Вирусы, черви, трояны, шпионские программы, программы-вымогатели и рекламное ПО — все это распространенные типы вредоносных программ (вредоносы, зловреды, малвари), о которых большинство из нас слышали, некоторые даже встречали на своих устройствах.
Но о чём переживать пользователю, у которого установлен мощный антивирусный комплекс, полностью заряженный актуальными вирусными записями и готовый противостоять любому зловреду? Любому ли? И как на счёт Riskware?
Что такое и как работает Riskware?
Термин Riskware (РПО), который появился в результате словослияния «риск» (risk) и «программное обеспечение» (ware), используется для описания любой легальной и вполне законной программы, которая не является разработкой киберзлодейского синдиката, но при этом имеет определенные уязвимости в безопасности. Эти «дыры» злоумышленники пытаются использовать для развертывание какого-либо вредоносного ПО, которое после установки в систему, станет вытягивать из неё конфиденциальную информацию.
СтопХамСПб — Потенциально опасные
Но как именно работает riskware, и как происходят эти атаки?
После того, как киберпреступники обнаружат уязвимость в каком-нибудь популярном приложении, они попытаются эту уязвимость эксплуатировать. В случае успеха их попытка приводит к тому, что целевое программное обеспечение будет скомпрометировано, но пользователь об этом не узнает.
Примером Riskware можно назвать KMS-активатор операционных систем Windows. Это утилита, которая позволяет обойти требование лицензии ОС от Майкрософта для пользовательского ПК, установкой ключа через сторонний (иногда абсолютно не понятно чей) сервер.
Через открытый порт на клиентском ПК злоумышленники могут «просунуть» для развёртывания любой вредоносный скрипт. Ведь пользователь разрешил этому приложению вносить изменения в систему, а возможно еще и отключил антивирус (добавил KMS в исключения). Сам активатор может и не быть вредоносным ПО, но дыру в его безопасности злодеи могут эксплуатировать в своих гнусных замыслах.
Я не сторонник активации Windows с помощью KMS-утилит, тем более, что Майкрософт пока не требует от меня денег за использование Windows без приобретения лицензии. Однако если вам просто «кровь из носу» необходима активация Windows, делайте это хотя бы из более-менее известных источников.
Но бэкдоры — это лишь один из немногих аспектов РПО. Термин Riskware можно применить к любой программе, которая своей активностью может вызывать сбой в работе других утилит или нарушать законы страны, где физически находится и работает пользователь.
Какие типы рисков существуют?
Термин Riskware (РПО) появился в результате словослияния «риск» (risk) и «программное обеспечение» (ware) / Дзен.Уловка-32 / Изображение из ОИИ
Существует множество различных типов РПО, включая программы-дозвонщики, IRC-клиенты, утилиты для мониторинга, ПО для управления паролями, автоматические установщики ПО и многое другое. Однако наиболее распространенными из них являются инструменты удаленного доступа, загрузчики файлов и, как ни странно, системные исправления.
Защита от шпионских и потенциально опасных программ
Средства удаленного доступа
Инструменты удаленного доступа и программы администрирования — это то, без чего ИТ-отделы просто не могут жить. Но все эти утилиты являются одной большой «дырой» в безопасности. Если такие программы не защищены должным образом, злоумышленникам легко получить полный доступ к нескольким машинам в сети и тем самым поставить под угрозу безопасность всей компании.
Загрузчики файлов
Загрузчики файлов (менеджеры загрузки) также часто являются опасными, потому что, даже если такое ПО само по себе не является зловредом, оно может скрытно загружать вредоносные программы. А поскольку ваш антивирус не распознает малварь в вашем легальном загрузчике файлов, ему будет разрешено загружать нежелательное и потенциально опасное программное обеспечение в систему.
Системные патчи
Это может показаться нелогичным, но исправления безопасности и обновления операционной системы являются самым распространенным типом РПО. Хотя в этом нет ничего удивительного: главным поставщиком «черных дыр» в систему всегда была корпорация Майкрософт 🙁
Однако это не означает, что вы должны отключить регулярное обновление системы. Просто вам нужно знать эту информацию, а если опасаетесь, что очередной патч может угрожать стабильности и безопасности системы — обождите недельку, отложив его установку.
Как обнаружить опасное ПО и предотвратить через него атаку
Не являясь зловредом по сути, riskware трудно уловим сканерами антивирусных программ / Дзен.Уловка-32 / Изображение из ОИИ
Не являясь зловредом по сути, riskware трудно уловим сканерами антивирусных программ. И это по-настоящему серьезная проблема. Потому что в этом вопросе AV, установленное в системе, вам не помощник и всё что вам остаётся — попытаться обнаружить РПО собственными силами.
Первое, что вы должны сделать при проверке устройства на наличие опасных программ, это искать любое ПО, к установке которого, вы не имеете никакого отношения. Найдя, удалите без сожаления.
Во-вторых, всегда проверяйте разрешения перед использованием приложения. В большей степени это касается мобильных устройств. Например, приложению для чтения электронных книг требуется доступ к файлам для открытия документов, но ему не нужен доступ к камере или контактам. Если он запрашивает такие разрешения, это, скорее всего, riskware.
Еще одна вещь, которую вы должны сделать, это проанализировать своё устройство на наличие приложений, которые не обновлялись в течение длительного времени. Если программа не получает регулярных обновлений от своего разработчика, это потенциальная угроза безопасности.
И, наконец, существуют угрозы риска, которые не имеют бэкдоров или очевидных уязвимостей безопасности, но взаимодействуют с другим программным обеспечением на устройстве таким образом, что они мешают этому ПО делать то, для чего оно предназначено.
Выполнение этих шагов поможет вам определить потенциальное РПО. Если вы нашли такую программу, убедитесь, что вы удалили ее со своего устройства. В общем, вы должны загружать программное обеспечение только из авторитетных и официальных источников, избегать программ, которые запрашивают ненужные разрешения, ограничивать права администратора и следить за любым необычным поведением на вашем компьютере или смартфоне.
Riskware — уникальная проблема цифровой безопасности, потому что практически любая программа может быть рискованной, включая программное обеспечение, которое было предустановлено на вашем устройстве производителем.
Однако пользователю не следует унывать, предполагая ужасные вещи, которые способны сотворить злодеи, используя уязвимости РПО. И лучший способ не доставить киберпреступникам радости — оставаться начеку и бдительно следить за любыми изменениями на ваших устройствах. Одновременно быть максимально избирательным с выбором и установкой ПО, обходя стороной малоизвестные источники и непроверенных разработчиков. Следить за последними тенденциями в кибербезопасности, не забывать о стратегии безопасности, выстраивать которую должен, первую очередь, с учётом анализа современных угроз.
Источник: dzen.ru
Потенциально опасное программное обеспечение сообщение
В настоящее время сектор вредоносного программного обеспечения:
Классификация вредоносного программного обеспечения
Внешние проявления вредоносных программ
При появлении этих признаков следует уделить внимание антивирусной безопасности. Например, обновить базы антивируса и провести полную проверку компьютера.
эвристические технологии – технологии анализа кода вируса и выявления в нём характеристик, присущих некоторому внутреннему списку признаков вредоносного программного обеспечения.
Потенциально опасные программы не способны самостоятельно размножаться или заражать файлы, не имеют недокументированных возможностей. Они осуществляют только ту функцию, которая заложена в них разработчиком. Это может быть показ рекламных роликов или картинок, перенаправление пользователя на определенные сайты, осуществление вызовов на какие-либо номера и т.д. При этом явный вред для системы или владельца компьютера не наступает, но риск ущерба присутствует.
Классификация потенциально опасных программ (riskware)
Можно выделить ряд видов потенциально опасных программ.
Вред от потенциально опасных программ
Потенциально опасные программы могут быть нацелены на компьютерные устройства любых пользователей. Их внедрение грозит разными последствиями: от замедленной работы системы до полного контроля компьютера извне. Попадание riskware в машины коммерческих структур и других организаций грозит сбоями в работе, повышением риска заражения вредоносными программами, потерей данных, нарушением производственных процессов. Компьютеры пользователей могут стать источником рассылки спама и сетевых атак.
Источники потенциально опасных программ
Загрузить потенциально опасное программное обеспечение можно как со вполне легальных сайтов, так и с ресурсов сомнительного содержания. В ряде случаев для этого даже не нужно выполнять никаких специальных действий: например, рекламная программа может быть частью дистрибутива нужного приложения. Формально пользователь имеет возможность отказаться от ее установки, но соответствующая функция часто скрывается в неочевидных местах. Впрочем, присутствие потенциально опасных приложений обычно легко заметить: всплывающая реклама, изменение домашних страниц браузеров, самопроизвольный запуск интернет-обозревателя, появление лишних панелей инструментов, увеличение интернет-трафика, медленная работа машины привлекают внимание и мешают работать.
Риски потенциально опасных программ
Условно опасные программы не являются вредоносными и не содержат деструктивный код, поэтому антивирусные программы не всегда реагируют на них. Большинство антивирусов обладает необходимыми возможностями или отдельными базами сигнатур для определения таких программ, но эти функции, как правило, не включены по умолчанию; активировать их можно в настройках. Существуют и специализированные утилиты для борьбы с рекламными или шпионскими приложениями. Регулярно следует проверять свой ПК, ноутбук, планшет или смартфон с помощью антивирусной программы с такой опцией и выполнять предлагаемые действия по очистке системы. Полезно также внимательно относиться к подозрительным или аномальным событиям на компьютере.
Доброго времени суток.
Я думаю, что многие пользователи сталкивались с подобными предупреждениями защитника Windows (как на рис. 1), который устанавливается и защищает Windows автоматически, сразу же после ее инсталляции.
Рассмотрим порядок действий и в том и в другом случае.
Как добавить программу в белый список, чтобы не было предупреждений защитника
Рис. 2. Центр уведомлений в Windows 10
Рис. 3. Безопасность и обслуживание
Рис. 4. Защитник Windows
Затем для конкретной угрозы, которую обнаружил защитник, можно выбрать три варианта событий (см. рис. 5):
Рис. 6. Защитник Windows: все в порядке, компьютер защищен.
Если не знаешь что делать — лучше узнай, а потом делай (а не наоборот) :)…
1) Первое, что я рекомендую — это в самом защитнике выбрать опцию карантин (или удалить ) и нажать « OK «. Абсолютное большинство опасных файлов и вирусов — не опасны, пока они не будут открыты и запущены на компьютере (обычно, такие файлы запускает сам пользователь). Поэтому, в большинстве случаев, когда подозрительный файл будет удален — ваши данные на ПК будут в безопасности.
Многие пользователи думают, что хороший антивирус — можно заполучить только за деньги. Сегодня есть и весьма не плохие бесплатные аналоги, которые порой дают фору платным раскрученным продуктам.
Существует немало разновидностей вредоносного и опасного программного обеспечения – трояны, вирусы, шифровальщики и т.п. Специалисты часто выделяют в отдельную категорию потенциально опасное программное обеспечение. Что это такое? Что надо делать, если вы обнаружили на своем компьютере потенциально опасную программу? Попробуем разобраться.
Скрытая угроза
К потенциально опасным программам относят сразу несколько разновидностей утилит и инструментов. Некоторые подобные программы распространяются через официальные сайты разработчиков, а другие поставляются в комплекте с другими утилитами. Рассмотрим несколько подробнее виды потенциально опасных программ.
Виды потенциально опасного ПО
Инструменты удаленного администрирования
К этим программам относят средства, позволяющие получить контроль над системой. Примерами таких программ могут служить PuTTY, TeamViewer, Radmin и их различные модификации. Если вы сознательно установили программу подобного рода, чтобы вам помог сотрудник службы технической поддержки или друг, все в порядке. Но если программы для удаленного управления системой появились на компьютере без вашего согласия – это повод насторожиться.
Утилиты для подбора и восстановления паролей
Их, конечно, можно использовать не только для того, чтобы подобрать забытый пароль от своего архива с документами, но и для получения чужой конфиденциальной информации.
FTP-серверы и инструменты для обмена файлами
Скрытая установка подобных программ позволяет получить доступ к вашим файлам.
Программы для массовой рассылки электронных писем
Они могут использоваться сознательно, например, для создания информационных рассылок, но с их помощью злоумышленник может превратить ваше устройство в часть ботнета, распространяющего спам.
Программы мониторинга, а также утилиты, позволяющие отслеживать действия пользователя в системе
Как и прочие потенциально опасные программы, они могут использоваться с согласия пользователя и быть вполне полезны, но в руках злоумышленника такие программы превращаются в средство наблюдения за частной жизнью пользователя.
Кейлоггеры – клавиатурные шпионы, записывающие информацию о нажатых клавишах
Также к категории потенциально опасных программ временами относят рекламные приложения, некоторые браузерные расширения и т.д. Многие подобные программы создаются по заказу крупных компаний, собирающих информацию о потребительских предпочтениях своих клиентов. Анализируются посещаемые сайты, данные об используемых программах и т.п.
В чем опасность?
Разумеется, в тех случаях, когда вы установили, например, инструменты для удаленного администрирования системы самостоятельно, даете доступ к файлам только знакомым специалистам и понимаете, как подобные программы работают, можно не волноваться. Но нередко потенциально опасные программы устанавливаются без оповещений, вместе с полезными утилитами. Подобное ПО можно скачать как на официальных сайтах разработчиков, так и в различных файлообменных сетях. Поэтому от потенциально опасных программ надо защищаться.
Использование потенциально опасного ПО может приводить к проблемам. В лучшем случае компьютер начнет работать немного медленнее, например, из-за того, что в фоновом режиме работает утилита для мониторинга системных ресурсов. В худшем случае управление устройством окажется в руках злоумышленников, что позволит им получить доступ ко всей вашей информации, уничтожить или зашифровать данные.
Как распознать угрозу и устранить ее?
Наиболее эффективный способ защиты от потенциально опасных программ – качественный антивирус.
От множества опасных программ вас защитит, например, антивирус ESET NOD32. Антивирусные базы этого программного продукта постоянно обновляются и содержат сведения о тысячах потенциально опасных утилит. Абоненты ОнЛайм могут приобрести лицензию для базовой защиты ПК всего за 890 рублей в год (90 рублей в месяц с 61 дня использования). Также можно использовать ESET NOD32 Smart Security за 1390 рублей в год (139 рублей в месяц с 61 дня использования) – в этот набор программ дополнительно включен сетевой экран, антиспам, модуль родительского контроля и другие полезные компоненты.
Хороший антивирус определит, что в системе установлено потенциально опасное ПО, и поможет его удалить. Отметим, что и собственная внимательность, разумеется, не повредит. Некоторые косвенные признаки могут свидетельствовать о том, что на вашем компьютере появились нежелательные программы:
- В списке процессов Windows (он вызывается нажатием комбинации клавиш Shift+Ctrl+Esc) появились неизвестные программы.
- Постоянно происходит передача данных по Сети, даже если вы ничего не скачиваете.
- Появляются предупреждения об удаленных подключениях к вашему компьютеру.
- В браузере появились новые тулбары или кнопки, изменился поисковик, используемый по умолчанию, или домашняя страница.
В этих случаях необходимо проверить свое устройство с помощью антивируса. Также не помешает проверить список установленных программ, выполнив команду control appwiz.cpl (для этого нажмите клавиши Win+R и введите команду в появившееся поле) и поискать описания незнакомых приложений в Интернете, чтобы проверить, нет ли среди них потенциально опасных.
