Kaspersky Lab eksperti rūpīgi izpētīja vienu no šiem komplektiem — plaši izplatīto BlackHole, noskaidrojot gan datora inficēšanas procesu ar šo mūķu pakotni, gan arī aizsardzības mehānismus pret to un tai līdzīgām kaitīgajām programmām, kas izmanto programmnodrošinājuma ievainojamības.
Ļaundaru patikai pret mūķu pakotnēm ir vienkāršs izskaidrojums: atšķirībā no atsevišķām kaitīgām programmām šādi komplekti ievērojami paaugstina uzbrukuma rezultativitāti, jo vairāku dažādu mūķu iesaistīšana palielina izredzes, ka tiks atrasta atbilstoša programmatūras ievainojamība. Piemēram, mūķu pakotnēBlackHoleietilpst trīs mūķi, kas paredzētiOracle Java, un četri, kas domātiAdobe Flash PlayerunAdobe Reader. Turklāt, lai uzturētu šo «rīku» darba kārtībā, uzbrucēji visu laiku maina mūķus komplektā, kā arī ievieš izmaiņas kodā, lai apgrūtinātu antivīrusu risinājumiem iespēju atklāt kaitīgās programmas.
Parasti mūķu pakotne satur sākumlapu, kas tiek izmantota datora parametru noteikšanai (operētājsistēmas un pārlūka versija, spraudņu un noteiktu programmu klātbūtne u.c.) un uzbrukumam piemērotu mūķu piemeklēšanai. Pēc tam, ja ļaunprogrammatūra atrod atbilstošu caurumu programmnodrošinājumā, sākas paša mūķa palaišana.
Kaspersky Labeksperti norāda, ka ļaundari pieliek lielas pūles, lai apgrūtinātu aizsardzības programmatūru izstrādātāju uzdevumu. Piemēram, viņi šifrē programmas kodu un periodiski maina šo šifru, kā arī pievieno kodā sīkas, nenozīmīgas izmaiņas, kas var traucēt uz parakstu balstītu noteikšanu.
Tomēr, neraugoties uz visām šīm viltībām, mūsdienu aizsardzības risinājumi spēj efektīvi atvairīt uzbrukumus, kuros izmantoti mūķi, turklāt draudi tiek pazīti un novērsti visos mūķu pakotnes darbības posmos. Piemēram,Kaspersky Labrisinājumi bloķē iespēju pāriet uz inficētu tīmekļa vietni, kas ved uz mūķa sākumlapu, kā arī pazīst ļaunprogrammatūras, salīdzinot visu palaižamo programmu kodu ar plašo kaitīgo programmu datubāzi vai analizējot programmu uzvedību. TurklātKaspersky Labizstrādājumos integrētā atsevišķā tehnoloģija «Aizsardzība pret mūķiem» ļauj laikus pazīt mūķi visu citu programmu vidū un novērst tā palaišanu datorā.
«Mūķu pakotnes ir kompleksa sistēma iekļūšanai upura datorā. Agrāk mūķus un tos izmantojot lejupielādējamās kaitīgās programmas izstrādāja vieni un tie paši ļaudis, bet tagad šajā kibernoziedzības industrijā ir novērojama darba dalīšana: vieni veido un pārdod mūķu pakotnes, citi nodrošina lietotāju nonākšanu mūķu sākumlapās, vēl citi raksta uzbrukumu gaitā izplatāmās kaitīgās programmas. Tāpēc tagad ļaundarim, kurš vēlas inficēt lietotāju datorus, pietiek vienkārši nopirkt gatavu mūķu pakotni un tai atbilstošos «pakalpojumus». Šādos apstākļos kļūst vitāli nepieciešama kvalitatīva drošības programmatūra, kurā ietvertas aktīvas aizsardzības tehnoloģijas,» sacījaKaspersky Labievainojamību izpētes grupas vadītājs Vjačeslavs Zakorževskis.
Vairāk par to, kā darbojas mūķu pakotnes, kāpēc uzbrucēji šifrē kodu un kādus paņēmienus viņi šim nolūkam izmanto, kā notiek datora inficēšana un kādā veidā antivīrusu programmatūra spēj pazīt mūķi un aizsargāt lietotāju, lasiet Vjačeslava Zakorževska rakstā tīmekļa vietnē.