SpyWare — программы-шпионы. Программой — шпионом (альтернативные названия — Spy, SpyWare, Spy-Ware, Spy Trojan) принято называть программное обеспечение, собирающее и передающее кому-либо информацию о пользователе без его согласия. Информация о пользователе может включать его персональные данные, данные о его денежных счетах, конфигурацию его компьютера и операционной системы, статистику работы в сети Интернет и другое.
Шпионское ПО применяется для ряда целей, из которых основным являются маркетинговые исследования и целевая реклама. В этом случае информация о конфигурации компьютера пользователя, используемом им программном обеспечении, посещаемых сайтах, статистика запросов к поисковым машинам и статистика вводимых с клавиатуры слов позволяет очень точно определить род деятельности и круг интересов пользователей.
Поэтому чаще всего можно наблюдать связку SpyWare — Adware, т.е. «Шпион» — «Модуль показа рекламы». Шпионская часть собирает информацию о пользователе и передает ее на сервер рекламной фирмы. Там информация анализируется и в ответ высылается рекламная информация, наиболее подходящая для данного пользователя. В лучшем случае реклама показывается в отдельных всплывающих окнах, в худшем — внедряется в загружаемые страницы и присылается по электронной почте. Вред, наносимый воровством персональной информации — является уголовно наказуемым деянием в большинстве развитых стран.
Программы шпионы на компьютере, как их обнаружить и удалить
Однако собранная информация может использоваться не только для рекламных целей — например, получение информации о ПК пользователя может существенно упростить хакерскую атаку и взлом компьютера пользователя. А если программа периодически обновляет себя через Интернет, то это делает компьютер очень уязвимым — элементарная атака на DNS может подменить адрес источника обновления на адрес сервера хакера — такое «обновление» приведет к внедрению на ПК пользователя любого постороннего программного обеспечения.
Шпионское программное обеспечение может попасть на компьютер пользователя двумя основными путями:
1. В ходе посещения сайтов Интернет. Наиболее часто проникновение шпионского ПО происходит про посещении пользователем хакерских и warez сайтов, сайтов с бесплатной музыкой и порносайтов. Как правило, для установки шпионского ПО применяются ActiveX компоненты или троянские программы категории TrojanDownloader по классификации лаборатории Касперского http://www.kaspersky.ru/. Многие хакерские сайты могут выдать crack Программа для взлома лицензионного ПО (крек), содержащий шпионскую программу или TrojanDownloader для ее загрузки;
2. В результате установки бесплатных или условно-бесплатных программ. Самое неприятное состоит в том, что подобных программ существует великое множество, они распространяются через Интернет или на пиратских компакт-дисках.
Точных критериев для занесения программы в категорию «SpyWare» не существует, и очень часто создатели антивирусных пакетов относят программы категорий «Adware» (приложение, предназначенное для загрузки на ПК пользователя информации рекламного характера для ее последующей демонстрации и «Hijacker» (утилита, которая изменяет настройки браузера без ведома пользователя) к категории «SpyWare» и наоборот.
Шпионские программы на Android: ТОП 6 лучших хакерских приложений
Для определенности предлагается ряд правил и условий, при соблюдении которых программу можно классифицировать как SpyWare. В основу классификации положены наиболее распространенные SpyWare программы:
1. Программа скрытно устанавливается на компьютер пользователя. Смысл данного пункта состоит в том, что инсталлятор обычной программы должен уведомить пользователя о факте установки программы (с возможностью отказа от установки), предложить выбрать каталог для установки и конфигурацию. Кроме того, после установки инсталлятор должен создать пункт в списке «Установка и удаление программ», вызов которого выполнит процесс деинсталляции и создать соответствующие записи в файле реестра операционной системы. Шпионское программное обеспечение обычно устанавливается экзотическим способом (часто с использованием троянских модулей категории Trojan-Downloader) скрытно от пользователя, при это его деинсталляция в большинстве случаев невозможна. Второй путь инсталляции SpyWare — скрытная установка в комплекте с какой-либо популярной программой;
2. Программа скрытно загружается в память в процессе загрузки компьютера. Стоит отметить, что разработчики современных SpyWare начали применять Rootkit В системах Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать свое присутствие в системе. Кроме того, как правило, rootkit может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. технологии для маскировки процесса в памяти и файлов на диске. Кроме того, становится популярным создание «неубиваемых» процессов — т.е. запуск двух процессов, которых перезапускают друг друга в случае остановки. Такая технология в частности применяется в SpyWare.WinAd;
3. Программа выполняет некоторые операции без указания пользователя — например, принимает или передает какую-либо информацию из Интернет;
4. Программа загружает и устанавливает свои обновления, дополнения, модули расширения или иное ПО без ведома и согласия пользователя. Данное свойство присуще многим шпионским программам и чрезвычайно опасно, т.к. загрузка и установка обновлений и дополнительных модулей происходит скрытно и часто ведет к нестабильной работе системы. Более того, механизмы автоматического обновления могут быть использованы злоумышленниками для внедрения на ПК пользователя троянских модулей;
5. Программа модифицирует системные настройки или вмешивается в функционирование других программ без ведома пользователя. Например, шпионский модуль может изменить уровень безопасности в настройках браузера или внести изменения в настройки сети;
6. Программа модифицирует информацию или информационные потоки. Типовым примером являются разные расширения для программы Outlook Express, которые при отправке письма приписывают к нему свою информацию. Второй распространенный пример — модификация загружаемых из Интернет страниц (в страницы включается рекламная информация, некоторые слова или фразы превращаются в гиперссылки)
В данной классификации следует особо отметить тот факт, что программа категории SpyWare не позволяет удаленно управлять компьютером и не передает пароли и аналогичную им информацию своим создателям — подобные действия специфичны другой категории программ — «Trojan» и «BackDoor». Однако по многим параметрам программы категории SpyWare являются родственниками троянских программ.