Итак, хороший антивирус и бдительность защитят вас от потенциально опасных программ. Стоит напомнить, что доступ к своим данным можно предоставлять только тем людям, которым вы полностью доверяете. Даже с помощью безвредных инструментов злонамеренный пользователь может уничтожить ваши данные или причинить иной вред компьютеру.
Такие программы имеют потенциал нелегального использования и часто оказываются в эпицентре внимания, становясь полноценными средствами управления компьютерами в злонамеренных целях.
Источник: obrazovanie-gid.ru
Антивирусники не знают что делать с riskware
Рекомендуем почитать:
Xakep #288. Неправильные эльфы
- Содержание выпуска
- Подписка на «Хакер» -60%
Так называемые «условно опасные» программы стали «яблоком раздора» для антивирусных компаний и разработчиков ПО. Последние недовольны, когда их продукция детектируется как riskware или вирус. В крайних случаях оппонентам приходится отстаивать свои интересы в суде. Однако, как показывает практика, ни одно из действующих законодательств пока не в состоянии разрешить этот нелегкий спор.
Условно (или потенциально) опасные программы (riskware) являются головной болью для антивирусных компаний, считает генеральный директор «Лаборатории Касперского» Наталья Касперская. Это программы, которые не классифицируятся как вирусы, но могут, тем не менее, нанести ущерб пользователю. Сами по себе они не являются вредоносными и не содержат в себе деструктивный код. При этом в «Лаборатории Касперского» предлагают различать три категории подобных программ: Adware, Pornware и собственно Riskware.
Adware (рекламное ПО) объединяет программы показа рекламы на компьютерах пользователей. Нередко они входят в состав официально поставляемых продуктов, производители которого предоставляют условно бесплатные версии своего ПО. Такие программы, как известно, просматривают cookies и линки пользователя и в результате досаждают ему рекламой, контент которой, по их мнению, соответствует его вкусам и предпочтениям. В отдельных случаях Adware попадает на компьютер в результате несанкционированной установки ПО (заражение троянцем) или приходит по почте. Нередко антивирусные вендоры детектирует эти программы как шпионские
Особую категорию составляет Pornware, попадающее на машину через Porno-dialers – программы, дающие доступ к платным порноресурсам с использованием коммутируемого соединения, либо путем загрузки порнографии с соответствующих интернет-сайтов.
По словам Натальи Касперской, львиная доля потенциально опасных программ приходится на третью категорию – riskware-программное обеспечение, которое при некоторых условиях может стать рискованным для пользователя (FTP, IRC, MIrc, proxy, утилиты удаленного администрирования). В ряде случаев подобные программы попадают в руки хакеров, что позволяет им эффективно ими пользоваться в своих целях и заниматься рассылкой троянов.
«Главная проблема заключается в том, что разработчик программы и антивирусная компания разделяют принципиально разные точки зрения в данном вопросе. Антивирусная компания, как ей и полагается, детектирует вирусы, разработчик, со своей стороны, не хочет терять своих денег и не желает, чтобы его программу удаляли», — комментирует г-жа Касперская.
«Каждый разработчик должен предварительно договариваться с антивирусной компаний и пытаться найти с ней понимания. Нам периодически присылают версии программ, которые мы детектируем… Также можно ввести практику выдачи антивирусным вендором специального сертификата, который удостоверяет то, что программу можно считать безопасной», — поделилась соображениями г-жа Касперская.
Вместе с тем, реальных подвижек в этом вопросе пока не наблюдается, а грань между вредоносной программой, riskware и безопасной остается размытой. «Допустим, я не явлюсь вирусописателем, а просто коллекционирую вирусы на своем компьютере. Я поставил антивирус, и эта программа снесла мне всю мою коллекцию. Является ли эта программа вредоносной или riskware?» — с иронией вопрошает Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского».
Источник: xakep.ru