Архив Полезная информация

Статус
В этой теме нельзя размещать новые ответы.

Igor

Ословед
Сюда вы можете добавить любую походящию по тематике раздела информацию (описание антивирусов, историю создание вирусов и т.д.).
P.S. За любое обсуждение в данной теме, спам и т.д., выдаю карточку без разговоров
//Ксардас
 

Igor

Ословед
Антивирусная утилита AVZ предназначена для поиска и удаления:
· SpyWare, AdvWare программ и модулей (это одно из основных назначений утилиты);

· Сетевых и почтовых червей;

· Троянских программ (включая все их разновидности, в частности Trojan-PSW, Trojan-Downloader, Trojan-Spy) и Backdoor (программ для скрытного удаленного управления компьютером);

· Троянских программ-звонилок (Dialer, Trojan.Dialer, Porn-Dialer);

· Клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем;

Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление AdWare, SpyWare и троянских программ.

Сразу следует отметить, что программы категорий SpyWare, AdWare по определению не являются вирусами или троянскими программами. Они шпионят за пользователем и загружают информацию и программный код на пораженный компьютер в основном из маркетинговых соображений (т.е. передаваемая информация не содержит критических данных – паролей, номеров кредитных карт и т.п., а загружаемая информация является рекламой или обновлениями). Однако очень часто грань между SpyWare и троянской программой достаточно условна и точная классификация затруднительна. Моя методика классификации и критерии описаны в данной справочной системе.

Особенностью программы AVZ является возможность настройки реакции программы на каждую из категорий вредоносных программы – например, можно задать режим уничтожения найденных вирусов и троянских программ, но заблокировать удаление AdWare.

Другой особенностью AVZ являются многочисленные эвристические проверки системы, не основанные на механизме поиска по сигнатурам – это поиск RootKit, клавиатурных шпионов, различных Backdoor по базе типовых портов TCP/UDP. Подобные методы поиска позволяют находить новые разновидности вредоносных программ.

Кроме типового для программ данного класса поиска файлов по сигнатурам в AVZ встроена база с цифровыми подписями тысяч системных файлов. Применение данной базы позволяет уменьшить количество ложных срабатываний эвристики и позволяет решать ряд задач. В частности, в системе поиска файлов есть фильтр для исключения известных файлов из результатов поиска, в просмотрщике запущенных процессов и настроек SPI производится цветовое выделение известных процессов, при добавлении файлов в карантин производится блокировка добавления известных AVZ безопасных файлов.

Как показала моя практика, очень часто программа типа SpyWare может быть классифицирована как AdWare и наоборот (причины просты – целью шпионажа в большинстве случаев является целевая реклама). Для таких случаев в своей классификации я ввел обобщающую категорию Spy, которая грубо может трактоваться как AdWare+SpyWare. Термин Spy переводится как «шпион», «тайный агент», «следить», «подглядывать», «совать нос в чужие дела». Этот термин достаточно хорошо подходит к программам подобного класса.

Ограничения программы:

1. Т.к. утилита направлена в первую очередь на борьбу с SpyWare и AdWare модулями, и в настоящий момент она не поддерживает проверку архивов разного вида (PE упаковщиков, архиваторов и т.п.), писем электронной почты и документов. Для борьбы со SpyWare в этом просто нет надобности. Тем не менее, утилита усовершенствуется и появление подобных функций планируется;

2. Утилита не лечит программы, зараженные компьютерными вирусами. Для качественного и корректного лечения зараженной программы необходимы специализированные антивирусы (например, антивирус Касперского, DrWeb, Norton Antivirus, Panda и т.п.). Делать нечто похожее на них (изобретая тем самым велосипед) у меня нет никакого желания, тем более что вирусы такого рода встречаются все реже;

AVZ, (C) Зайцев О.В.
 

Chartbreaker

Ословед
сравнительное тестирование

В настоящее время шпионские, а также AdWare-, SpyWare- и Dialer-программы доставляют пользователям не меньше беспокойства, чем компьютерные вирусы и трояны. Как следствие, в последние годы появилось множество программ, предназначенных для поиска и уничтожения SpyWare и AdWare. Цель данной статьи — сравнение ряда популярных продуктов в идентичных условиях на довольно большом числе вредоносных объектов.

Методика тестирования
Для сравнения продуктов был подготовлен набор из 4479 образцов, скомпонованный из ITW, то есть из образцов, найденных на компьютерах пользователей в ходе их лечения. 38% от количества образцов составляют AdWare и SpyWare.
Подавляющее количество образцов Trojan-Downloader данной коллекции являются программами для скрытной загрузки и установки представленных в коллекции вредоносных программ.
Trojan-Spy — это шпионское программное обеспечение в чистом виде, передающее важные сведения о пользователе: пароли, номера кредитных карт, вводимый с клавиатуры текст.
В категории Trojan отобраны программы следующих разновидностей:
Trojan-Dialer (программы для скрытной модификации параметров набора телефонного номера или дозвона по платным телефонам),
Trojan.StartPage (модифицирующие стартовую страницу и параметры поиска Internet Explorer, эти программы также известны как Hijacker),
Trojan.LowZones (модифицирующие параметры безопасности Internet Explorer).
В категорию «Прочее» попали вредоносные программы других классов — здесь представлено около 50 сетевых и почтовых червей распространенных типов, 12 эксплоитов для Internet Explorer (применяемых для запуска инсталляторов SpyWare) и 70 специализированных троянских программ (TrojanPSW и Trojan-Proxy).

В качестве полигона для тестирования выступил специально подготовленный компьютер с русской версией Windows XP SP2 Professional. Для чистоты эксперимента тестирование каждого из продуктов производилось после восстановления системы из образа. Если у исследуемого продукта предусмотрено обновление баз, то оно в обязательном порядке производилось перед началом теста. В случае обнаружения вредоносной программы эвристикой и при выдаче подозрения это подозрение засчитывалось как детектирование.

В тестировании не участвовал ряд продуктов: в частности в тесте нет антивируса AVP (он детектирует 100% данной коллекции, так как коллекция классифицирована по его протоколу), VBA, UNA, Stop! (с разработчиками данных антивирусов автор ведет обмен ITW-образцами, поэтому их тестирование не может быть корректным); нет в тесте и авторской утилиты AVZ. Не тестировались продукты типа Spybot — Search & Destroy и его аналогов: у них отсутствует файловый сканер как таковой и принципы их работы основаны на изучении реестра и «иммунизации» ПК. Кроме того, с тестирования был снят ряд продуктов, в частности Disspy от H-Desk Software и CounterSpy от Sunbelt Software. Причина проста: эти продукты ищут файлы на диске и процессы в памяти по именам, а вердикт о вредоносности выносится только на основании имени файла, что, естественно, некорректно и весьма опасно, так как случайное совпадение имени приведет к обнаружению якобы вредоносной программы где угодно.

Ad-Aware SE Personal
Данная программа входит в число лидеров по распространенности и известности. Скачать программу можно с http://www.lavasoft.ru/, ее размер 2,5 Мбайт, а распространяется она бесплатно, хотя есть и платные варианты с расширенными возможностями. Установка программы и обновление баз прошли без проблем, сканирование производилось достаточно быстро. Ложные срабатывания на эталонной системе не обнаружены.
Результаты тестов вызвали некоторое разочарование: из категории AdvWare было обнаружено только 25%, из SpyWare — 29%, к тому же программа практически бесполезна для борьбы с Dialer и Trojan.Dialer. Анализ пропущенных вредоносных программ показал наличие множества пропусков по распространенным AdvWare различных разновидностей: AdultIt, AdURL, Altnet, Look2Me, MagicControl, MediaTickets, Midadle, NaviPromo, RideMark, SaveNow, Searcher, ShopNav, Sidesearch, WebEx,WebHancer, WinShow, Wintol. Для распространенного AdvWare.WinAd было обнаружено всего 5 образцов из 30.

Microsoft AntiSpyware
Скачать эту программу размером 6,5 Мбайт можно по адресу http://www.microsoft.com/athome/security/spyware/. Распространяется она бесплатно. Установка и настройка не вызывают проблем, к тому же имеется мастер обновления программы через Интернет.
По качеству обнаружения данный продукт несколько проигрывает Ad-Aware SE, при этом Microsoft AntiSpyware немного лучше обнаруживает троянские программы и хуже — AdWare и SpyWare, хотя показатели сопоставимы: оба эти продукта детектируют не более 1/3 образцов в любой из данных категорий.

CA PestPatrol Corporate Edition
РestPatrol является весьма известным продуктом на рынке, к тому же у него наличествуют корпоративная версия и сайт с описанием вредоносных программ. Для установки PestPatrol необходимо также установить Microsoft .NET Framework (размер самого продукта — 13 Мбайт, Microsoft .NET Framework — около 23 Мбайт).
По суммарному количеству найденных вредоносных программ PestPatrol опережает Ad-Aware и Microsoft AntiSpyware, но разрыв не очень велик. Явный минус — данный продукт практически не обнаруживает программ категории Dialer.

McAfee AntiSpyware
Размер дистрибутива — 7 Мбайт, цена ~30 долларов. Установка и настройка проблем не вызвали.
По итогам тестирования продукт обнаружил всего 115 образцов наиболее распространенных типов, поэтому рассматривать его как серьезное средство от шпионских программ пока невозможно.

Spy Sweeper
Данный продукт стоит ~30 долл., а скачать его можно с сайта разработчиков по адресу: http://www.webroot.com/products/spysweeper-indepth/, размер — 3,8 Мбайт.
По результатам тестов было обнаружено, что Spy Sweeper детектировал в два раза больше вредоносных программ, чем Ad-Aware. Положительным моментом является хорошее детектирование Trojan-Downloader и Dialer (хотя в сумме данный продукт детектировал около 30% образцов). По профилирующей категории AdWare и SpyWare он детектирует более 40% образцов.

A2 (a-squared Personal)
Данный продукт можно найти на сайте разработчика http://www.emsisoft.com/en/; тестировалась версия 1.6, размер дистрибутива — 2 Мбайт. Стоит A2 ~40 долл. (на сайте есть полнофункциональная триальная 30-дневная версия).
Продукт удивил размером базы — 126 210 сигнатур. Изучение продукта показало, что данный размер базы плохо сочетается с качеством детектирования, хотя в целом продукт показал неплохие результаты — хорошо детектируются продукты всех категорий, за исключением эксплоитов.