Группировка файлов, проведенная по классификации «Лаборатории Касперского» и процентный состав программ — шпионов показан на рис. 1.
Как следует из диаграммы, 38% от количества образцов составляют AdWare и SpyWare (нужно отметить, что в классификации ЛК отсутствует SpyWare — в эту категорию внесены наиболее вредоносные из представителей AdWare). Подавляющее количество образцов Trojan-Downloader данной коллекции являются программами для скрытной загрузки и установки представленных в коллекции вредоносных программ. Trojan-Spy — это шпионское программное обеспечение в чистом виде, передающее важные сведения о пользователе: пароли, номера кредитных карт, вводимый с клавиатуры текст. В категории Trojan отобраны программы следующих разновидностей: Trojan-Dialer (программы для скрытной модификации параметров набора телефонного номера или дозвона по платным телефонам), Trojan.StartPage (модифицирующие стартовую страницу и параметры поиска Internet Explorer, эти программы также известны как Hijacker),
Процентный состав программ — шпионов проведена по классификации «Лаборатории Касперского»
Как следует из диаграммы, 38% от количества образцов составляют AdWare и SpyWare Подавляющее количество образцов Trojan-Downloader данной коллекции являются программами для скрытной загрузки и установки представленных в коллекции вредоносных программ. Trojan-Spy — это шпионское программное обеспечение в чистом виде, передающее важные сведения о пользователе: пароли, номера кредитных карт, вводимый с клавиатуры текст. В категории Trojan отобраны программы следующих разновидностей: Trojan-Dialer (программы для скрытной модификации параметров набора телефонного номера или дозвона по платным телефонам), Trojan.StartPage (модифицирующие стартовую страницу и параметры поиска Internet Explorer, эти программы также известны как Hijacker), Trojan.LowZones (модифицирующие параметры безопасности Internet Explorer). В категорию «Прочее» попали вредоносные программы других классов — здесь представлено около 50 сетевых и почтовых червей распространенных типов, 12 эксплоитов для Internet Explorer (применяемых для запуска инсталляторов SpyWare) и 70 специализированных троянских программ (TrojanPSW и Trojan-Proxy). Backdoor -основным назначением является несанкционированное, тайное управление компьютером.
Источник: studentopedia.ru
Шпионское ПО
Шпионским ПО называют любую программу, файлы Cookie или записи реестра, которые тайно собирают информацию о вашей деятельности в Интернете. Такие программы используются для передачи этих данных компаниям, использующим их в рекламных целях. Однако по данным Коалиции по борьбе со шпионским ПО (Anti-spyware Coalition) шпионское ПО становится все более вредоносным и все чаще используется для кражи данных с помощью методов, которые сложно обнаружить. Многие люди считают, что шпионское ПО нарушает неприкосновенность личной жизни.
Откуда же берется шпионское ПО? Распространители шпионского ПО часто добавляют его в пакет с другим программным обеспечением. Как правило, оно загружается в комплекте с условно-бесплатными программами или файлами из систем совместного доступа, таких как Kazaa, Limewire или Morpheus, а также с веб-сайтов с экранными заставками, виджетами и содержимым «для взрослых». Для распространения нежелательных программ также используются слабые места систем безопасности и мошеннические приемы.
