Хекман
Хекман — это семейство компьютерных вирусов-червей, получившее широкое распространение в 2000-х годах, преимущественно на территории России и стран СНГ. Вирус относится к классу массово распространяемых вредоносных программ, использующих для заражения сменные носители информации (в первую очередь, флеш-накопители) и сетевые ресурсы. Основная цель хекмана — скрытое внедрение в систему, кража конфиденциальных данных (логинов, паролей от онлайн-игр, банковских систем, почтовых сервисов) и установка дополнительного вредоносного ПО.
История
Первые упоминания о вирусе Heckman (также известного как Hackman, Hekman или Virut) относятся к 2004–2005 годам. В этот период в Рунете наблюдался всплеск активности троянских программ, нацеленных на кражу паролей от игр (Lineage, World of Warcraft, «Бойцовский клуб») и интернет-кошельков (WebMoney, Яндекс.Деньги). Хекман стал одним из первых вирусов, который массово использовал технологию полиморфизма — автоматического изменения своего кода при каждом запуске, что затрудняло его обнаружение антивирусными программами.
Пик активности хекмана пришёлся на 2006–2008 годы. По данным «Лаборатории Касперского», в 2007 году он входил в десятку самых распространённых угроз в России. Распространение происходило преимущественно через пиратские диски с играми и программами, а также через файлообменные сети (P2P). В 2009 году, после массового внедрения антивирусных решений и обновления сигнатурных баз, активность хекмана пошла на спад, однако его модификации продолжают встречаться вплоть до 2020-х годов.
Классификация
Хекман относится к нескольким категориям вредоносного ПО одновременно:
- Червь (Worm) — способен к самостоятельному распространению по сети и через сменные носители.
- Троян (Trojan) — маскируется под легитимные файлы (например, «autorun.inf», «setup.exe»).
- Бэкдор (Backdoor) — после заражения открывает удалённый доступ к системе для злоумышленника.
- Инфостилер (Info-stealer) — крадёт данные, хранящиеся в браузерах, почтовых клиентах и игровых приложениях.
Устройство и механизм работы
Заражение
Основной вектор заражения — сменные носители (USB-флешки, карты памяти, внешние диски). Вирус создаёт на носителе файл autorun.inf, который при автоматическом запуске (функция AutoRun в Windows) запускает исполняемый файл вируса. Также хекман может копировать себя на все доступные сетевые папки и общие ресурсы (например, \\server\share).
Маскировка
Для сокрытия своего присутствия хекман использует:
- Полиморфизм — каждый новый экземпляр вируса имеет уникальный код, что затрудняет сигнатурное обнаружение.
- Инжектирование (code injection) — внедрение своего кода в легитимные процессы (например,
explorer.exe,svchost.exe). - Скрытие файлов — вирус может прятать свои файлы от просмотра в проводнике, используя системные атрибуты (скрытый, системный).
Действия после заражения
После внедрения в систему хекман выполняет следующие действия:
- Сбор данных — сканирует кэши браузеров (Internet Explorer, Opera, Firefox), файлы cookies, сохранённые пароли в почтовых клиентах (Outlook, The Bat!), а также реестр Windows.
- Кража учётных данных — перехватывает ввод с клавиатуры (keylogging) для получения паролей от онлайн-игр, банковских систем (например, «Сбербанк Онлайн») и платёжных сервисов.
- Установка дополнительного ПО — может загружать и запускать другие вредоносные программы (например, рекламные модули, майнеры криптовалют, программы-шпионы).
- Создание ботнета — заражённые компьютеры объединяются в сеть (ботнет), которая может использоваться для DDoS-атак, рассылки спама или распространения других вирусов.
Распространение
Хекман распространялся преимущественно на территории России, Украины, Беларуси и Казахстана. Основные каналы распространения:
- Пиратский контент — игры, программы, фильмы на CD/DVD-дисках, загруженные с торрент-трекеров.
- Файлообменные сети — Direct Connect, eDonkey, BitTorrent.
- Сменные носители — флеш-накопители, используемые в интернет-кафе, компьютерных клубах и учебных заведениях.
- Электронная почта — вложения в письмах, маскирующиеся под счета, фотографии или документы.
Последствия и ущерб
По оценкам экспертов, в период с 2005 по 2010 год хекманом было заражено несколько миллионов компьютеров в России и СНГ. Основные последствия:
- Кража игровых аккаунтов — наиболее частый ущерб для пользователей. Похищенные персонажи и предметы продавались на чёрном рынке.
- Кража банковских данных — в ряде случаев злоумышленники получали доступ к интернет-банкингу и совершали хищения средств.
- Потеря данных — вирус мог повреждать или удалять файлы на заражённом компьютере.
- Использование компьютера в ботнете — снижение производительности системы, блокировка антивирусов, участие в атаках на другие сайты.
Защита и лечение
Профилактика
Для предотвращения заражения хекманом рекомендуется:
- Отключить функцию AutoRun в Windows (через групповые политики или реестр).
- Не использовать пиратское программное обеспечение и контент сомнительного происхождения.
- Регулярно обновлять антивирусные базы и операционную систему.
- Использовать антивирусные решения с эвристическим анализом (например, Kaspersky, Dr.Web, ESET NOD32).
Лечение
Для удаления хекмана с заражённого компьютера применяются:
- Специализированные утилиты — например, Dr.Web CureIt, Kaspersky Virus Removal Tool, AVZ.
- Загрузка с LiveCD — для сканирования системы без загрузки заражённой ОС.
- Ручное удаление — в сложных случаях требуется редактирование реестра, удаление скрытых файлов и восстановление системных процессов.
Интересные факты
- Название «Хекман» (Heckman) происходит от ника одного из первых авторов вируса, который распространял его под псевдонимом «Heckman» на форумах, посвящённых взлому игр.
- В 2007 году хекман был включён в базу данных «Лаборатории Касперского» как Trojan-PSW.Win32.Heckman.gen.
- Некоторые модификации хекмана были способны отключать антивирусные программы, в том числе «Антивирус Касперского» и Dr.Web.
- Вирус активно использовал технологию «руткит» (rootkit) для сокрытия своих процессов и файлов от пользователя и антивируса.
Источники
- «Лаборатория Касперского» — база данных вредоносных программ (Trojan-PSW.Win32.Heckman).
- Dr.Web — вирусная энциклопедия (Heckman).
- «Вирусная энциклопедия» (virus.wikidot.com) — описание червя Heckman.
- «Хакер» (журнал) — статьи о вирусах 2005–2008 годов.
- «Компьютерра» (журнал) — публикации о распространении вредоносного ПО в Рунете.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →