Открыть сервис

Хекман

Хекман — это семейство компьютерных вирусов-червей, получившее широкое распространение в 2000-х годах, преимущественно на территории России и стран СНГ. Вирус относится к классу массово распространяемых вредоносных программ, использующих для заражения сменные носители информации (в первую очередь, флеш-накопители) и сетевые ресурсы. Основная цель хекмана — скрытое внедрение в систему, кража конфиденциальных данных (логинов, паролей от онлайн-игр, банковских систем, почтовых сервисов) и установка дополнительного вредоносного ПО.

История

Первые упоминания о вирусе Heckman (также известного как Hackman, Hekman или Virut) относятся к 2004–2005 годам. В этот период в Рунете наблюдался всплеск активности троянских программ, нацеленных на кражу паролей от игр (Lineage, World of Warcraft, «Бойцовский клуб») и интернет-кошельков (WebMoney, Яндекс.Деньги). Хекман стал одним из первых вирусов, который массово использовал технологию полиморфизма — автоматического изменения своего кода при каждом запуске, что затрудняло его обнаружение антивирусными программами.

Пик активности хекмана пришёлся на 2006–2008 годы. По данным «Лаборатории Касперского», в 2007 году он входил в десятку самых распространённых угроз в России. Распространение происходило преимущественно через пиратские диски с играми и программами, а также через файлообменные сети (P2P). В 2009 году, после массового внедрения антивирусных решений и обновления сигнатурных баз, активность хекмана пошла на спад, однако его модификации продолжают встречаться вплоть до 2020-х годов.

Классификация

Хекман относится к нескольким категориям вредоносного ПО одновременно:

  • Червь (Worm) — способен к самостоятельному распространению по сети и через сменные носители.
  • Троян (Trojan) — маскируется под легитимные файлы (например, «autorun.inf», «setup.exe»).
  • Бэкдор (Backdoor) — после заражения открывает удалённый доступ к системе для злоумышленника.
  • Инфостилер (Info-stealer) — крадёт данные, хранящиеся в браузерах, почтовых клиентах и игровых приложениях.

Устройство и механизм работы

Заражение

Основной вектор заражения — сменные носители (USB-флешки, карты памяти, внешние диски). Вирус создаёт на носителе файл autorun.inf, который при автоматическом запуске (функция AutoRun в Windows) запускает исполняемый файл вируса. Также хекман может копировать себя на все доступные сетевые папки и общие ресурсы (например, \\server\share).

Маскировка

Для сокрытия своего присутствия хекман использует:

  • Полиморфизм — каждый новый экземпляр вируса имеет уникальный код, что затрудняет сигнатурное обнаружение.
  • Инжектирование (code injection) — внедрение своего кода в легитимные процессы (например, explorer.exe, svchost.exe).
  • Скрытие файлов — вирус может прятать свои файлы от просмотра в проводнике, используя системные атрибуты (скрытый, системный).

Действия после заражения

После внедрения в систему хекман выполняет следующие действия:

  1. Сбор данных — сканирует кэши браузеров (Internet Explorer, Opera, Firefox), файлы cookies, сохранённые пароли в почтовых клиентах (Outlook, The Bat!), а также реестр Windows.
  2. Кража учётных данных — перехватывает ввод с клавиатуры (keylogging) для получения паролей от онлайн-игр, банковских систем (например, «Сбербанк Онлайн») и платёжных сервисов.
  3. Установка дополнительного ПО — может загружать и запускать другие вредоносные программы (например, рекламные модули, майнеры криптовалют, программы-шпионы).
  4. Создание ботнета — заражённые компьютеры объединяются в сеть (ботнет), которая может использоваться для DDoS-атак, рассылки спама или распространения других вирусов.

Распространение

Хекман распространялся преимущественно на территории России, Украины, Беларуси и Казахстана. Основные каналы распространения:

  • Пиратский контент — игры, программы, фильмы на CD/DVD-дисках, загруженные с торрент-трекеров.
  • Файлообменные сети — Direct Connect, eDonkey, BitTorrent.
  • Сменные носители — флеш-накопители, используемые в интернет-кафе, компьютерных клубах и учебных заведениях.
  • Электронная почта — вложения в письмах, маскирующиеся под счета, фотографии или документы.

Последствия и ущерб

По оценкам экспертов, в период с 2005 по 2010 год хекманом было заражено несколько миллионов компьютеров в России и СНГ. Основные последствия:

  • Кража игровых аккаунтов — наиболее частый ущерб для пользователей. Похищенные персонажи и предметы продавались на чёрном рынке.
  • Кража банковских данных — в ряде случаев злоумышленники получали доступ к интернет-банкингу и совершали хищения средств.
  • Потеря данных — вирус мог повреждать или удалять файлы на заражённом компьютере.
  • Использование компьютера в ботнете — снижение производительности системы, блокировка антивирусов, участие в атаках на другие сайты.

Защита и лечение

Профилактика

Для предотвращения заражения хекманом рекомендуется:

  • Отключить функцию AutoRun в Windows (через групповые политики или реестр).
  • Не использовать пиратское программное обеспечение и контент сомнительного происхождения.
  • Регулярно обновлять антивирусные базы и операционную систему.
  • Использовать антивирусные решения с эвристическим анализом (например, Kaspersky, Dr.Web, ESET NOD32).

Лечение

Для удаления хекмана с заражённого компьютера применяются:

  • Специализированные утилиты — например, Dr.Web CureIt, Kaspersky Virus Removal Tool, AVZ.
  • Загрузка с LiveCD — для сканирования системы без загрузки заражённой ОС.
  • Ручное удаление — в сложных случаях требуется редактирование реестра, удаление скрытых файлов и восстановление системных процессов.

Интересные факты

  • Название «Хекман» (Heckman) происходит от ника одного из первых авторов вируса, который распространял его под псевдонимом «Heckman» на форумах, посвящённых взлому игр.
  • В 2007 году хекман был включён в базу данных «Лаборатории Касперского» как Trojan-PSW.Win32.Heckman.gen.
  • Некоторые модификации хекмана были способны отключать антивирусные программы, в том числе «Антивирус Касперского» и Dr.Web.
  • Вирус активно использовал технологию «руткит» (rootkit) для сокрытия своих процессов и файлов от пользователя и антивируса.

Источники

  • «Лаборатория Касперского» — база данных вредоносных программ (Trojan-PSW.Win32.Heckman).
  • Dr.Web — вирусная энциклопедия (Heckman).
  • «Вирусная энциклопедия» (virus.wikidot.com) — описание червя Heckman.
  • «Хакер» (журнал) — статьи о вирусах 2005–2008 годов.
  • «Компьютерра» (журнал) — публикации о распространении вредоносного ПО в Рунете.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →