SpyWare, Trojan, Backdoor - угроза безопасности вашего ПК
Автор – Зайцев Олег
Оригинал http://z-oleg.com/secur/nets-spy.htm
Введение
Данная статья посвящена достаточно актуальной в настоящей момент проблеме – проблеме вредоносного программного кода. Если раньше ситуация была достаточно простой – существовали прикладные программы (включая операционную систему) и вирусы, т.е. вредоносные программы, устанавливающиеся на ПК пользователя без его желания.
Однако в последнее время появилось множество программ, которые нельзя считать вирусами (т.к. они не обладают способностью к размножению), но и нельзя отнести к категории "полезных" программ, т.к. они устанавливаются на компьютер скрытным образом и выполняют некоторые задачи без ведома пользователей). В Интернет для таких программ сформировалось множество названий SpyWare, Adware, Dialer и т.п. Классификация эта достаточно спорная – производители различного антивирусного ПО относят одну и ту же программу к разным категориям, внося некоторую путаницу.
Поэтому в своей статье я хочу сделать попытку определить некоторую классификацию программ и сформулировать критерии, по которым программу можно отнести к категории SpyWare и Adware.
Для удаления вредоносных программы (SpyWare, Trojan, Backdoor, TrojanDownloader, Adware...) Вы можете скачать мою бесплатную антивирусную программу AVZ.
Spy – программы-шпионы
Программой-шпионом (альтернативные названия – Spy, SpyWare, Spy-Ware, Spy Trojan и т.п.) принято называть программное обеспечение, собирающее и передающее кому-либо информацию о пользователе без его согласия. Информация о пользователе может включать его персональные данные, конфигурацию его компьютера и операционной системы, статистику работы в сети Интернет.
Цели Spyware
Шпионское ПО применяется для ряда целей, из которых основным являются маркетинговые исследования и целевая реклама. В этом случае информация о конфигурации компьютера пользователя, используемом им программном обеспечении, посещаемых сайтах, статистика запросов к поисковым машинам и статистика вводимых с клавиатуры слов позволяет очень точно определить род деятельности и круг интересов пользователей. Поэтому чаще всего можно наблюдать связку Spy – Adware, т.е. "Шпион" – "Модуль показа рекламы". Шпионская часть собирает информацию о пользователе и передает ее на сервер рекламной фирмы. Там информация анализируется и в ответ высылается рекламная информация, наиболее подходящая для данного пользователя. В лучшем случае реклама показывается в отдельных всплывающих окнах, в худшем – внедряется в загружаемые страницы и присылается по электронной почте. Однако собранная информация может использоваться не только для рекламных целей – например, получение информации о ПК пользователя может существенно упростить хакерскую атаку и взлом компьютера пользователя. А если программа периодически обновляет себя через Интернет, то это делает компьютер очень уязвимым – элементарная атака на DNS может подменить адрес источника обновления на адрес сервера хакера – такое "обновление" приведет к внедрению на ПК пользователя любого постороннего программного обеспечения.
Способы проникновения на компьютер
Шпионское программное обеспечение может попасть на компьютер пользователя двумя основными путями:
- В ходе посещения сайтов Интернет. Наиболее часто проникновение шпионского ПО происходит про посещении пользователем хакерских и warez сайтов, сайтов с бесплатной музыкой и порносайтов. Как правило, для установки шпионского ПО применяются ActiveX компоненты или троянские программы категории TrojanDownloader по классификации лаборатории Касперского. Многие хакерские сайты могут выдать "крек", содержащий шпионскую программу или TrojanDownloader для ее загрузки;
- В результате установки бесплатных или условно-бесплатных программ. Самое неприятное состоит в том, что подобных программ существует великое множество, они распространяются через Интернет или на пиратских компакт-дисках. Классический пример – кодек DivX, содержащий утилиту для скрытной загрузки и установки Spy.Gator. Большинство программ, содержащих Spy-компоненты, не уведомляют об этом пользователя. Еще один пример – один мой знакомый нашел в Интернет бесплатную экранную заставку "Матрица", скачал ее с достаточно солидного сайта и установил – кроме заставки у меня на компьютере появилась утилита для вывода прогноз погоды, которая прописала себя в автозагрузку и при запуске полезла в Интернет. Компьютер пришлось чистить от этой программы, но мораль проста – заставка нигде при установке не сообщала о том, что установит это постороннее ПО;
Классификация
Точных критериев для занесения программы в категорию "Spy" не существует, и очень часто создатели антивирусных пакетов относят программы категорий "Adware", "Hijacker" и "BHO" к категории "Spy" и наоборот.