Spy Emergency 2005
Сайт разработчика — http://www.spy-emergency.com, тестировалась версия 2.0.296. Размер — 7,5 Мбайт, цена — ~24 долл. Согласно отображаемой продуктом информации, в базе имеется 81 805 сигнатур. Собственно, столь большой объем и внушительный список возможностей послужили причиной тестирования данного продукта.
Как видно из тестов, эффективность данного продукта близка к нулю — детектировано всего 148 образцов из 4479.

Spyware Nuker 2005
Тестировалась версия 3.04.24.1 данного продукта; сайт разработчика http://www.nuker.com/, цена — ~40 долл.
Из результатов теста следует, что качество сканирования на невысоком уровне. Кроме того, было обнаружено, что Spyware Nuker ищет файлы по именам. Например, если положить в папку Windows\System32 файл с именем toolbar.dll с любым содержимым, то произойдет однозначное детектирование ее как iSearchToolbar с предложением удалить.

TauScan
ТauScan разработан компанией Agnitum (http://www.agnitum.ru/products/tauscan/index.php), которая знаменита своим продуктом Outpost Firewall. Размер — 1,85 Мбайт, цена — около 10 долл. В описании сказано: «Tauscan — мощная система для обнаружения и обезвреживания всех известных типов троянских коней, которые могут угрожать вашей системе». В тестовой базе более 500 опаснейших Trojan-Spy, поэтому автор и решил протестировать этот продукт.
Результаты тестов удивили и разочаровали: из категории Trojan-Spy на максимальной эвристике было выловлено около 23%, в категориях Trojan-PSW и Trojan детектировался один образец из десяти. Кроме того, тесты показали очень высокий уровень ложных срабатываний.

Общие недостатки протестированных специализированных продуктов

1. Большинство протестированных продуктов проводят поиск SpyWare в реестре и при этом сообщают о найденных ключах как о вредоносных продуктах. Сообщение звучит как: «В реестре обнаружен SpyWare.Gator ...», хотя никакого SpyWare в реестре, конечно, нет, а есть ключ, который сам по себе не опасен.

2. В некоторых продуктах поиск SpyWare сookies доведен до абсурда. По идее, пользователь может удалить cookies, запретить их прием, а IE6+ содержит мощные средства их блокировки, так что опасность cookies явно завышена. К тому же охота на cookies является хорошим маркетинговым ходом, ибо почти всегда на любом ПК можно найти около сотни cookies разных счетчиков/рейтингов.

3. Как ни странно, но несколько протестированных продуктов осуществляют поиск файлов по именам. Мало того, что данная методика совершенно неэффективна (многие вредоносные программы меняют свои имена), но она к тому же потенциально опасна, ибо по мере роста базы растет вероятность ложных срабатываний. Самое же неприятное в том, что если бы выдавалось сообщение «Возможно ...» или «Подозрение на ...», то это было бы еще терпимо, но ведь исследованные продукты сообщают однозначно: «троянская программа», «вирус», «шпион», а потом, естественно, предлагают их удалить. На данный момент единственным надежным методом определения вредоносной программы является сигнатура — начиная от полной MD5 суммы и заканчивая некими выборочными сигнатурами достаточно большого размера внутри файла.

4. В описании многих продуктов гордо заявлено, что у них есть эвристические методики поиска шпионов. Если они и есть, то надежно замаскированы, поскольку в ходе тестов срабатываний эвристики практически не отмечалось.

5. Большинство исследованных продуктов плохо детектируют Trojan-Downloader и Trojan-Dropper. Это большое упущение, так как установка большинства SpyWare происходит именно при помощи программ класса Trojan-Downloader, и если в ходе лечения не удалить загрузчик, то толку от лечения не будет — загрузчик восстановит удаленные программы.

6. Сканеры беспомощны перед RootKit-технологиями, причем под RootKit в данном контексте имеются в виду простейшие методики, например перехват API в UserMode. Элементарный перехватчик делает процессы и файлы невидимыми, а SpyWare с встроенным руткитом становится все больше — известны уже десятки разновидностей.

7. Как показывает практика, цифры, описывающие размеры базы, не являются показателем качества поиска. Хотя и не хочется заострять внимание на конкретных продуктах, но общая тенденция ясна: поразить пользователя огромным количеством чего-то в базе (цифры зачастую внушительные — не менее 30-40 тыс., а подчас порядка 100-120 тыс.).

8. У большинства продуктов отсутствует поддержка проверки архивов и упаковщиков/криптеров, даже самых распространенных, типа UPX.

Тестирование антивирусов, поддерживающих удаление AdWare/SpyWare

После специализированных продуктов было проведено тестирование нескольких антивирусов. Как известно, почти все антивирусные компании стали включать в базы детектирование SpyWare и AdWare.

Alwil avast! 4
Тестировалась русская версия, размер — около 9 Мбайт, сайт разработчика — http://www.avast.com/.
Тесты показали, что по суммарному количеству обнаруженных вредоносных программ avast4 опередил все специализированные продукты, хотя и немного отстал от них в области детектирования AdWare и SpyWare.

Eset NOD32
Данный антивирус довольно популярен в нашей стране. Сайт разработчика — http://www.nod32russia.com/, размер — около 12 Мбайт. У продукта имеется продуманный инсталлятор, задающий ряд вопросов по ходу установки (причем вопросы в понятной для пользователя форме). Тесты проводились на максимуме: были включены все опции, проверки архивов, упаковщиков и т.п., максимальная эвристика.
Сразу можно отметить, что сканирует Eset NOD32 сравнительно быстро, но при включении всех опций на максимум, естественно, имеет место замедление скорости сканирования. Эвристика реально срабатывает: лично я насчитал десятка два срабатываний. Как видно из тестирования, NOD32 детектировал 60% AdvWare и SpyWare, а Dialer — более 50%. В сумме NOD32 детектировал 3053 образца из 4479 предложенных.

BitDefender
Сайт разработчиков — http://www.bitdefender. ru/, размер тестируемой версии — 13 Мбайт.
Тестирование показало, что хотя AdWare/SpyWare данный продукт и ловит почти в два раза хуже, чем NOD32, но не хуже специализированных продуктов. Особенностью BitDefender является то, что он лучше остальных участников теста ловит экслоиты.

DrWEB CureIT
СureIT — это бесплатная утилита, по сути являющаяся несколько урезанным сканером антивируса DrWEB и не требующая инсталляции. Продукт поставляется в самораспаковывающемся архиве вместе с базами, скачать его можно по адресу ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe, размер — около 3,5 Мбайт.
Утилита CureIT по суммарному количеству найденных вредоносных программ опередила все остальные протестированные продукты, обнаружив 3208 образца, что составило 71,6%. Было установлено, что AdWare и Trojan-Downloader CureIt ловит лучше NOD32, но зато несколько проигрывает в отлове SpyWare.

Выводы

Как показало исследование, лидерами тестов оказались, как и предполагалось, антивирусы, оснащенные специализированными базами. Они обладают мощными средствами анализа файлов, поддерживают проверку архивов, упаковщиков, инсталляторов.
Итогом может служить условное распределение мест следующим образом:
1. DrWEB CureIT
2. Eset NOD32
3. Alwil avast! 4
Следует учитывать, что в тесте не участвовали некоторые потенциально лидирующий в этой области программные продукты.

Источник: Зайцев О.В.​
 

Chartbreaker

Ословед
Шпионские войны: spyware и борьба с ним

По данным Earthlink, программы, относящиеся к категории spyware, сегодня установлены почти на 90% компьютеров, подключенных к Сети (есть и более впечатляющие цифры). Причем речь идет не об одном программном агенте на каждый ПК: среднестатистический показатель - 25 "шпионов" на одного пользователя. Больше того! Эксперты предсказывают, что со временем по своей актуальности угроза spyware может обогнать даже спам, а Gartner Group на пороге 2005 года прогнозировала, что шпионское ПО станет даже более серьезной проблемой, чем интернет-черви. О программах - борцах со spyware - писалось уже не раз, а потому очередного обзора "хорошего" софта не будет. Интереснее исследовать "плохой".

Что есть spyware?

По интернет-меркам возраст угрозы довольно солидный: первый случай заражения компьютера "шпионом" зафиксирован еще в 1995 году, а в 1999-м слово "spyware" было впервые употреблено в официальном документе - пресс-релизе по поводу выхода брандмауэра Zone Alarm Personal Firewall. В ноябре того же года первая программа, содержащая шпионский модуль, получила массовое распространение в Сети. Это была бесплатная юмористическая игра Elf Bowling, отсылавшая своему разработчику Nsoft пользовательские данные.

В 2000 году Стив Гибсон, руководитель компании Gibson Research, обнаружил на своем компьютере рекламное ПО, которое перехватывало его личную информацию. Изучив особенности поведения непрошеного гостя, Гибсон понял, что софт работает на фирмы Aureate и Conducent. Результатом тщательного изучения кода стало появление в конце 2000 года первого антишпионского продукта - OptOut (последняя разработка компании - Spyware Free-Certification). А в октябре 2004-го были опубликованы результаты исследования AOL, заставившие интернет-общественность обратить внимание на серьезность проблемы. 89% респондентов, на чьих компьютерах поселился spyware-софт, сообщили, что не знали о его присутствии, а 93% не санкционировали его инсталляцию.

Несмотря на столь богатую историю, официальное определение термина "spyware" появилось только в минувшем октябре. Его автором стала Коалиция по борьбе со шпионским и рекламным ПО (Anti-Spyware Coalition, ASC), членами которой являются многие производители софта. К шпионскому софту отнесли любые программы, устанавливаемые на компьютер без ведома и согласия его владельца или понижающие степень контроля над приватностью, безопасностью системы, деятельностью пользователя (в первую очередь - в интернете) и расходованием системных ресурсов. Также в категорию spyware попали программы, осуществляющие несанкционированный сбор личной информации - главным образом, пароли. Кроме того, spyware чревато еще рядом осложнений. Например, зачастую такие программы захватывают львиную долю памяти и процессорной мощности, что существенно тормозит работу обычного ПО.

В настоящее время ASC работает над стандартизацией шпионского и антишпионского ПО. Уже имеется предварительный вариант стандартов, а до 27 ноября Коалиция собирает комментарии от общественности, с учетом которых будет выработана окончательная версия рекомендаций (она должна выйти в следующем году). Впрочем, многие эксперты считают эту инициативу вредной, полагая, что опубликованными стандартами тут же воспользуются производители spyware, дабы обойти блокировку своего софта. В ASC признают вероятность такого развития событий, однако утверждают, что этот аспект при создании стандартов был учтен. Разработчикам же антишпионского ПО оставляют возможность устанавливать собственные критерии определения spyware.

