Исследование вредоносного программного обеспечения

Вредоносное программное обеспечение является неотъемлемой частью преступлений в сфере высоких технологий. Современные программы, используемые злоумышленниками, способны выполнять различные задачи, начиная от неправомерного копирования конфиденциальной информации и заканчивая организацией удаленного управления персональным компьютером.

Существующие антивирусные продукты дают только общее описание семейства вредоносных программ и не учитывают специфики отдельно взятого образца, что не позволяет определить конечную цель использования вредоносного ПО в вашей информационной системе. Так, например, три одинаково детектируемых антивирусом вредоносных файла могут быть нацелены на совершенно различные задачи: один — на хищение денег через систему интернет-банкинга (ДБО), другой — на копирование конфиденциальной информации, а третий — на организацию удаленного управления компьютером. Исследование вредоносного программного обеспечения позволяет определить его алгоритм, метод распространения и центры управления.

Анализ вредоносной программы, проводимый в Лаборатории Group-IB, открывает алгоритм ее работы и функционал, что позволяет понять основные цели, которые преследовали создатели ПО. Кроме этого криминалисты извлекают из тела вредоносной программы криминалистически значимые данные, такие как IP- и URL-адреса командных центров, которые могут сыграть роль важных улик в процессе расследования инцидента.

В ходе анализа вредоносного программного обеспечения специалисты выполняют следующие операции:

1. снятие защитных механизмов и обфускации исполняемого кода;
2. определение изменений, которые вносит вредоносная программа в операционную систему;
3. определение функциональных возможностей вредоносной программы;
4. выявление взаимосвязанных вредоносных модулей, их загрузка и анализ;
5. определение центров управления и методов коммуникации между ними и вредоносной программой;
6. корреляция информации с другими экземплярами вредоносного ПО.

Исследование вредоносного программного обеспечения производится как в виде независимого исследования, так и в виде судебной компьютерно-технической экспертизы. Все криминалистические исследования, включая судебные экспертизы, проводятся в соответствии с требованиями российского законодательства с учетом методических рекомендаций ведущих государственных экспертных учреждений страны и международных организаций и принимаются в качестве допустимых доказательств в российских и иностранных судах.