Многие люди считают, что шпионское ПО нарушает неприкосновенность личной жизни. Помимо этого, шпионское ПО является раздражающей помехой для пользователя. Такие программы устанавливаются без ведома пользователя, наносят значительный урон системе безопасности и самостоятельно восстанавливаются после удаления. Кроме потенциального вреда компьютерной системе, они являются источником навязчивых всплывающих окон, отображают оскорбительные материалы, замедляют работу компьютера и конфликтуют с другими программами. Чрезмерное количество шпионского ПО на компьютере приводит к регулярным сбоям и зависаниям.
Лучший способ защитить себя от шпионского ПО при работе с Интернетом – предупредительные меры. Своевременно узнавайте о новых угрозах и используйте безопасные методы работы с Интернетом:
· Выполните чистку компьютера с помощью антивирусных программ и программ для защиты от шпионского ПО.
· Своевременно устанавливайте новейшие исправления средств защиты браузера и операционной системы.
· По возможности активируйте функцию автоматического обновления программного обеспечения.
· Установите более высокий уровень безопасности и конфиденциальности браузера.
· Не загружайте файлы из Интернета необдуманно и будьте предельно осторожны при использовании одноранговых сетей.
· Не щелкайте всплывающую рекламу. Если вы это сделаете, рекламные окна начнут размножаться.
· С помощью средства проверки репутации, расположенного в верхней части страниц WOT, ознакомьтесь с оценочной картой репутации того или иного веб-сайта.
Шпионское ПО, как правило, разрабатывается компаниями, которые пытаются заработать различными незаконными способами. В этом случае, они собирают информацию о пользователях для того, чтобы определить их пристрастия и предпочтения. Затем эта информация используется этими компаниями для собственных нужд или для продажи третьим лицам.
Руткиты вовсе не новое явление, поскольку их появление связывают еще с UNIX-платформами. Однако, за последние годы этот вид вредоносного ПО стал всё чаще использоваться для маскировки вредоносных кодов в зараженных компьютерах.
Руткит (от англ. root kit, то есть «набор root’а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, сниферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.
Руткиты можно классифицировать в соответствии со следующими характеристиками:
— Постоянный руткит активируется при каждом запуске системы. Для этого ему необходимо хранить свой код внутри компьютера, а также нужен способ для автоматического самозапуска.
— С другой стороны, непостоянный руткит не способен автоматически перезапускаться после перезагрузки системы.
Способ выполнения руткита:
— Режим пользователя: данный вид руткита перехватывает системные запросы и фильтрует информацию, возвращаемую API (Application Programming Interface). Наиболее известный руткит, принадлежащий к данном увиду, это Hacker Defender.
— Режим ядра (ядро операционной системы): такие руткиты модицируют структуру данных ядра, а также перехватывают собственный API ядра. Это наиболее надежный и действенный способ перехвата системы.
Война против руткитов – это настоящая вооруженная борьба, в рамках которой создатели руткитов разрабатывают новые способы для того, чтобы оставаться незамеченными, а антивирусные компании предпринимают ответные меры для того, чтобы защитить своих клиентов.
Для обнаружения руткитов в системе можно использовать следующие технологии:
· Сигнатурное обнаружение: действенная технология, которая успешно применяестя антивирусными компаниями уже на протяжении многих лет. Данная технология основана на сканировании файлов и их сравнении с коллекцией сигнатур известного вредоносного ПО
· Эвристическое или поведенческое обнаружение: идентифицирует руткиты путем распознавания любых отклонений в нормальной деятельности компьютера.
· Обнаружение по сравнению: Результаты, возвращенные операционной системой, сравниваются с результатами, полученными посредством низкоуровневых запросов – наличие каких-либо различий свидетельствует о присутствии в системе руткита.
· Обнаружение на основе целостности: отпределяет наличие руткита путем сравнения файлов и памяти с надежным тестовым статусом.
Каждая из перечисленных технологий имеет свои ограничения, поэтому рекомендуется сочетать различные технологии. Также необходимо учесть, что некоторые их этих руткитов специально разработаны для того, чтобы не быть обнаруженными лидирующими на рынке антивирусными компаниями.
Cегодня необходимо уметь работать с ПК и знать программное обеспечение. В современном обществе совокупность знаний и навыков в области вычислительной техники ценится особенно высоко. Для творческой личности компьютер предоставляет неограниченные возможности самосовершенствования. Если пользователь хочет иметь плоды своей работы в целости и сохранности, если не хочет, чтобы деньги с его счёта были сняты недоброжелателями и о подробностях его жизни узнали посторонние люди, он просто обязан установить на своём ПК антивирусные программы, которые борются с компьютерными вредоносными программами.
