.199। 200 Trojan.Carberp.201 Trojan.Carberp.202 Trojan.Carberp.203 Trojan.Carberp.204 Trojan.Carberp.205 Trojan.Carberp.206 Trojan .Carberp.207 Trojan.Carberp.208 (14) Trojan.Carberp.209 ट्रोजन। .Carberp.210 Trojan.Carberp.211 Trojan.Carberp.213 Trojan.Carberp.215 Trojan.Carberp.216 Trojan.Carberp.217 Trojan.Carberp.218 Trojan.Carberp.219 Trojan.Carberp.219 Trojan.Carpp.219 .Carberp.221 Trojan.Carberp.222 Trojan.Carberp.224 Trojan.Carberp.225 Trojan.Carberp.226 Trojan.Carberp.227 Trojan.Carberp.228 Trojan.Carberp.229 Trojan.Carberp.230 Trojan.Carpp.230 .Carberp.232 Trojan.Carberp.233 Trojan.Carberp.234 Trojan.Carberp.236 Trojan.Carberp.237 Trojan.Carberp.237 Trojan.Carberp.238 Trojan.Carberp.239 Trojan.Carberp.240 Trojan.Carberp.240 Trojan.Carberp.240 .Carberp.242 Trojan.Carberp.243 Trojan.Carberp.244 Trojan.Carberp.245 Troj a.Carberp.246 Trojan.Carberp.247 Trojan.Carberp.248 Trojan.Carberp.249 Trojan.Carberp.250 Trojan.Carberp.251 Trojan.Carberp.252 Trojan.Carberp.253 Trojan.Carberp.254 Trojan.Carberp.254 Trojan.Carberp.254 Trojan.Carberp.256 Trojan.Carberp.257 Trojan.Carberp.258 Trojan.Carberp.259 Trojan.Carberp.260 Trojan.Carberp.261 Trojan.Carberp.262 Trojan.Carberp.263 Trojan.Carberp.264 Trojan.Carberp.264 ट्रोजन। Trojan.Carberp.266 Trojan.Carberp.267 Trojan.Carberp.29 (14) Trojan.Carberp.33 (10) Trojan.Carberp.45 (4) Trojan .Carberp.5 (3) Trojan.Carberp.60 (6)। ट्रोजन.कबरप ..61 ट्रोजन.कर्बर .80
जैसा कि आप जानते हैं, ट्रोजन.कार्बैप परिवार का उद्देश्य कंपनियों और व्यक्तियों के धन का गबन करना है। Trojan.Carberp को ब्लैक होल एक्सप्लॉइट किट का उपयोग करके वितरित किया जा रहा है, जो विशेष रूप से ब्राउज़रों और ऑपरेटिंग सिस्टमों में बग्स और आधुनिक सॉफ़्टवेयर की अनिर्दिष्ट सुविधाओं का फायदा उठाने वाली कमजोरियों का एक संग्रह है। ज्यादातर मामलों में, ब्लैक होल पीड़ित को "ट्रोजन प्राप्त करने" के लिए किसी भी तरह की कार्रवाई करने की आवश्यकता नहीं है: संक्रमित वेबसाइटों को ब्राउज़ करते समय संक्रमण स्वचालित रूप से होता है।
साइबर क्रिमिनल्स का एक संगठित समूह ट्रोजन के विकास और "संवर्धन" में शामिल है। करबरप: डेवलपर्स एक देश में स्थित हैं, जिनमें से सर्वर ट्रोजन सीधे फैलता है, दूसरे में, एक तिहाई में आयोजक।
फिलहाल, ट्रोजन के साथ स्थिति। कार्बरप, पिछले साल के विनलॉक के साथ स्थिति की याद दिलाता है - एंटीवायरस के नवीनतम संस्करणों पर पहले से परीक्षण किए गए नए संशोधनों को दैनिक रूप से जारी किया गया था। और, ज़ाहिर है, एंटीवायरस को उनके लिए एक नए प्रकार के खतरे को दूर करने के लिए समय की आवश्यकता थी। इसी समय, ट्रोजन.कार्बप ट्रोजन की तुलना में बहुत अधिक खतरनाक है। अनलॉक - अगर विनलॉक ने इसे काम नहीं करने दिया, ओएस तक पहुंच को अवरुद्ध किया, और एसएमएस भेजने की आवश्यकता हुई, तो ट्रोजन.कारबप का उद्देश्य सिस्टम में दीर्घकालिक कार्य करना है।
यदि आप स्वयं ट्रोजन.कारबर्प के उद्देश्य को देखते हैं, तो यह सीधे बैंकिंग सॉफ्टवेयर (दूरस्थ बैंकिंग सेवाओं) और ट्रेडिंग प्लेटफॉर्म से पासवर्ड चोरी करने का काम करता है, साथ ही अन्य कार्यक्रमों (ब्राउज़र, मैसेंजर, एफटीपी क्लाइंट, ईमेल क्लाइंट आदि) से पासवर्ड चोरी करता है। ) - इस प्रकार प्रसिद्ध ज़ीउस को याद करते हुए। इसके अलावा, Trojan.Carberp ऑर्डर द्वारा कार्यक्षमता भी लागू कर सकता है - एक्स्टेंसिबल आर्किटेक्चर के लिए धन्यवाद, यह ट्रोजन अन्य विनाशकारी क्रियाओं को करने के लिए विशेष अंतर्निहित ऐड-ऑन (प्लग इन) डाउनलोड करने की क्षमता रखता है।
सारांशित करते हुए, यह ध्यान दिया जा सकता है कि आधुनिक मैलवेयर:
1. निर्माण के समय, उन्हें अक्सर एंटीवायरस द्वारा पता नहीं लगाया जाता है - और, इसके अलावा, वे एंटीवायरस को हटाने का प्रयास कर रहे हैं।
2. मैलवेयर के क्षेत्र में नवीनतम घटनाओं का उपयोग करें। समान ट्रोजन.कारबपप रिमोट बैंकिंग सिस्टम के संचालन से संबंधित जानकारी को इंटरसेप्ट करने के लिए विभिन्न तरीकों का उपयोग करता है: उपयोगकर्ता कीस्ट्रोक्स लॉगिंग, क्रेडेंशियल की खोज में HTTP ट्रैफ़िक में wedging और स्क्रीन रूपों के संचरित मूल्यों, प्रक्रियाओं में बैंक-क्लाइंट सिस्टम प्रोग्राम एम्बेड करना, स्क्रीनशॉट बनाना महत्वपूर्ण जानकारी दर्ज करने के क्षणों में, व्यक्तिगत कार्यों को इंटरसेप्ट करना जो डेटा ट्रांसफर, सर्चिंग और सर्टिफिकेट और चाबियों को चोरी करने में भाग ले सकते हैं। ट्रोजन के सभी वेरिएंट वायरस पैकर्स द्वारा एन्क्रिप्ट किए गए हैं। आदेशों में से जो ट्रोजन.कारबैप को निष्पादित करने में सक्षम है, एक संक्रमित कंप्यूटर पर मनमानी फ़ाइलों को लॉन्च करने के निर्देश हैं, एक कमांड जिसे RDP प्रोटोकॉल का उपयोग करके दूरस्थ डेस्कटॉप सत्र सेट किया गया है, और यहां तक कि संक्रमित पीसी पर ऑपरेटिंग सिस्टम को हटा दिया गया है। इस प्रकार, किसी मौजूदा या समानांतर सत्र में रिमोट एक्सेस का उपयोग करके बैंक लेनदेन करना संभव है।
3. पूरी तरह से प्रणाली में नकाबपोश। ट्रोजन.कारबप, एक संक्रमित मशीन पर लॉन्च, नियंत्रण और निगरानी के साधनों से दूर होने के लिए कई कार्रवाई करता है। एक सफल प्रक्षेपण के बाद, ट्रोजन अन्य चल रहे अनुप्रयोगों में खुद को पेश करता है, और अपनी मुख्य प्रक्रिया को पूरा करता है, इस प्रकार, इसके सभी आगे का काम तीसरे पक्ष की प्रक्रियाओं के अंदर भागों में होता है, जो इसकी विशेषता संपत्ति है। किसी भी वायरस की उपस्थिति को मिथक के रूप में देखा जा सकता है।