Ныне к "шпионам" зачастую относят любые программы, выводящие на экран рекламные объявления, даже те, установку которых пользователь санкционировал. Однако следует согласиться, что последний вариант - самый "цивилизованный": человек готов терпеть рекламу, дабы не платить деньги за программу. Продукты, распространяемые по такому принципу, называются adware и в некотором смысле являются альтернативой shareware. Другое дело, что далеко не все производители adware отличаются кристальной честностью, а потому кроме официально разрешенных объявлений вставляют в свой софт и модули, перехватывающие пользовательские данные.

Иногда к spyware относят программы, собирающие данные для так называемого поведенческого таргетинга (молодая отрасль интернет-маркетинга, аккумулирующая информацию о пользовательских предпочтениях - например, анализируя маршрут перемещений по Сети). Делаться это может с разными целями - как для исследования рынка, так и для разработки индивидуального подхода к покупателю в интернет-магазине (вплоть до указания персональной цены на товары). В частности, некоторые антишпионские программы относят к spyware браузерный плагин крупнейшего онлайн-магазина Amazon.com, хотя его установка - дело добровольное.

Инфицирование

Spyware, в отличие от вирусов, само не размножается, а потому "шпионы", заразив одну систему, не смогут перебраться на другие. Распространяются они в Сети либо путем обмана пользователя, либо через программные уязвимости (например, дыры в браузере). При первом варианте пользователь скачивает из интернета какой-то полезный софт, а "в довесок" получает шпионский модуль. Чаще всего носителями spyware являются разнообразные "ускорители интернета". Впрочем, переносчиком может оказаться практически любой софт: так, широко известен случай, когда "шпион" прятался в программе Bonzi Buddi, позиционируемой как детский проводник в мире интернета. Иногда создатели шпионского ПО платят разработчикам shareware-программ за добавление в инсталлятор своего модуля, а порой просто объединяют шпионский дистрибутив с уже готовыми полезными программами. Частенько шпионские модули попадают на компьютер вместе с клиентами пиринговых сетей, а в начале 2005 года фантазия "шпионоводов" стала развиваться в стиле завзятых вирусописателей: в Сети появилась программа SpywareNo, позиционирующаяся как антишпионское ПО, а на деле являющаяся типичным продуктом spyware-индустрии…

Современные браузеры не позволяют "шпионам" самовольно загружаться с сайтов, однако иногда пользователь сам разрешает их установку, потому что загрузочную ссылку нередко маскируют под pop-up-окна, похожие на обычные опросы. Независимо от того, за какой вариант ответа пользователь голосует, своим кликом он запускает установку spyware. С последними версиями Internet Explorer (IE) возможностей для таких манипуляций у распространителей шпионских программ стало гораздо меньше, однако актуальность этот способ заражения еще не потерял - ведь, несмотря на многочисленные предупреждения, старые версии браузеров стоят на множестве компьютеров. Так, IE5 остается основным примерно для 10% интернет-серферов, а уж сколько людей не поставило заплатки на ранние версии IE6 - и говорить не хочется.

Кстати, антишпионское ПО MS Anti-spyware (его презентация прошла в марте нынешнего года) будет интегрировано в готовящуюся к выходу операционную систему Windows Vista, а в следующей версии IE появится "шпионозащищенный" режим. При его активации браузер будет изолирован от других процессов операционной системы и не получит прав на запись за пределами каталога Temporary Internet Files. Это должно снизить риск скрытой установки вредоносных плагинов. Кроме того, по умолчанию будет запрещено большинство объектов ActiveX, а встроенный брандмауэр станет функционально богаче.

Второй популярный метод инфицирования - атаки на бреши в защите браузера или другого сетевого ПО. При загрузке веб-страницы содержащийся в ней программный код инициирует установку spyware. Этот способ известен как drive-by download, и самые удобные дырки для него обнаруживаются в MS Java и старых версиях IE. По данным Webroot, за первое полугодие 2005 года источниками шпионской заразы было 4300 сайтов и 89800 страниц. В группу риска вошли сайты с порнографическим контентом и хранилища warez-софта, а в качестве лазейки широко использовалась дыра в системе защиты от копирования цифрового контента - DRM, используемой Windows Media Player и iTunes. Кстати, некоторые "шпионы" ищут на компьютере жертвы spyware-модули от компаний-конкурентов и безжалостно уничтожают их, но чаще вредоносный софт живет душа в душу.

Признаки заражения пользователи в основном замечают лишь тогда, когда операционная система (замечу - практически все шпионские модули работают только под Windows) просто кишит spyware-объектами. Работа резко замедляется из-за нехватки ресурсов, частенько происходят системные или программные сбои, наблюдаются трудности с интернет-соединением. Не имеющий в большинстве случаев никакого представления о spyware, пользователь ищет причины неудовлетворительной работы в аппаратном обеспечении, проблемах установки Windows или же полагает, что его компьютер заражен вирусом. Обычный результат "накопления" шпионского ПО - переустановка системы.

Пестрое разнообразие шпионов

Программы, специализирующиеся на показе рекламных объявлений, могут запускать всплывающие окна как по четкому графику (каждые несколько минут), так и при открытии браузера. Кроме того, объявления могут выскакивать, если пользователь заходит на определенные адреса. Эта возможность привлекает рекламодателей, платящих производителям шпионского ПО за показ своих объявлений при посещении серфером той или иной группы сайтов. А некоторые программы даже заменяют имеющуюся на сайте pop-up-рекламу собственной. Показываемые баннеры, естественно, должны привлекать внимание, а потому в них используются анимированные изображения, мерцание и пр. Если на компьютере установлен всего один spyware-модуль, то объявления появляются не слишком часто и их еще можно игнорировать. Но, как уже упоминалось, обычно речь идет о десятках зловредных программ, то инициируемые ими запуски pop-up-окон вызывают крайнее раздражение.

Кстати, не следует думать, что производители шпионского ПО представляют собой маргиналов интернет-сообщества, бойкотируемых крупными и уважаемыми онлайн-деятелями. Производство и распространение spyware - это бизнес, причем прибыльный, а разработчики нежелательных программ получают заказы от довольно известных рекламодателей. В частности, компании WhenU и 180 Solutions, не последние фигуры в spyware-индустрии, сообщали, что среди их клиентов числится даже New York Times. За сам софт денег обычно не платят, но пользователь попадает на сайт заказчика или же что-то у него покупает посредством pop-up-объявлений, а производитель программы-шпиона получает комиссионные. Эта схема называется affiliate marketing и используется такими корпорациями, как eBay, Dell или Mercedes-Benz. Впрочем, рекламодатели "страхуются", заключая договор с рекламным агентством, а уже последнее само выходит на spyware-фирмы.

Некоторые компании и вовсе применяют spyware для защиты своих интернет-проектов. В частности, Blizzard использует в работе игровых серверов World of Warcraft (WoW) специальную программу - так называемого привратника, который каждые 15 секунд загружается на компьютеры четырех с половиной миллионов игроков. Привратник получает список всех dll-файлов, отображенных в адресном пространстве exe-файла игры, использует функцию GetWindowTextA для получения заголовков всех окон в системе, проверяет, нет ли их в черном списке, а также подключается к каждому запущенному процессу и с помощью функции ReadProcessMemory считывает ряд адресов памяти.

Впрочем, некоторые производители шпионского софта не затрудняют себя работой в "грязной рекламе", а просто-напросто похищают у пользователей зараженных компьютеров пароли, имена, чат-сессии (в том числе в интернет-пейджерах), банковские данные и т. д.

Другой распространенный вид shareware - софт, который заражает программы, дозванивающиеся до провайдера. В этом случае дозвон идет по какому-либо международному номеру, что приводит к огромным счетам за телефон. На Западе, где популярность dial-up-подключения сходит на нет, эта угроза теряет актуальность, но в России такие программы по-прежнему представляют серьезную опасность. Одинаково опасны для всех пользователей и шпионские приложения, работающие с cookies.
Стоит также отметить, что пока работа ASC не закончена, говорить об однозначной классификации продуктов spyware преждевременно. Отдельные исследовательские компании пытались группировать шпионские приложения и по схожести программного кода, и по поведению, и по типу проникновения на компьютер, но ни один из этих подходов нельзя назвать полностью удачным. Ведь некоторые творения spyware-индустрии представляют собой целые пакеты программ, каждая из которых действует на своем "участке". К слову, самый известный "комплекс" такого типа - Gator - якобы помогает путешествовать по Сети, а на практике аккумулирует уйму персональной информации и бог знает что с ней делает.

Также широко распространены шпионские программы из семейства CoolWebSearch, использующие уязвимость в IE. Софт из этой серии выдает рекламные объявления, переписывает результаты поиска в Сети и нарушает связь компьютера с DNS-системой. Согласно исследованию Webroot, по интернету гуляет 107 представителей семейства CoolWebSearch, которых можно найти на 8,2% проверенных компьютеров (второе место занял Gator с 2,2%).

Другой spyware-продукт по имени DyFuCa (он же Internet Optimizer) при выводе браузером сообщения об ошибке переадресует пользователя на рекламную страницу. Кроме того, DyFuCa делает невозможным доступ к сайтам, защищенным паролями, так как в этом случае браузер использует аналогичный механизм. Программа 180 Solutions (третья по распространенности - 2%) передает рекламодателям информацию о сайтах, посещаемых пользователями, а также выводит на экран pop-up-баннеры. Немало хлопот доставляют и небольшие программы семейства HuntBar (другие названия - WinTools и Adware.Websearch). Они загружаются на компьютер посредством ActiveX с сайтов, контролируемых злоумышленниками, или же при клике на pop-up-окна, запускаемые другим spyware-софтом. Помимо размещения рекламных объявлений эти программы добавляют инструментальные панели в IE и отслеживают маршрут веб-серфинга.

Методы борьбы со spyware

Основой борьбы со spyware является хороший брандмауэр с широким набором фильтров. Он способен предотвратить ряд способов проникновения spyware-модуля на компьютер (прежде всего, через бреши в программном обеспечении), однако не сможет опознать "шпиона", поселившегося на винчестере раньше него. Кроме того, если в настройках разрешить браузеру (например, IE) доступ в Сеть, то брандмауэр окажется бессильным при запуске модуля через службы самого браузера (в IE наиболее часто для этого используется Browser Helper Object).