Список использованной литературы
1)Галатенко В., Информационная безопасность, «Открытые системы», N 4,5,6, 1995.
2)С. Симонович, Г. Евсеев, А. Алексеев «Windows. Лаборатория мастера» Москва, «АСТпресс» 2000
3)А. Алексеев «Информатика 2001» Москва, «Дрофа» 2001
4)Козлов Д.А., Парандовский А.А., Парандовский А.К. Энциклопедия компьютерных вирусов. – М.: «СОЛОН-Р», 2001.
5)Левин А.Ш. Самоучитель полезных программ. 4-е издание. – СПБ.: Питер, 2005.
6)http://www.viruslist.com – Все угрозы.
7)http://www.bytemag.ru – BYTE/Россия – Что нужно знать о компьютерных вирусах.
8)http://www.ucheba.ru – Информация для студентов.
Информация о работе «Информационная безопасность. Вредоносное ПО. Вирусы, шпионское ПО, руткиты»
Раздел: Информатика, программирование
Количество знаков с пробелами: 21396
Количество таблиц: 0
Количество изображений: 0
Источник: kazedu.com
Программы-шпионы
SpyWare — программы-шпионы. Программой — шпионом (альтернативные названия — Spy, SpyWare, Spy-Ware, Spy Trojan) принято называть программное обеспечение, собирающее и передающее кому-либо информацию о пользователе без его согласия. Информация о пользователе может включать его персональные данные, данные о его денежных счетах, конфигурацию его компьютера и операционной системы, статистику работы в сети Интернет и другое.
Шпионское ПО применяется для ряда целей, из которых основным являются маркетинговые исследования и целевая реклама. В этом случае информация о конфигурации компьютера пользователя, используемом им программном обеспечении, посещаемых сайтах, статистика запросов к поисковым машинам и статистика вводимых с клавиатуры слов позволяет очень точно определить род деятельности и круг интересов пользователей.
Поэтому чаще всего можно наблюдать связку SpyWare — Adware, т.е. «Шпион» — «Модуль показа рекламы». Шпионская часть собирает информацию о пользователе и передает ее на сервер рекламной фирмы. Там информация анализируется и в ответ высылается рекламная информация, наиболее подходящая для данного пользователя. В лучшем случае реклама показывается в отдельных всплывающих окнах, в худшем — внедряется в загружаемые страницы и присылается по электронной почте. Вред, наносимый воровством персональной информации — является уголовно наказуемым деянием в большинстве развитых стран.
Однако собранная информация может использоваться не только для рекламных целей — например, получение информации о ПК пользователя может существенно упростить хакерскую атаку и взлом компьютера пользователя. А если программа периодически обновляет себя через Интернет, то это делает компьютер очень уязвимым — элементарная атака на DNS может подменить адрес источника обновления на адрес сервера хакера — такое «обновление» приведет к внедрению на ПК пользователя любого постороннего программного обеспечения.
Шпионское программное обеспечение может попасть на компьютер пользователя двумя основными путями:
1. В ходе посещения сайтов Интернет. Наиболее часто проникновение шпионского ПО происходит про посещении пользователем хакерских и warez сайтов, сайтов с бесплатной музыкой и порносайтов. Как правило, для установки шпионского ПО применяются ActiveX компоненты или троянские программы категории TrojanDownloader по классификации лаборатории Касперского http://www.kaspersky.ru/. Многие хакерские сайты могут выдать crack Программа для взлома лицензионного ПО (крек), содержащий шпионскую программу или TrojanDownloader для ее загрузки;
2. В результате установки бесплатных или условно-бесплатных программ. Самое неприятное состоит в том, что подобных программ существует великое множество, они распространяются через Интернет или на пиратских компакт-дисках.
Точных критериев для занесения программы в категорию «SpyWare» не существует, и очень часто создатели антивирусных пакетов относят программы категорий «Adware» (приложение, предназначенное для загрузки на ПК пользователя информации рекламного характера для ее последующей демонстрации и «Hijacker» (утилита, которая изменяет настройки браузера без ведома пользователя) к категории «SpyWare» и наоборот.
Для определенности предлагается ряд правил и условий, при соблюдении которых программу можно классифицировать как SpyWare. В основу классификации положены наиболее распространенные SpyWare программы:
1. Программа скрытно устанавливается на компьютер пользователя. Смысл данного пункта состоит в том, что инсталлятор обычной программы должен уведомить пользователя о факте установки программы (с возможностью отказа от установки), предложить выбрать каталог для установки и конфигурацию. Кроме того, после установки инсталлятор должен создать пункт в списке «Установка и удаление программ», вызов которого выполнит процесс деинсталляции и создать соответствующие записи в файле реестра операционной системы. Шпионское программное обеспечение обычно устанавливается экзотическим способом (часто с использованием троянских модулей категории Trojan-Downloader) скрытно от пользователя, при это его деинсталляция в большинстве случаев невозможна. Второй путь инсталляции SpyWare — скрытная установка в комплекте с какой-либо популярной программой;
2. Программа скрытно загружается в память в процессе загрузки компьютера. Стоит отметить, что разработчики современных SpyWare начали применять Rootkit В системах Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать свое присутствие в системе. Кроме того, как правило, rootkit может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. технологии для маскировки процесса в памяти и файлов на диске. Кроме того, становится популярным создание «неубиваемых» процессов — т.е. запуск двух процессов, которых перезапускают друг друга в случае остановки. Такая технология в частности применяется в SpyWare.WinAd;
3. Программа выполняет некоторые операции без указания пользователя — например, принимает или передает какую-либо информацию из Интернет;
4. Программа загружает и устанавливает свои обновления, дополнения, модули расширения или иное ПО без ведома и согласия пользователя. Данное свойство присуще многим шпионским программам и чрезвычайно опасно, т.к. загрузка и установка обновлений и дополнительных модулей происходит скрытно и часто ведет к нестабильной работе системы. Более того, механизмы автоматического обновления могут быть использованы злоумышленниками для внедрения на ПК пользователя троянских модулей;
5. Программа модифицирует системные настройки или вмешивается в функционирование других программ без ведома пользователя. Например, шпионский модуль может изменить уровень безопасности в настройках браузера или внести изменения в настройки сети;
6. Программа модифицирует информацию или информационные потоки. Типовым примером являются разные расширения для программы Outlook Express, которые при отправке письма приписывают к нему свою информацию. Второй распространенный пример — модификация загружаемых из Интернет страниц (в страницы включается рекламная информация, некоторые слова или фразы превращаются в гиперссылки)
В данной классификации следует особо отметить тот факт, что программа категории SpyWare не позволяет удаленно управлять компьютером и не передает пароли и аналогичную им информацию своим создателям — подобные действия специфичны другой категории программ — «Trojan» и «BackDoor». Однако по многим параметрам программы категории SpyWare являются родственниками троянских программ.
Группировка файлов, проведенная по классификации «Лаборатории Касперского» и процентный состав программ — шпионов показан на рис. 1.
Как следует из диаграммы, 38% от количества образцов составляют AdWare и SpyWare (нужно отметить, что в классификации ЛК отсутствует SpyWare — в эту категорию внесены наиболее вредоносные из представителей AdWare). Подавляющее количество образцов Trojan-Downloader данной коллекции являются программами для скрытной загрузки и установки представленных в коллекции вредоносных программ. Trojan-Spy — это шпионское программное обеспечение в чистом виде, передающее важные сведения о пользователе: пароли, номера кредитных карт, вводимый с клавиатуры текст. В категории Trojan отобраны программы следующих разновидностей: Trojan-Dialer (программы для скрытной модификации параметров набора телефонного номера или дозвона по платным телефонам), Trojan.StartPage (модифицирующие стартовую страницу и параметры поиска Internet Explorer, эти программы также известны как Hijacker),
Процентный состав программ — шпионов проведена по классификации «Лаборатории Касперского»
Как следует из диаграммы, 38% от количества образцов составляют AdWare и SpyWare Подавляющее количество образцов Trojan-Downloader данной коллекции являются программами для скрытной загрузки и установки представленных в коллекции вредоносных программ. Trojan-Spy — это шпионское программное обеспечение в чистом виде, передающее важные сведения о пользователе: пароли, номера кредитных карт, вводимый с клавиатуры текст. В категории Trojan отобраны программы следующих разновидностей: Trojan-Dialer (программы для скрытной модификации параметров набора телефонного номера или дозвона по платным телефонам), Trojan.StartPage (модифицирующие стартовую страницу и параметры поиска Internet Explorer, эти программы также известны как Hijacker), Trojan.LowZones (модифицирующие параметры безопасности Internet Explorer). В категорию «Прочее» попали вредоносные программы других классов — здесь представлено около 50 сетевых и почтовых червей распространенных типов, 12 эксплоитов для Internet Explorer (применяемых для запуска инсталляторов SpyWare) и 70 специализированных троянских программ (TrojanPSW и Trojan-Proxy). Backdoor -основным назначением является несанкционированное, тайное управление компьютером.
Источник: studbooks.net