Для определенности я ввел для себя ряд правил и условий, при соблюдении которых программу можно классифицировать как Spy (замечу, это моя классификация, но в ее основу я положил собранный мной материал и результаты анализа более 2000 вредоносных программ):
- Программа скрытно устанавливается на компьютер пользователя. Смысл данного пункта состоит в том, что инсталлятор обычной программы должен уведомить пользователя о факте установки программы (с возможностью отказа от установки), предложить выбрать каталог для установки и конфигурацию. Кроме того, после установки инсталлятор должен создать пункт в списке "Установка и удаление программ", вызов которого выполнит процесс деинсталляции. Шпионское программное обеспечение обычно устанавливается экзотическим способом (часто с использованием троянских модулей категории TrojanDownloader или ActiveX компонентов в HTML страницах) скрытно от пользователя, при это его деинсталляция в большинстве случаев невозможна. Второй путь инсталляции – скрытная установка в комплекте с какой-либо популярной программой;
- Программа скрытно загружается в память в процессе загрузки компьютера;
- Программа выполняет некоторые операции без указания пользователя – например, принимает или передает какую-либо информацию из Интернет;
- Программа загружает и устанавливает свои обновления, дополнения, модули расширения или иное ПО без ведома и согласия пользователя. Данное свойство присуще многим шпионским программам и чрезвычайно опасно, т.к. загрузка и установка происходит скрытно и часто ведет к нестабильной работе системы. Более того, механизмы автоматического обновления могут быть использованы злоумышленниками для передачи на ПК пользователя троянских модулей;
- Программа модифицирует системные настройки или вмешивается в функционирование других программ без ведома пользователя. Например, шпионский модуль может изменить уровень безопасности в настройках браузера или внести изменения в настройки сети. Классическим примером является Spy.New.Net, который устанавливает на ПК пользователя модуль newdotnet2_92.dll и регистрирует его в реестре как сервис разрешения имен сети TCP/IP. Все эти операции, естественно, производятся без ведома и согласия пользователя;
- Программа модифицирует информацию или информационные потоки. Типовым примером являются разные расширения для программы OutlookExpress, которые при отправке письма приписывают к нему свою информацию. Второй распространенный пример – модификация загружаемых из Интернет страниц (в страницы включается рекламная информация, некоторые слова или фразы превращаются в гиперссылки и т.п.)
В данной классификации следует особо отметить тот факт, что программа категории Spy не позволяет удаленно управлять компьютером и не передает логины / пароли и аналогичную им информацию своим создателям – подобные действия специфичны другой категории программ – Trojan и Backdoor. Однако по многим параметрам программы категории Spy являются родственниками троянских программ.
Рассказав о программах категории Spy я хочу акцентировать внимание на неявном слежении за пользователем. Предположим, что у пользователя установлена безобидная программа, загружающая рекламные баннеры один раз в час. Анализируя протоколы рекламного сервера можно выяснить, как часто и как долго пользователь работает в Интернет, в какое время, через какого провайдера. Эта информация будет доступна даже при условии, что программа будет только загружать данные, не передавая никакой информации. Более того, каждая версия программы может загружать рекламу по уникальному адресу – можно узнать, какая именно версия программы у него установлена.
Программы для отлова Spyware
Ad-aware
Spybot – Search & Destroy
AVZ
BPS Spyware/Adware Remover
Прокомментировать данный раздел и задать вопросы вы можете на нашем ФОРУМЕ
Мы искренне сочувствуем пострадавшим от описанных на наших страницах вредительских программ. Если вы не смогли победить их самостоятельно, мы рекомендуем обратиться к нашим друзьям и высококвалифицированным специалистам по борьбе с вредителями на форум http://virusinfo.info/