Действенным оружием в борьбе со "шпионами" является редактор реестра. Как правило, spyware-программы прописываются в определенных ключах, откуда их можно легко вычистить. На основе БД, содержащих определения самых распространенных шпионских модулей, действует такой вид защиты, как spyware-сканеры. Впрочем, известны случаи, когда этот софт, уничтожая вредоносные программы, "зацеплял" вполне нейтральные и даже нужные dll-библиотеки.

Бесплатно (и безопасно) проверить, есть ли на вашем компьютере spyware, можно на некоторых сайтах, к примеру, здесь. Только запаситесь терпением: сканирование моей системы на P4 с гигабайтом ОЗУ и двумя жесткими дисками суммарным объемом 280 Гбайт заняло больше двух часов.

Обычно в комплекте со сканером поставляется и spyware-монитор для отслеживания попыток того или иного модуля зарегистрироваться в определенных реестровых ключах. Однако антишпионское ПО далеко не всегда удаляет все файлы-компоненты spyware. Мало того, оно уничтожает даже не все программы. Дело в том, что ряд spyware-производителей, в том числе Claria и WhenU, подали в суд на разработчиков антишпионского ПО и потребовали исключить свои модули из списка опасных и подлежащих удалению. Как ни странно, судебная атака была успешной. Причем проигравшие борцы со "шпионами" не имеют права даже известить пользователя о том, что на компьютере сидит spyware-модуль, который программа не может удалить.

Эффективность антишпионских продуктов может быть подтверждена сертификатами, и очень желательно, чтобы выбранная утилита эту сертификацию прошла. Одним из наиболее известных учреждений такого рода является центр West Coast Labs, выдающий сертификат Spyware Checkmark по результатам многоуровневых испытаний программных и аппаратных комплексов на соответствие стандартам качества. Определением критериев качества и тестированием занимается независимая испытательная лаборатория центра.

Есть и еще один надежный способ предохранения от spyware: нужно просто избегать "опасных связей". Так, в июльском исследовании Pew Internet and American Life Project сообщается, что американцы меняют свои интернет-привычки и стараются не заходить на сомнительные сайты. От посещения некоторых ресурсов отказались 48% респондентов, перестали пользоваться P2P-сетями 25%, а 18% сменили так полюбившийся spyware-разработчикам IE на Mozilla Firefox. Правда, уже обнаружен первый (и наверняка не последний) шпионский модуль для "лисички".

Юридические аспекты

Рассматривать законность spyware лучше с позиции законодательства США, где специфические явления интернет-сферы получили хоть какое-то правовое отражение. Да и большинство производителей шпионского ПО базируются именно в этой стране. На первый взгляд распространение программ класса spyware подпадает под специальный закон, известный как Computer Fraud and Abuse Act, в соответствии с которым осуществляется судебное преследование разработчиков вирусов или червей. В законе недвусмысленно сказано, что получение неправомочного доступа к компьютеру (в том числе для "тихой" инсталляции софта) является преступлением. Меж тем далеко не все процессы над представителями spyware-индустрии оканчиваются их осуждением. Многие компании, специализирующиеся на шпионском ПО, работают вполне легально. Специальный же закон о spyware долгое время не мог быть написан по той простой причине, что до 2005 года не существовало четкого определения этому понятию (о чем мы писали чуть выше). Наконец, в минувшем мае американский Конгресс принял сразу два соответствующих законопроекта, и теперь за тайное распространение шпионского ПО предусмотрено наказание в виде тюремного заключения сроком до двух лет и денежного штрафа размером до 3 млн. долларов.

Наиболее частой юридической зацепкой, используемой spyware-компаниями в качестве аргумента защиты, является лицензионное соглашение конечного пользователя (End-User Licence Agreement, EULA). Как правило, люди, приобретая и устанавливая ПО класса shareware/freeware, не читают соглашения. Одна из софтверных компаний однажды написала в EULA своего очередного продукта о выплате крупной суммы каждому позвонившему по определенному номеру, и деньги получили только трое пользователей, а остальные, видимо, не стали утруждать себя чтением сухого текста. Вот как раз в EULA и прописывается (обычно этот момент завуалирован юридическим жаргоном), что вместе с основной программой на компьютер будет инсталлирован тот или иной шпионский модуль. Успешным отражением судебных исков с помощью EULA уже "прославилась" spyware-компания Claria (автор Gator). В упомянутом выше инциденте с игровыми серверами WoW компания Blizzard тоже заявила, что пользователи добровольно соглашались на установку привратника. Кстати, есть примеры, когда "шпионские" фирмы даже переходили в контрнаступление, внося в EULA пункт о незаконности удаления однажды установленного spyware-модуля. Разумеется, никакой ответственности за удаление программы не было предусмотрено, однако такой нехитрый трюк позволял увеличить число "носителей" шпионского ПО среди законопослушных американских компьютеровладельцев.

В борьбу со spyware включились законотворцы регионального уровня. В частности, в текущем году в штате Вашингтон принят закон, согласно которому правонарушителем считается любой человек, который, не являясь владельцем или оператором компьютера, пытается установить на нем ПО, изменяющее параметры настройки браузера, отслеживающее нажатия клавиш, отключающее защитное ПО и т. д. В законе предусмотрено наказание в виде тюремного заключения сроком до трех лет. А вот против инициативы штата Юта - закона Spyware Control Act - выступила spyware-компания WhenU. В своем иске она отметила, что он нарушает конституционное право компаний на рекламную деятельность, не защищая при этом конфиденциальность интернет-пользователей.

А во Флориде spyware стало причиной семейного скандала, докатившегося до суда. В феврале 2005-го жительница штата, заподозрив супруга в неверности, установила на его компьютер следящую программу. Муж обнаружил spyware и недолго думая подал в суд на жену за вмешательство в свою частную жизнь. Тщетно адвокаты супруги пытались убедить судью, что речь идет о родственных отношениях пары, что у жены есть возможность посмотреть содержимое файлов на компьютере мужа, что это всего лишь естественное любопытство, наконец. Безжалостный судья классифицировал произошедшее как "негласный перехват информации" и признал женщину виновной. Это, кстати, уже не первый случай интернет-шпионажа в супружеской жизни. Так что, если у кого-то из читателей появится соблазн проверить верность своих "половинок" с помощью современных программных средств, заставьте их сначала подписать EULA. На всякий случай.

Автор: Родион Насакин
 

    ck80

    очки: 4
    полезно

[Amur]

Ословед
История вредоносных программ

История вредоносных программ

Мнений по поводу рождения первого компьютерного вируса очень много. Нам доподлинно известно только одно: на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, вирусов не было, а на Univax 1108 и IBM 360/370 в середине 1970-х годов они уже были.

Несмотря на это, сама идея компьютерных вирусов появилась значительно раньше. Отправной точкой можно считать труды Джона фон Неймана по изучению самовоспроизводящихся математических автоматов. Эти труды стали известны в 1940-х годах. А в 1951 г. знаменитый ученый предложил метод, который демонстрировал возможность создания таких автоматов. Позднее, в 1959 г., журнал "Scientific American" опубликовал статью Л.С. Пенроуза, которая также была посвящена самовоспроизводящимся механическим структурам. В отличие от ранее известных работ, здесь была описана простейшая двумерная модель подобных структур, способных к активации, размножению, мутациям, захвату. Позднее, по следам этой статьи другой ученый - Ф.Ж. Шталь - реализовал модель на практике с помощью машинного кода на IBM 650.

Необходимо отметить, что с самого начала эти исследования были направлены отнюдь не на создание теоретической основы для будущего развития компьютерных вирусов. Наоборот, ученые стремились усовершенствовать мир, сделать его более приспособленным для жизни человека. Ведь именно эти труды легли в основу многих более поздних работ по робототехнике и искусственному интеллекту. И в том, что последующие поколения злоупотребили плодами технического прогресса, нет вины этих замечательных ученых.

В 1962 г. инженеры из американской компании Bell Telephone Laboratories - В.А. Высотский, Г.Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предполагала присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, создававшихся игроками. Программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в удалении всех копий программы противника и захвате поля битвы.

На этом теоретические исследования ученых и безобидные упражнения инженеров ушли в тень, и совсем скоро мир узнал, что теория саморазмножающихся структур с неменьшим успехом может быть применена и в несколько иных целях.



Начало 70-х годов

В начале 1970-х годов в прототипе современного интернета - военной компьютерной сети APRAnet - был обнаружен вирус Creeper. Написанная для некогда популярной операционной системы Tenex, эта программа была в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. На зараженных системах вирус обнаруживал себя сообщением: "I'M THE CREEPER : CATCH ME IF YOU CAN". Позднее, для удаления назойливого, но в целом безобидного вируса неизвестным была создана программа Reaper. По своей сути это был вирус, выполнявший некоторые функции, свойственные антивирусу: он распространялся по вычислительной сети и в случае обнаружения тела вируса Creeper уничтожал его. Не будучи участником тех событий, трудно сказать - было ли это противоборством первых создателей вирусов или же обе программы были созданы одним человеком или группой людей, желавших исправить допущенную ошибку.

1974 год

На мейнфреймах этого времени появляется программа, получившая название "кролик" (Rabbit). Это имя она получила потому, что кроме размножения и распространения по носителям информации она ничего не делала. Правда, скорость ее размножения вполне оправдывала название. Эта программа клонировала себя, занимала системные ресурсы и таким образом снижала производительность системы. Достигнув определенного уровня распространения на зараженной машине "кролик" нередко вызывал сбой в ее работе.

1975 год

Другой инцидент, который с определенными оговорками также можно отнести к разряду вирусных, произошел на системе Univac 1108. Им стал случай с игрой (по некоторым данным троянской программой) "Pervading Animal".

При помощи наводящих вопросов игра пыталась определить имя животного, задуманного играющим. В программе была предусмотрена возможность самообучения: если ей не удавалось отгадать задуманное человеком название, игра предлагала модернизировать себя и ввести дополнительные наводящие вопросы. Модифицированная игра записывалась поверх старой версии и, помимо этого, копировалась в другие директории. В результате, через некоторое время все директории на диске содержали копии "Pervading Animal". В те времена такое поведение программы вряд ли могло понравиться инженерам, поскольку в совокупности все копии игры занимали слишком много дискового пространства.

Что это было - ошибка создателя игры или попытка намеренного "засорения" систем - сказать трудно. Грань между некорректным поведением программы и вредоносным кодом до сих пор слишком прозрачна.

Проблему пытались решить по известному сценарию Creeper-Reaper, т.е. выпуском новой версии игры, которая искала все копии своей предшественницы и, в конечном счете, уничтожала их. Однако позднее все решилось гораздо проще: была выпущена новая версия операционной системы Exec 8: в ней подверглась изменениям структура файловой системы, и игра потеряла возможность размножаться.
 

[Amur]

Ословед
Кто и почему создает вредоносные программы?

Кто и почему создает вредоносные программы?

Основная масса вирусов и троянских программ в прошлом создавалась студентами и школьниками, которые только что изучили язык программирования, хотели попробовать свои силы, но не смогли найти для них более достойного применения. Отраден тот факт, что значительная часть подобных вирусов их авторами не распространялась и вирусы через некоторое время умирали сами вместе с дисками, на которых хранились. Такие вирусы писались и пишутся по сей день только для самоутверждения их авторов.

Вторую группу создателей вирусов также составляют молодые люди (чаще — студенты), которые еще не полностью овладели искусством программирования. Единственная причина, толкающая их на написание вирусов, это комплекс неполноценности, который компенсируется компьютерным хулиганством. Из-под пера подобных «умельцев» часто выходят вирусы крайне примитивные и с большим числом ошибок («студенческие» вирусы). Жизнь подобных вирусописателей стала заметно проще с развитием интернета и появлением многочисленных веб-сайтов, ориентированных на обучение написанию компьютерных вирусов. На подобных веб-ресурсах можно найти подробные рекомендации по методам проникновения в систему, приемам скрытия от антивирусных программ, способам дальнейшего распространения вируса. Часто здесь же можно найти готовые исходные тексты, в которые надо всего лишь внести минимальные «авторские» изменения и откомпилировать рекомендуемым способом.
«Хулиганские» вирусы в последние годы становятся все менее и менее актуальными (несмотря на то что на смену повзрослевшим тинейджерам-хулиганам каждый раз приходит новое поколение тинейджеров) — за исключением тех случаев, когда такие вредоносные программы вызвали глобальные сетевые и почтовые эпидемии. На текущий момент доля подобных вирусов и троянских программ занимает не более 10% «материала», заносимого в антивирусные базы данных. Оставшиеся 90% гораздо более опасны, чем просто вирусы.

Став старше и опытнее, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир «профессиональные» вирусы. Эти тщательно продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы проникновения в системные области данных, ошибки в системах безопасности операционных сред, социальный инжиниринг и прочие хитрости.

Отдельно стоит четвертая группа авторов вирусов — «исследователи», довольно сообразительные программисты, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т. д. Они же придумывают способы внедрения в новые операционные системы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради исследования потенциалов «компьютерной фауны». Часто авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через многочисленные интернет-ресурсы, посвященные созданию вирусов. При этом опасность, исходящая от таких «исследовательских» вирусов, тоже весьма велика — попав в руки «профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новых вирусах.

Мелкое воровство

С появлением и популяризацией платных интернет-сервисов (почта, WWW, хостинг) компьютерный андеграунд начинает проявлять повышенный интерес к получению доступа в сеть за чужой счет, т. е. посредством кражи чьего-либо логина и пароля (или нескольких логинов/паролей с различных пораженных компьютеров) путем применения специально разработанных троянских программ.

В начале 1997 года зафиксированы первые случаи создания и распространения троянских программ, ворующих пароли доступа к системе AOL. В 1998 году, с распространением интернет-услуг в Европе и России, аналогичные троянские программы появляются и для других интернет-сервисов. До сих пор троянцы, ворующие пароли к dial-up, пароли к AOL, коды доступа к другим сервисам, составляют заметную часть ежедневных «поступлений» в лаборатории антивирусных компаний всего мира.

Троянские программы данного типа, как и вирусы, обычно создаются молодыми людьми, у которых нет средств для оплаты интернет-услуг. Характерен тот факт, что по мере удешевления интернет-сервисов уменьшается и удельное количество таких троянских программ.

«Мелкими воришками» также создаются троянские программы других типов: ворующие регистрационные данные и ключевые файлы различных программных продуктов (часто — сетевых игр), использующие ресурсы зараженных компьютеров в интересах своего «хозяина» и т. п.

Криминальный бизнес

Наиболее опасную категорию вирусописателей составляют хакеры-одиночки или группы хакеров, которые осознанно или неосознанно создают вредоносные программы с единственной целью: получить чужие деньги (рекламируя что-либо или просто воруя их), ресурсы зараженного компьютера (опять-таки, ради денег — для обслуживания спам-бизнеса или организации DoS-атак с целью дальнейшего шантажа).

Обслуживание рекламного и спам-бизнеса — один из основных видов деятельности таких хакеров. Для рассылки спама ими создаются специализированные троянские proxy-сервера, которые затем внедряются в десятки тысяч компьютеров. Затем такая сеть «зомби-машин» поступает на черный интернет-рынок, где приобретается спамерами. Для внедрения в операционную систему и дальнейшего обновления принудительной рекламы создаются утилиты, использующие откровенно хакерские методы: незаметную инсталляцию в систему, разнообразные маскировки (чтобы затруднить удаление рекламного софта), противодействие антивирусным программам.

Вторым видом деятельности подобных вирусописателей является создание, распространение и обслуживание троянских программ-шпионов, направленных на воровство денежных средств с персональных (а если повезет — то и с корпоративных) «электронных кошельков» или с обслуживаемых через интернет банковских счетов. Троянские программы данного типа собирают информацию о кодах доступа к счетам и пересылают ее своему «хозяину».

Третьим видом криминальной деятельности этой группы является интернет-рэкет, т. е. организация массированной DoS-атаки на один или несколько интернет-ресурсов с последующим требованием денежного вознаграждения за прекращение атаки. Обычно под удар попадают интернет-магазины, букмекерские конторы — т. е. компании, бизнес которых напрямую зависит от работоспособности веб-сайта компании.

Вирусы, созданные этой категорией «писателей», становятся причиной многочисленных вирусных эпидемий, инициированных для массового распространения и установки описанных выше троянских компонент.

Нежелательное программное обеспечение

Системы навязывания электронной рекламы, различные «звонилки» на платные телефонные номера, утилиты, периодически предлагающие пользователю посетить те или иные платные веб-ресурсы, прочие типы нежелательного программного обеспечения — они также требуют технической поддержки со стороны программистов-хакеров. Данная поддержка требуется для реализации механизмов скрытного внедрения в систему, периодического обновления своих компонент и противодействия антивирусным программам.

Очевидно, что для решения данных задач в большинстве случаев также используется труд хакеров, поскольку перечисленные задачи практически совпадают с функционалом троянских программ различных типов.
 

[Amur]

Ословед
Описания вредоносных программ

Описания вредоносных программ

К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Сетевые черви

К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:

проникновения на удаленные компьютеры;
запуска своей копии на удаленном компьютере;
дальнейшего распространения на другие компьютеры в сети.

Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.

Большинство известных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо веб- или FTP-ресурсе в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P и т. д.

Некоторые черви (так называемые «бесфайловые» или «пакетные» черви) распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.

Для проникновения на удаленные компьютеры и запуска своей копии черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.

Некоторые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, некоторые черви содержат троянские функции или способны заражать выполняемые файлы на локальном диске, т. е. имеют свойство троянской программы и/или компьютерного вируса.

Классические компьютерные вирусы

К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:

последующего запуска своего кода при каких-либо действиях пользователя;
дальнейшего внедрения в другие ресурсы компьютера.

В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
вирус скопировал себя на съёмный носитель или заразил файлы на нем;
пользователь отослал электронное письмо с зараженным вложением.

Некоторые вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например бэкдор-процедуру или троянскую компоненту уничтожения информации на диске.

Троянские программы

В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).
Хакерские утилиты и прочие вредоносные программы

К данной категории относятся:

утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
программные библиотеки, разработанные для создания вредоносного ПО;
хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
«злые шутки», затрудняющие работу с компьютером;
программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.
 

[Amur]