4. आपस में प्रतिस्पर्धा करें - ट्रोजन में। कार्बरप में बैंकिंग ट्रोजन की "प्रतिस्पर्धा" के विनाश की संभावना है।
5. एक (या कई) कमांड सेंटर से प्रबंधित बॉटनेट के हिस्से के रूप में कार्य। इस प्रकार, एक संक्रमित मशीन या नेटवर्क भी संक्रमण के स्रोत के रूप में कार्य करता है।
6. रिमोट कंट्रोल की संभावना और प्लग-इन का उपयोग करने की संभावना के लिए धन्यवाद, बाहर से ऑर्डर करके किसी विशिष्ट कंपनी पर हमले का आयोजन करना संभव है। फिलहाल अधिकांश प्रसिद्ध बैंकिंग प्रणालियों के लिए प्लगइन्स के संस्करण हैं।
अगर कोई एंटीवायरस उपलब्ध है तो सिस्टम एडमिनिस्ट्रेटर इसका क्या जवाब दे सकता है? यदि यह केवल एक एंटीवायरस (या बल्कि, एक फ़ाइल मॉनिटर जो फ़ाइल गतिविधि को ट्रैक करता है) का उपयोग करता है, तो कुछ भी नहीं। हां, थोड़ी देर बाद एक नया संक्रमण मिल जाएगा, लेकिन इस समय के दौरान पैसा पहले से ही चला जाएगा।
लेकिन आधुनिक एंटीवायरस फाइल एंटीवायरस के बराबर नहीं है। इसमें एक्सेस प्रतिबंध प्रणाली भी शामिल है। उनकी मदद से, कर्मचारियों को केवल चयनित साइटों तक पहुंचने की अनुमति दी जा सकती है (याद रखें कि ट्रोजन.कार्बप को वित्तीय या लेखा जानकारी प्रकाशित करने के उद्देश्य से हैक की गई साइटों के माध्यम से वितरित किया जाता है)। एंटीवायरस में एक लिंक जाँच सुविधा है - इसका उपयोग करने की भी आवश्यकता है। एंटी-वायरस को कर्मचारियों को अपने आप पर सेटिंग्स बदलने की अनुमति नहीं देनी चाहिए क्योंकि "सब कुछ धीमा हो जाता है" - अर्थात, एक केंद्रीकृत प्रबंधन प्रणाली होनी चाहिए जिसके माध्यम से सेटिंग्स वितरित की जाएंगी।
सभी एंटीवायरस जल्द या बाद में एक नए संशोधन को पकड़ना शुरू कर देंगे, लेकिन कुछ पहले ऐसा करना शुरू कर देंगे, अन्य बाद में (जहां उनके वायरस विश्लेषक स्थित हैं)। इस संबंध में, रूसी संघ के एसटीओ बीआर (और बैंकों में कार्यान्वित) द्वारा कई एंटीवायरस का उपयोग करने के लिए अनुशंसित अच्छा अभ्यास है - फ़ाइल उपयोगकर्ता तक पहुंचने से पहले, इसे दो एंटीवायरस द्वारा जांचना आवश्यक है - उदाहरण के लिए, गेटवे और मेल सर्वर पर या मेल सर्वर पर और उपयोगकर्ता मशीन।
आधुनिक खतरे भी लिनक्स जैसे सिस्टम पर स्विच करने के लिए एक तर्क के रूप में काम करते हैं - फिलहाल इस ओएस के लिए बहुत कम वायरस बनाए गए हैं। हालांकि, ऑपरेटिंग सिस्टम को बदलना जिसके साथ बैंक के साथ संचालन किया जाएगा, समस्या का एक स्पष्ट समाधान नहीं है। तो, एंड्रॉइड प्लेटफॉर्म के लिए पहला बैंकिंग ट्रोजन पहले से मौजूद है - Android.SpyEye.1। Android.SpyEye.1 मैलवेयर के साथ संक्रमण का खतरा मुख्य रूप से उन उपयोगकर्ताओं के लिए होता है जिनके कंप्यूटर पहले से ही SpyEye Trojan से संक्रमित हैं। विभिन्न बैंकिंग साइटें जिनके पते ट्रोजन की कॉन्फ़िगरेशन फ़ाइल में मौजूद हैं, को एक्सेस करते समय, उपयोगकर्ता द्वारा देखे गए वेब पेज में विदेशी सामग्री को इंजेक्ट किया जाता है, जिसमें विभिन्न टेक्स्ट या वेब फॉर्म शामिल हो सकते हैं। इस प्रकार, एक असंतुष्ट पीड़ित बैंक के वेब पेज को डेस्कटॉप कंप्यूटर या लैपटॉप के ब्राउज़र में डाउनलोड करता है जिसमें उसका एक खाता होता है, और उसे एक संदेश मिलता है कि बैंक ने नए सुरक्षा उपाय किए हैं जिसके बिना उपयोगकर्ता उपयोग नहीं कर पाएगा बैंक-ग्राहक प्रणाली, साथ ही एक विशेष एप्लिकेशन को डाउनलोड करने की पेशकश भी है जिसमें एक ट्रोजन प्रोग्राम मोबाइल फोन पर है।
Android.SpyEye.1 मोबाइल डिवाइस पर डाउनलोड और इंस्टॉल करने के बाद, यह साइबर अपराधियों को आने वाले सभी एसएमएस संदेशों को इंटरसेप्ट करता है और भेजता है (वर्तमान में, एसएमएस भुगतान पुष्टि तकनीक को सबसे विश्वसनीय माना जाता है)। Android.SpyEye.1 मोबाइल डिवाइस मालिकों के लिए खतरनाक हो सकता है, क्योंकि यह वायरस लेखकों के हाथों में गोपनीय जानकारी स्थानांतरित कर सकता है।
अभ्यास से पता चलता है कि ज्यादातर कंपनियां वर्कस्टेशन के लिए केवल सुरक्षा प्रणाली और (कभी-कभी) फ़ाइल सर्वर खरीदती हैं। लेकिन सर्वर सिस्टम में दुर्भावनापूर्ण और अनुचित सामग्री को फ़िल्टर करने की अधिक क्षमता होती है!
अभ्यास से पता चलता है कि भुगतान न केवल लेखा विभाग में स्थित मशीनों से किया जा सकता है, बल्कि व्यक्तिगत होम पीसी से, साथ ही मोबाइल उपकरणों से भी किया जा सकता है। इस प्रकार, इस समय, आपको उन सभी मशीनों और मोबाइल उपकरणों की सुरक्षा करने की आवश्यकता है जो कंपनी के कर्मचारी एक तरह से या किसी अन्य के साथ काम कर रहे हैं (जो, वैसे, उनके लिए एक प्रकार का बोनस के रूप में सेवा कर सकता है)।
संक्षेप में:
1. मौजूदा खतरों से बचाने के लिए वास्तविक एंटीवायरस (फ़ाइल मॉनिटर) का उपयोग करना पर्याप्त नहीं है।
2. एंटी-वायरस प्रोटेक्शन सिस्टम का उपयोग (डॉक्टर वेब कंपनी के संदर्भ में - व्यापक सुरक्षा) संक्रमण के जोखिम को काफी कम कर सकता है - जिसमें एक एक्सेस डिस्ट्रीब्यूशन सिस्टम का उपयोग, सर्वर सिस्टम पर जांच आदि शामिल है।
3. विशेषज्ञ जो स्थानीय प्रणालियों की सुरक्षा के लिए ज़िम्मेदार हैं, उन्हें वास्तविक समय में वास्तविक समय के खतरों के लिए लचीले ढंग से प्रतिक्रिया करने में सक्षम होना चाहिए - और सिस्टम की उपलब्ध क्षमताओं का उपयोग कैसे करना है, यह जानना चाहिए कि आपको वास्तव में क्या खरीदने की ज़रूरत है, और प्रबंधन के साथ बहस करने के लिए किसी विशेष समाधान की आवश्यकता क्या है। उनके लिए अनिवार्य है।