Ословед
Краткая история хакеров

Декабрь 1947 — Вильям Шокли (William Shockley) изобретает транзистор и впервые демонстрирует его работу. Транзистор собран из множества проводов, изоляторов и вкраплений германия. Согласно результатам опроса, недавно проведенного на сайте CNN, транзистор оценивается как важнейшее открытие XX века.
1964 — Томас Курц (Thomas Kurtz) и Джон Кемени (John Kemeny) создают BASIC, и по сей день один из самых популярных языков программирования.
1965 — В США в постоянном использовании находится порядка 20000 компьютерных систем. Большая их часть - производства International Business Machines (IBM).
1968 — Основана компания Intel.
1969 — Основана компания AMD.
1969 — В стенах агентства ARPA (The Advanced Research Projects Agency) создана ARPANET, сеть-предвестница интернета. Четыре первых узла ARPANET располагаются в университетах Лос-Анджелеса, Санта-Барбары, Юты и Стэндфордском исследовательском институте.
1969 — Intel начинает производство модулей оперативной памяти объемом 1KB (1024 байта).
1969 — Кен Томпсон (Ken Thompson) и Дэннис Ритчи (Dennis Ritchie) начинают работать над созданием операционной системы UNICS. Томпсон за один месяц пишет первую версию UNICS на компьютере с 4КБ памяти. Позже UNICS переименовывают в UNIX.
1969 — MIT (Massachusetts Institute of Technology) становится домом первых компьютерных хакеров, пытающихся переписывать программы и совершенствовать сами компьютеры с целью ускорить их работу.
1969 — В Хельсинки родился Линус Торвальдс (Linus Torvalds).
1970 — Компания DEC представляет PDP-11, одну из наиболее популярных моделей компьютеров того времени. Некоторыми из них пользуются и по сей день.
1971 — Джон Дрейпер (John Draper), известный как Cap'n Crunch, взламывает телефонные системы при помощи игрушечного свистка из коробки с кукурузными хлопьями.
1971 — В сети ARPANET создан первый email-клиент. Его автор Рэй Томлисон решает использовать символ «@» для разделения имени пользователя и доменного имени.
1972 — Ритчи и Кернингхэм переписывают UNIX на C, языке программирования, изначально созданном с целью облегчения переноса программ с одной компьютерной платформы на другую.
1972 — NCSA разрабатывает утилиту telnet.
1973 — Гордон Мур (Gordon Moore), председатель совета директоров Intel, формулирует знаменитый «Закон Мура», согласно которому число транзисторов в центральных процессорах удваивается каждые 18 месяцев. Этот закон остается справедливым уже более 30 лет.
1973 — Представлен протокол FTP.
1974 — Стивен Борн (Stephen Bourne) разрабатывает первую полноценную оболочку для UNIX.
1975 — Билл Гейтс (Bill Gates) и Пол Ален (Paul Allen) основывают компанию Microsoft.
1976 — 21-летний Билл Гейтс пишет «Открытое письмо любителям», в котором осуждает модель программного обеспечения с открытыми исходными кодами и компьютерное пиратство.
1 апреля 1976 — Основана компания Apple Computers.
1977 — Билли Джой (Billy Joy) выпускает BSD, новую UNIX-подобную операционную систему.
1979 — Microsoft получает от AT&T лицензию на исходный код UNIX и создает собственную версию этой операционной системы, получающую название Xenix.
1981 — Создана система доменных имен (Domain Name System, DNS).
1981 — Microsoft покупает права на операционную систему DOS и переименовывает ее в MS-DOS.
1982 — Основана компания Sun Microsystems. В будущем Sun станет наиболее известна благодаря своим процессорам SPARC, операционной системе Solaris, файловой системе NFS и языку Java.
1982 — Ричард Столмэн (Richard Stallman) начинает разработку бесплатной версии UNIX, которую обозначает сокращением «GNU», расшифровывающимся как «GNU's Not Unix».
1982 — Писатель Вильям Гибсон (William Gibson) вводит в обиход термин «киберпространство» (cyberspace).
1982 — Опубликованы спецификации протокола SMTP, simple mail transfer protocol. В настоящее время SMTP является наиболее распространенным протоколом обмена электронной почтой в интернете.
1982 — Скот Фальман (Scott Fahlman) изобретает первый смайлик: «:)».
1983 — Путем разделения ARPANET на несколько самостоятельных гражданских и военных сетей создается интернет.
1983 — Том Дженнигс (Tom Jennings) создает FidoNet. Сеть Fido становится наиболее популярной в мире общедоступной компьютерной сетью на последующие 10 лет, вплоть до повсеместного распространения интернета.
1983 — Кэвин Поулсен (Kevin Poulsen), известный под псевдонимом Dark Dante, арестован за проникновение в ARPANET.
1984 — Основана компания CISCO Sytems.
1984 — Фред Коэн (Fred Cohen) разрабатывает первые компьютерные вирусы и вводит ставший ныне стандартным термин «компьютерный вирус».
1984 — Эндрю Танненбаум (Andrew Tannenbaum) создает Minix, бесплатный клон UNIX, основанный на архитектуре модульных микроядер.
1984 — Билл Ландреф (Bill Landreth), известный как The Cracker, обвинен во взломе компьютерных систем и получении незаконного доступа к информации NASA и Министерства обороны США.
1984 — Apple представляет Macintosh System 1.0.
1985 — Ричард Столмэн основывает Free Software Foundation.
15 марта 1985 — Зарегистрирован первый домен интернета - Symbolics.com.
Ноябрь 1985 — Microsoft выпускает Windows 1.0 по цене 100 USD за копию.
1986 — В США принят The Computer Fraud and Abuse Act.
1986 — Арестован член группы Legion of Doom Лойд Бланкеншип (Loyd Blankenship), известный как The Mentor, после чего он публикует ныне знаменитый «Манифест хакера».
1988 — Изобретен CD-ROM.
1988 — Запущен сервис IRC (Internet Relay Chat).
Ноябрь 1988 — Роберт Моррис (Robert Morris) создает и выпускает в сеть первый интернет-червь, который заражает и «подвешивает» тысячи компьютеров в США из-за ошибки в своем коде. Этот червь известен в наши дни под названием Morris.
1989 — В CERN Labs, в Швейцарии, разработана концепция WWW.
1990 — Сеть ARPANET прекращает свое существование.
1990 — Кэвин Поулсен (Kevin Poulsen) взламывает телефонную систему в Лос-Анджелесе, чтобы стать победителем в радио-конкурсе, в котором разыгрывается Porsche 944.
1991 — Филипп Циммермэн (Philip Zimmerman) выпускает PGP, мощную бесплатную утилиту-шифровальщик. Программа быстро становится наиболее популярной шифровальной утилитой в мире.
1991 — Появляются слухи о компьютерном вирусе под названием Michaelangelo, механизмы разрушения в котором активируются 6 марта.
17 сентября 1991 — Линус Торвальдс (Linus Torvalds) выпускает первую версию Linux.
1992 — Группа фрикеров (телефонных хакеров) Masters of Deception арестована благодаря доказательствам, собранным посредством подслушивающих «жучков».
1993 — Выпущен веб-браузер Mosaic.
1993 — Microsoft выпускает Windows NT.
1993 — Выпущена первая версия операционной системы FreeBSD.
23 марта 1994 — Шестнадцатилетний Ричард Прайс (Richard Pryce), известный как Datastream Cowboy, арестован и обвинен в незаконном доступе к хранящейся в компьютере информации.
1994 — Владимир Левин (Vladimir Levin), русский математик, взламывает сеть Citibank и крадет $10 млн.
1995 — Дэн Фармер (Dan Farmer) и Вице Винема (Wietse Venema) выпускают SATAN, автоматический сканер уязвимостей, который становится популярным хакерским инструментом.
1995 — Крис Лэмпрехт (Chris Lamprecht), известный как Minor Threat, становится первым человеком, которому запрещают доступ в интернет.
1995 — Sun выпускает Java, язык компьютерного программирования, созданный с целью свободного переноса уже скомпилированных программ с одной платформы на другую.
Август 1995 — Выпущен Microsoft Internet Explorer. Впоследствии IE станет наиболее незащищенным веб-браузером и любимой мишенью практически всех вирусописателей и хакеров.
Август 1995 — Выпущена ОС Windows 95.
1996 — IBM выпускает OS/2 Warp version 4, мощную мультизадачную операционную систему с графическим пользовательским интерфейсом, соперничающую с недавно выпущенной Microsoft Windows 95. Несмотря на то, что OS/2 более надежна и стабильна, чем Windows 95, она будет понемногу терять поддержку разработчиков и через несколько лет прекратит свое существование.
1996 — Выпущен ICQ, первый известный интернет-пейджер.
1996 — Тим Ллойд (Tim Lloyd) закладывает программную бомбу с часовым механизмом в компании Omega Engineering в Нью-Джерси. В результате атаки компания теряет 12 млн USD и более 80 сотрудников лишаются работы. Ллойда приговаривают к 41 месяцу тюремного заключения.
1997 — Опубликованы спецификации формата DVD.
1998 — Два китайских хакера-близнеца, Джинлон Хао (Hao Jinglong) и Джинвен Хао (Hao Jingwen), приговорены китайским судом к смерти за взлом компьютерной сети банка и кражу 720 тысяч юаней (примерно 87 тысяч USD).
18 марта 1998 — Эхуд Тенебаум (Ehud Tenebaum), почтенный хакер, известный под кличкой The Analyzer, арестован в Израиле за взлом множества важных компьютерных сетей США.
1998 — Появился вирус CIH. CIH стал первым компьютерным вирусом, стирающим содержимое flash-памяти BIOS компьютера, повреждающим компьютер так, что он больше не включается. CIH развеял миф о том, что компьютерные вирусы не могут навредить компьютерным комплектующим.
26 марта 1999 — Появился вирус Melissa.
2000 — Канадский хакер-тинейджер, известный как Mafiaboy, осуществляет DoS-атаку на сайты Yahoo, eBay, Amazon.com и CNN, делая их недоступными. Позже его приговаривают к восьми месяцам заключения в тюрьме для несовершеннолетних.
2000 — Корпорация Microsoft признает, что из ее сети был украден код нескольких еще не выпущенных версий операционной системы Windows.
2000 — ФБР арестовывает двух русских хакеров, Алексея Иванова и Василия Горшкова. Арест проводится после длительной и сложной операции, включавшей в себя заманивание хакеров в США с целью «демонстрации их хакерских навыков».
Июль 2001 — Появляется червь CodeRed. Червь заражает сотни тысяч компьютеров по всему миру в течение нескольких часов.
2001 — Microsoft выпускает Windows XP.
18 июля 2002 — Билл Гейтс анонсирует программу Trustworthy Computing, представляющую новую стратегию разработки программ компании Microsoft, направленную на повышение безопасности выпускаемых продуктов.
Октябрь 2002 — Неизвестными хакерами запущена мощная атака на 13 корневых доменных серверов интернета. Цель - полностью остановить работу DNS во всем интернете.
2003 — Microsoft выпускает Windows Server 2003.
29 апреля 2003 — Новый Скотланд-Ярд арестовывает Хтан Линн (Lynn Htun) на лондонской выставке InfoSecurity Europe 2003. Считается, что Линн сумел незаконно проникнуть в несколько важных компьютерных сетей, вроде сетей Symantec и SecurityFocus.
6 ноября 2003 — Microsoft объявляет награду в 5 млн USD за поимку хакеров, использовавших уязвимости в выпущенных компанией программах.
7 мая 2004 — В северной Германии арестован Свен Яшан (Sven Jaschan), автор сетевых червей Netsky и Sasser.
Сентябрь 2004 — IBM представляет самый быстрый в мире суперкомпьютер. Его стабильная производительность составляет 36 триллионов операций в секунду.
 

Ксардас

Ословед
SpyWare, Trojan, Backdoor ... - угроза безопасности вашего ПК

Введение

Данная статья посвящена достаточно актуальной в настоящей момент проблеме - проблеме вредоносного программного кода. Если раньше ситуация была достаточно простой - существовали прикладные программы (включая операционную систему) и вирусы, т.е. вредоносные программы, устанавливающиеся на ПК пользователя без его желания.

Однако в последнее время появилось множество программ, которые нельзя считать вирусами (т.к. они не обладают способностью к размножению), но и нельзя отнести к категории "полезных" программ, т.к. они устанавливаются на компьютер скрытным образом и выполняют некоторые задачи без ведома пользователей). В Интернет для таких программ сформировалось множество названий SpyWare, Adware, Dialer и т.п. Классификация эта достаточно спорная - производители различного антивирусного ПО относят одну и ту-же программу к разным категориям, внося некоторую путаницу.

Поэтому в своей статье я хочу сделать попытку определить некоторую классификацию программ и сформулировать критерии, по которым программу можно отнести к категории SpyWare и Adware.

Spy - программы-шпионы

Программой-шпионом (альтернативные названия - Spy, SpyWare, Spy-Ware, Spy Trojan и т.п.) принято называть программное обеспечение, собирающее и передающее кому-либо информацию о пользователе без его согласия. Информация о пользователе может включать его персональные данные, конфигурацию его компьютера и операционной системы, статистику работы в сети Интернет.

Шпионское ПО применяется для ряда целей, из которых основным являются маркетинговые исследования и целевая реклама. В этом случае информация о конфигурации компьютера пользователя, используемом им программном обеспечении, посещаемых сайтах, статистика запросов к поисковым машинам и статистика вводимых с клавиатуры слов позволяет очень точно определить род деятельности и круг интересов пользователей. Поэтому чаще всего можно наблюдать связку Spy - Adware, т.е. "Шпион" - "Модуль показа рекламы". Шпионская часть собирает информацию о пользователе и передает ее на сервер рекламной фирмы. Там информация анализируется и в ответ высылается рекламная информация, наиболее подходящая для данного пользователя. В лучшем случае реклама показывается в отдельных всплывающих окнах, в худшем - внедряется в загружаемые страницы и присылается по электронной почте. Однако собранная информация может использоваться не только для рекламных целей - например, получение информации о ПК пользователя может существенно упростить хакерскую атаку и взлом компьютера пользователя. А если программа периодически обновляет себя через Интернет, то это делает компьютер очень уязвимым - элементарная атака на DNS может подменить адрес источника обновления на адрес сервера хакера - такое "обновление" приведет к внедрению на ПК пользователя любого постороннего программного обеспечения.

Шпионское программное обеспечение может попасть на компьютер пользователя двумя основными путями:
  1. В ходе посещения сайтов Интернет. Наиболее часто проникновение шпионского ПО происходит про посещении пользователем хакерских и warez сайтов, сайтов с бесплатной музыкой и порносайтов. Как правило, для установки шпионского ПО применяются ActiveX компоненты или троянские программы категории TrojanDownloader по классификации лаборатории Касперского. Многие хакерские сайты могут выдать "крек", содержащий шпионскую программу или TrojanDownloader для ее загрузки;
  2. В результате установки бесплатных или условно-бесплатных программ. Самое неприятное состоит в том, что подобных программ существует великое множество, они распространяются через Интернет или на пиратских компакт-дисках. Классический пример - кодек DivX, содержащий утилиту для скрытной загрузки и установки Spy.Gator. Большинство программ, содержащих Spy-компоненты, не уведомляют об этом пользователя. Еще один пример - один мой знакомый нашел в Интернет бесплатную экранную заставку "Матрица", скачал ее с достаточно солидного сайта и установил - кроме заставки у меня на компьютере появилась утилита для вывода прогноз погоды, которая прописала себя в автозагрузку и при запуске полезла в Интернет. Компьютер пришлось чистить от этой программы, но мораль проста - заставка нигде при установке не сообщала о том, что установит это постороннее ПО;
Точных критериев для занесения программы в категорию "Spy" не существует, и очень часто создатели антивирусных пакетов относят программы категорий "Adware", "Hijacker" и "BHO" к категории "Spy" и наоборот.

Для определенности я ввел для себя ряд правил и условий, при соблюдении которых программу можно классифицировать как Spy (замечу, это моя классификация, но в ее основу я положил собранный мной материал и результаты анализа более 2000 вредоносных программ):
  1. Программа скрытно устанавливается на компьютер пользователя. Смысл данного пункта состоит в том, что инсталлятор обычной программы должен уведомить пользователя о факте установки программы (с возможностью отказа от установки), предложить выбрать каталог для установки и конфигурацию. Кроме того, после установки инсталлятор должен создать пункт в списке "Установка и удаление программ", вызов которого выполнит процесс деинсталляции. Шпионское программное обеспечение обычно устанавливается экзотическим способом (часто с использованием троянских модулей категории TrojanDownloader или ActiveX компонентов в HTML страницах) скрытно от пользователя, при это его деинсталляция в большинстве случаев невозможна. Второй путь инсталляции - скрытная установка в комплекте с какой-либо популярной программой;
  2. Программа скрытно загружается в память в процессе загрузки компьютера;
  3. Программа выполняет некоторые операции без указания пользователя - например, принимает или передает какую-либо информацию из Интернет;
  4. Программа загружает и устанавливает свои обновления, дополнения, модули расширения или иное ПО без ведома и согласия пользователя. Данное свойство присуще многим шпионским программам и чрезвычайно опасно, т.к. загрузка и установка происходит скрытно и часто ведет к нестабильной работе системы. Более того, механизмы автоматического обновления могут быть использованы злоумышленниками для передачи на ПК пользователя троянских модулей;
  5. Программа модифицирует системные настройки или вмешивается в функционирование других программ без ведома пользователя. Например, шпионский модуль может изменить уровень безопасности в настройках браузера или внести изменения в настройки сети. Классическим примером является Spy.New.Net, который устанавливает на ПК пользователя модуль newdotnet2_92.dll и регистрирует его в реестре как сервис разрешения имен сети TCP/IP. Все эти операции, естественно, производятся без ведома и согласия пользователя;
  6. Программа модифицирует информацию или информационные потоки. Типовым примером являются разные расширения для программы OutlookExpress, которые при отправке письма приписывают к нему свою информацию. Второй распространенный пример - модификация загружаемых из Интернет страниц (в страницы включается рекламная информация, некоторые слова или фразы превращаются в гиперссылки и т.п.)
В данной классификации следует особо отметить тот факт, что программа категории Spy не позволяет удаленно управлять компьютером и не передает логины / пароли и аналогичную им информацию своим создателям - подобные действия специфичны другой категории программ - "Trojan" и "BackDoor". Однако по многим параметрам программы категории Spy являются родственниками троянских программ.

Рассказав о программах категории Spy я хочу акцентировать внимание на неявном слежении за пользователем. Предположим, что у пользователя установлена безобидная программа, загружающая рекламные баннеры один раз в час. Анализируя протоколы рекламного сервера можно выяснить, как часто и как долго пользователь работает в Интернет, в какое время, через какого провайдера. Эта информация будет доступна даже при условии, что программа будет только загружать данные, не передавая никакой информации. Более того, каждая версия программы может загружать рекламу по уникальному адресу - можно узнать, какая именно версия программы у него установлена.

Adware - модули

Adware (синонимы AdvWare, Ad-Ware и т.п.) - это приложение, предназначенное для загрузки на ПК пользователя информации рекламного характера для последующей демонстрации этой информации пользователю. Соответственно термином "Adware-программа" называют программное обеспечение, которое в качестве оплаты за свое использование показывает пользователю рекламу. Соответственно "Adware-модуль" - это некая программная единица, реализующее Adware-механизмы (разрабатывается она, как правило, программистами компании, занимающейся рекламой, а не разработчиком приложения).

Базовое назначение Adware - это неявная форма оплаты за использование программного обеспечения, осуществляющаяся за счет показа пользователю Adware-программы рекламной информации (соответственно рекламодатели платят за показ их рекламы рекламному агентству, рекламное агентство - разработчику Adware программы). Adware механизм приложения может быть реализован в трех основных разновидностях:
  1. Независимое приложение. Это приложение, которое может работать независимо от установившего его программного обеспечения. Типовой пример - Spy.Gator. Как очевидно из префикса в названии приведенного в качестве примера Gator, большинство таких "приложений" по моей классификации попадает именно в категорию "Spy";
  2. Модуль расширения для браузера. Аналогично п.п. 1, отличается только тем, что расширение браузера сложнее обнаружить (подробнее с.м. раздел BHO);
  3. Библиотека или ActiveX компонент, загружаемый установившим его приложением и работающий в рамках его контекста и окон (или некий программный код, являющийся частью приложения). Именно эту разновидность можно отнести к категории "Adware" при соблюдении описанных ниже условий.
Для отнесения к категории "Adware" (замечу - по моей классификации) программа должна соблюдать ряд правил:
  1. При инсталляции на ПК программа должна предупредить пользователя о том, что является Adware приложением с разъяснением того, что понимается под "Adware". При этом инсталлятор должен предусматривать возможность отказа от установки приложения (а еще лучше - предлагать варианты установки - бесплатный Adware вариант или платный ShareWare вариант). Типовым примером "правильной" программы является менеджер закачек FlashGet, который честно предлагает два варианта установки - Adware или ShareWare;
  2. Adware модуль должен быть или библиотекой, загружаемой Adware программой, или неразрывной частью Adware-программы. При этом загрузка Adware-модуля должна естественно происходить при запуске приложения, выгрузка и прекращение работы - при выгрузке приложения из памяти;
  3. Adware-модуль должен воспроизводить рекламную информацию только в контексте вызывавшего его приложения. Недопустимо создание дополнительных окон, запуск сторонних приложений, открытие неких web страниц;
  4. Adware-модуль не должен выполнять действий, присущих программам категории Spy;
  5. Adware-модуль должен деинсталлироваться вместе с установившим его приложением;
Как легко заметить, как Adware приложению в моей классификации предъявляются серьезные требования и практически ни один Adware-модуль не удовлетворяет всем перечисленным требованиям и автоматически попадает или в категорию "Spy", или в категорию "Trojan".

TrojanDownloader - программы для несанкционированной загрузки и установки программного обеспечения

Программы из категории TrojanDownloader (понятие TrojanDownloader введено лабораторией Касперского) неоднократно упоминались, поэтому следует дать определение для данной категории программ. TrojanDownloader - это программа (модуль, ActiveX, библиотека …), основным назначением которой является скрытная несанкционированная загрузка программного обеспечения из Интернет. Наиболее известным источником TrojanDownloader являются хакерские сайты. Сам по себе TrojanDownloader не несет прямой угрозы для компьютера - он опасен именно тем, что производит неконтролируемую загрузку программного обеспечения. TrojanDownloader применяются в основном для загрузки вирусов, троянских и шпионских программ. Наиболее известными (по моей статистике) являются TrojanDownloader.IstBar, TrojanDownloader.Win32.Dyfuca, TrojanDownloader.Win32.Swizzor и ряд других. TrojanDownloader.IstBar поставил своеобразный рекорд по количеству различных модификаций и своей вредоносности - его появление на компьютере приводит к резкому росту трафика и появлению на ПК множества посторонних программ.

Все программы категории TrojanDownloader можно условно подразделить на две категории:
  1. Универсальные TrojanDownloader - могут загружать любой программный код с любого сервера;
  2. Специализированные - предназначены для загрузки строго определенных типов троянских или шпионских программ. Примером может служить знаменитый Gain_tricler, загружающий программы пакета Gator.
Dialer

Программы категории Dialer (он-же на жаргоне системщиков называется "порнозвонилка", я в шутку окрестил эту категорию "порноскоп") достаточно широко распространены и предназначены для решения ряда задач, связанных с дозвонкой до заданного сервера и установления с ним модемной связи. Применяются данные программы в основном создателями порносайтов, но страдают от них все - многие программы категории Dialer используют весьма изощренные способы установки (с использованием ActiveX, TrojanDownloader и т.п.), причем установка может быть инициирована при посещении практически любого сайта.

Организацию модемного соединения с сервером владельца Dialer может производить несколькими способами:
  • Dialer может производить набор номера и установление соединения своими средствами;
  • Dialer может создать новое соединение удаленного доступа;
  • Dialer может изменить существующие соединения удаленного доступа;
В первых двух случаях Dialer, как правило, всячески привлекает внимание пользователя к себе и созданным им соединением - копирует себя во все доступные места (в папку Program Files, Windows, Windows\System, папку "Пуск" и т.п.), создает ярлыки, регистрирует себя в автозапуске.

Часто кроме решения основной задачи программы типа Dialer выполняют задачи, свойственные программам других категорий (adware, Spy, TrojanDownloader). Некоторые Dialer устанавливают себя на автозапуск, внедряются в другие приложения - например, мне известен Dialer, регистрирующий себя как расширение языка Basic и запускающийся при открытии любого приложения Microsoft Office, использующего скрипты.

Некоторые программы типа Dialer можно смело относить к троянским программам (а многие производители антивирусов считают Dialer троянской программой - на сайте производителей Norton Antivirus про Dialer говорится "троянская программа, предназначенная для …"), в классификации лаборатории Касперского есть специальная категория Trojan.Dialer.

Кроме утилит дозвонки к категории Dialer часто относят специализированные утилиты для просмотра порносайтов. Ведут они себя аналогично Dialer, только вместо модемного соединения соединяются с закрытими сайтами по Интернет.

BHO - Browser Helper Object

BHO (альтернативные названия - Browser Helper Object, Browser Plugin, Browser Bar, IE Bar, OE Bar и т.п., в классификации лаборатории Касперского есть категория Toolbar) - это расширение браузера или программы электронной почты, как правило выполненное в виде дополнительной панели управления. У BHO есть ряд достаточно опасных особенностей:
  • BHO не являются процессам системы - они работают в контексте браузера и не могут быть обнаружены в диспетчере задач;
  • BHO запускаются вместе с браузером и могут контролировать события, связанные с работой пользователя в Интернет (по сути, BHO для этого и предназначены);
  • BHO обмениваются с сетью, используя API интеграции с браузером. Поэтому, с точки зрения персональных FireWall обмен с Интернет ведет браузер. Как следствие, обнаружить такой обмен и воспрепятствовать ему очень сложно. Ситуация отягощается тем, что многие BHO, входящие в категорию "Spy", передают информацию после запроса пользователя - это делает практически невозможным обнаружение постороннего обмена с Интернет, т.к. он идет на фоне полезного трафика;
  • Ошибки в работе BHO могут дестабилизировать работу браузера и приводить к трудно диагностируемым сбоям в его работе;
Hijacker

Буквальный перевод этого термина звучит как "налетчик", "грабитель", "воздушный пират". Это программа, которая выполняет на компьютере пользователя нежелательные для него действия, преследуя цели своих разработчиков. Производитель многих антивирусных средств относят программы категории Hijacker к троянским программам, по моей классификации они вписываются в категорию Spy. Задачей программ класса Hijacker является перенастройка параметров браузера, электронной почты или других приложений без разрешения и ведома пользователя. В зарубежных источниках мне встречалось определение Hijacker - "утилита, которая изменяет настройки браузера без ведома пользователя".

Наиболее часто Hijacker применяется для изменения:
  • Стартовой страницы браузера - стартовая страница заменяется на адреса сайта создателей Hijacker;
  • Настройки системы поиска браузера (эти настройки хранятся в реестре). В результате при нажатии кнопки "Поиск" открывается адрес, установленный программой Hijacker;
  • Уровней и настроек безопасности браузера;
  • Реакции браузера на ошибки - мне встречался Hijacker, заменяющий стандартные странички IE, описывающие ошибки типа 404 на собственные;
  • Модификации списка адресов ("Избранное") браузера
В чистом виде Hijacker встречается сравнительно редко, т.к. чаще всего по выполняемым действиям программа может быть кроме категории "Hijacker" отнесена к категориям "Trojan","Dialer" или "Spy".

Trojan - троянская программа

Троянская программа - это программа, которая выполняет действия, направленные против пользователя - собирает и передает владельцам конфиденциальную информацию о пользователе (эту категорию еще называют TrojanSpy), выполняет несанкционированные или деструктивные действия. Из определения легко заметить, что троянска программа является "родственником" программ из категории Spy (SpyWare) - разница как правило в том, что Spy не имеют выраженного деструктивного действия и не передают конфиденциальную информацию о пользователе. Однако вопрос об отнесении программы к той или иной категории достаточно спорный (часто получается, что одна антивирусная компания считает некий модуль Adware, другая - троянской программой, третья - вообще игнорирует). Я в своей классификации ввел понятие "Spy" именно потому, что в последнее время появилось множество программ, которые недотягивают по вредоносности до отнесения к категории Trojan.

Троянская программа может быть выполнена в виде отдельной самостоятельной программы, части (модуля) другой программы (или компьютерного вируса) или программной закладки.

Backdoor - утилита скрытного удаленного управления и администрирования

Backdoor - это программа, основным назначением которой является скрытное управление компьютером. Backdoor можно условно подразделить на следующие категории:
    • Backdoor, построенные по технологии Client - Server. Такой Backdoor состоит как минимум из двух программ - небольшой программы, скрытно устанавливаемой на поражаемый компьютер и программы управления, устанавливаемой на компьютер злоумышленника. Иногда в комплекте идет еще и программа настройки
    • Backdoor, использующие для удаленного управления встроенный telnet, web или IRC сервер. Для управления таким Backdoor не требуется специальное клиентское программное обеспечение. К примеру, я как-то исследовал Backdoor, который подключался к заданному IRC серверу и использовал его для обмена со злоумышленником
Основное назначение Backdoor - скрытное управление компьютером. Как правило, Backdoor позволяет копировать файлы с пораженного компьютера и наоборот, передавать на пораженный компьютер файлы и программы. Кроме того, обычно Backdoor позволяет получить удаленный доступ к реестру, производить системные операции (перезагрузку ПК, создание новых сететвых ресурсов, модификацию паролей и т.п.). Backdoor по сути открывает атакующему "черный ход" на компьютер пользователя. Опасность Backdoor увеличилась в последнее время в связи с тем, что многие современные сетевые черви или содержат в себе Backdoor-компоненту, или устанавливают ее после заражения ПК. Второй особенностью многих Backdoor программ является то, что они позволяют использовать компьютер пользователя для сканирования сети, проведения сетевых атак взлома сетей - при этом попытки взлома ведутся с ничего не подозревающего компьютера пользователя.



В моей практике был случай, когда пограничный Firewall обнаружил попытку атаки на сеть ОАО Смоленскэнерго (сканирование портов, попытка передачи exploit по открытым портам). Анализ показал, что атака идет с компьютера соседней фирмы (подключенной к Интернет через того же провайдера, что и Смоленскэнерго). Проверка компьютера "хакера" показала, что на самом деле никаких атак с него пользователем не проводилось, но на компьютере была обнаружена достаточно мощная и известная Backdoor программа - именно через нее и было организовано сканирование портов. Этот пример достаточно показателен и говорит о том, что наличие на компьютере установленных злоумышленником (или вирусом) Backdoor - программ может привести к большим неприятностям, если Backdoor будет использован для атаки на другие сети или компьютеры - источником атаки естественно будет зараженный компьютер и именно с его пользователем будет в первую очередь "воевать" служба безопасности провайдера или соответвующие подразделения ФСБ.

RootKit

В системе Windows под RootKit принято считать программу, которая внедряется в систему и перехватывает системные функции (API). Перехват и модификация низкоуровневых API функций в первую очередь позволяет такой программе достаточно качественно маскировать свое присутствие в системе. Кроме того, как правило RootKit может маскировать присутствие в системе любых описанных в его конфигурации процессов, папок и файлов на диске, ключей в реестре. Многие RootKit устанавливают в систему свои драйвера и сервисы (они естественно так-же являются «невидимыми»). В настоящее время RootKit - технология становится весьма популярной в различных троянских и Backdoor программах, где применяется в основном для маскировки процессов, сервисов и прослушиваемызх портов
Для детектирования RootKit применябтся специальные программы. В частности, AVZ может не только детектировать присутствие RootKit в системе, но и блокировать его работу с выявлением принадлежащих RootKit процессов, сервисов и драйверов.

KeyLogger - клавиатурный шпион

KeyLogger - это программа для скрытной записи информации о нажимаемых пользователем клавишах.
Синонимы - клавиатурный шпион, кейлоггер; реже встречается термины "снупер", "snoop", "snooper" (от англ. snoop - буквально "человек, вечно сующий нос в чужие дела")
Как правило, современный KeyLogger не просто записывает коды вводимых клавиш - он "привязывает" клавиатурный ввод к текущему окну и элементу ввода. Кроме того, многие KeyLogger отслеживают мписок запущенных приложений, умеют делать "снимки" экрана по заданному расписанию или событию, шпионить за содержимым буфера обмена и решать ряд задач, нацеленных на скрытное слежение за пользователем. Большинство современных KeyLogger-в формруют отчеты по различным критериям, могут передавать их по электронной почте или http/ftp протоколу. Кроме того, многие современные KeyLogger пользуются RootKit технологиями для сокрытия своего пристутствия в системе.
Для системы KeyLogger как правило безопасен, но черезвычайно опасен для пользователя - при помощи клавиатурного шпиона можно перехватить пароли и прочую конфиденциальную информацию, вводимую пользователем. К сожелению, в последнее время известны сотни разнообразных KeyLogger, причем многие из них не ловятся антивирусами.
Наиболее эффективными мерами борьбы с клавиатурными шпионами являеются различные эвристические алгоритмы, производящие анализ проверяемой системы на предмет наличия в ней Keylogger..

источник информации: © Зайцев Олег, "Информационная безопасность" 2004.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху