Кроме вирусов, червей и троянов существует еще множество других вредоносных программ, для которых нельзя привести общий критерий. Однако среди них можно выделить небольшие группы. Это в первую очередь:
- Условно опасные программы, то есть такие, о которых нельзя однозначно сказать, что они вредоносны. Такие программы обычно становятся опасными только при определенных условиях или действиях пользователя. К ним относятся:
- Riskware — вполне легальные программы, которые сами по себе не опасны, но обладают функционалом, позволяющим злоумышленнику использовать их с вредоносными целями. К riskware относятся обычные утилиты удаленного управления, которыми часто пользуются администраторы больших сетей, клиенты IRC, программы для загрузки файлов из Интернет, утилиты восстановления забытых паролей и другие.
- Рекламные утилиты (adware) — условно-бесплатные программы, которые в качестве платы за свое использование демонстрируют пользователю рекламу, чаще всего в виде графических баннеров. После официальной оплаты и регистрации обычно показ рекламы заканчивается и программы начинают работать в обычном режиме. Проблема adware кроется в механизмах, которые используются для загрузки рекламы на компьютер. Кроме того, что для этих целей часто используются программы сторонних и не всегда проверенных производителей, даже после регистрации такие модули могут автоматически не удаляться и продолжать свою работу в скрытом режиме. Однако среди adware-программ есть и вполне заслуживающие доверия — например, клиент ICQ.
- Pornware — к этому классу относятся утилиты, так или иначе связанные с показом пользователям информации порнографического характера. На сегодняшний день это программы, которые самостоятельно дозваниваются до порнографических телефонных служб, загружают из Интернет порнографические материалы или утилиты, предлагающие услуги по поиску и показу такой информации. Отметим, что к вредоносным программам относятся только те утилиты класса pornware, которые устанавливаются на компьютер пользователя несанкционированно — через уязвимость в операционной системы или браузера или при помощи троянов. Обычно это делается с целью насильственного показа рекламы платных порнографических сайтов или служб.
Лекция 2. Признаки присутствия на компьютере вредоносных программ
Самое опасное интервью и как спасти детей от мафии. Бразилия. Мир наизнанку 10 сезон 9 выпуск
В лекции рассматриваются признаки, по которым можно определить заражен ли компьютер, методы обнаружения подозрительных файлов, а также действия пользователя в случае поражения компьютера вредоносной программой.
Содержание
- Общие сведения
- Виды проявлений
- Явные проявления
- Изменение настроек браузера
- Всплывающие и другие сообщения
- Несанкционированный дозвон в Интернет
- Блокирование антивируса
- Блокирование антивирусных сайтов
- Сбои в системе или в работе других программ
- Почтовые уведомления
- Подозрительные процессы
- Автозапуск
- Автозагрузка в меню Пуск
- Системный реестр Windows
- Конфигурационные файлы win.ini и system.ini
- Другие источники
Общие сведения
ТАТЬЯНА ЧЕРНИГОВСКАЯ. ОПАСНЫЕ НЕЙРОСЕТИ.
В общем случае за обнаружение присутствия вирусов на компьютере должны отвечать антивирусы — специальные программы, способные быстро и эффективно не только обнаруживать, но и обезвреживать вредоносные программы. Однако известно, и тому есть объективные причины, что ни один антивирус не обеспечивает полную защиту от всех вредоносных программ. Следовательно, хоть и маловероятно, но возможно заражение компьютера, даже если на нем установлен антивирус. При отсутствии антивируса, вероятность проникновения на компьютер вредоносных программ многократно возрастает.
Если компьютер заражен неизвестным вирусом, обычной практикой является самостоятельное обнаружение подозрительных файлов и отправка их на исследование в одну или несколько антивирусных компаний, как правило в ту, антивирус которой установлен на компьютере. Там эти файлы анализируют и при выявлении действительно неизвестного вируса или модификации вируса, выпускается обновление антивирусных баз, позволяющее обнаруживать и удалять этот вирус.
Но чтобы отправить подозрительные файлы на анализ, нужно сначала эти файлы найти. А чтобы всерьез заняться поиском, нужно иметь основания для подозрений в том, что компьютер заражен. Для этого нужно знать, какие особенности функционирования компьютера могут быть проявлениями вредоносных программ.
Виды проявлений
Не все вредоносные программы стремятся скрыть свое присутствие на компьютере. Некоторые ведут себя весьма активно: выводят на экран сообщения, открывают страницы веб-сайтов и т. п. Такие проявления логично назвать явными.
Другие вредоносные программы специальных сообщений не выводят, но могут провоцировать разного рода сбои в работе компьютера или прикладных программ. Например, одним из признаков попытки проникновения червя Sasser является появление на экране сообщения о сбое в процессе lsass.exe, в результате чего система будет перезагружена (см. рисунок 1).
Рисунок 1 – Признак заражения червем Sasser
Многие вредоносные программы пытаются отключить или полностью удалить антивирус, другие блокируют доступ к веб-серверам антивирусных компаний, чтобы сделать невозможным обновление антивирусных баз. Соответственно, если антивирус вдруг ни с того, ни с сего перестал запускаться, либо перестали открываться сайты антивирусных компаний при том, что в целом доступ в Интернет работает нормально, это могут быть проявления вирусов. Такого рода проявления будут называться косвенными.
Наконец, есть вирусы, которые никак не выдают своего присутствия на компьютере, не выводят сообщений и не конфликтуют с другими приложениями. Их проявления незаметны на первый взгляд и могут состоять в наличии дополнительных процессов в памяти, в сетевой активности, в характерных изменениях системного реестра Windows. Такие проявления будут называться скрытыми.
Таким образом проявления вредоносных программ можно условно разбить на три группы по тому, насколько легко их обнаружить:
· Явные — вредоносная программа самостоятельно проявляет заметную активность
· Косвенные — другие программы начинают выводить сообщения об ошибках или вести себя нестандартно из-за присутствия на компьютере вируса
· Скрытые — ни явных ни косвенных проявлений вредоносная программа не имеет
Имеет смысл обсудить все три группы проявлений подробнее и на конкретных примерах.
Явные проявления
Характерны для троянских и в особенности для рекламных программ. Это и понятно, т. к. основным признаком вирусов и червей является способность к заражению, для реализации которой необходимо время. Если сетевой червь при проникновении на компьютер сразу же себя обнаружит, пользователь сможет отключить компьютер от сети, воспрепятствовав дальнейшему распространению вредоносной программы.
Напротив, троянские программы пишутся для выполнения какой-то конкретной вредоносной функции и скрытность им нужна в большей степени на этапе проникновения. Впрочем все зависит от типа трояна. С рекламными модулями все совсем просто: их основная цель — привлечение внимания к объекту рекламы (веб-сайту, программе и др.), а привлечь внимание, значит обнаружить свое присутствие.
В настоящее время явные проявления, как правило, так или иначе связаны с сетью Интернет.
Изменение настроек браузера
Изменение стартовой страницы браузера, изменение стандартной страницы поиска, несанкционированное открытие новых окон, ведущих на определенные сайты — все это может быть следствием присутствия в системе вредоносной программы.
Иногда к аналогичным эффектам может приводить выполнение вредоносного скрипта на одном из посещенных сайтов. В таком случае новые программы на компьютер не проникают, а настройки браузера с большими или меньшими усилиями можно восстановить и полностью решить проблему. Во всяком случае до следующего посещения сайта с вредоносным скриптом.
Если же после восстановления настроек они снова меняются при следующем запуске браузера или после перезагрузки компьютера, значит причина изменений — наличие на компьютере вредоносной программы.
Подобное поведение характерно для рекламных модулей, принудительно завлекающих пользователей на сайт, рекламирующий какую-либо продукцию. А также для троянских программ, которые направляют пользователя на сайты, содержащие другие вредоносные программы.
Источник: infopedia.su
Антивирусники не знают что делать с riskware
Рекомендуем почитать:
Xakep #289. Взлом в воздухе
- Содержание выпуска
- Подписка на «Хакер» -60%
Так называемые «условно опасные» программы стали «яблоком раздора» для антивирусных компаний и разработчиков ПО. Последние недовольны, когда их продукция детектируется как riskware или вирус. В крайних случаях оппонентам приходится отстаивать свои интересы в суде. Однако, как показывает практика, ни одно из действующих законодательств пока не в состоянии разрешить этот нелегкий спор.
Условно (или потенциально) опасные программы (riskware) являются головной болью для антивирусных компаний, считает генеральный директор «Лаборатории Касперского» Наталья Касперская. Это программы, которые не классифицируятся как вирусы, но могут, тем не менее, нанести ущерб пользователю. Сами по себе они не являются вредоносными и не содержат в себе деструктивный код. При этом в «Лаборатории Касперского» предлагают различать три категории подобных программ: Adware, Pornware и собственно Riskware.
Adware (рекламное ПО) объединяет программы показа рекламы на компьютерах пользователей. Нередко они входят в состав официально поставляемых продуктов, производители которого предоставляют условно бесплатные версии своего ПО. Такие программы, как известно, просматривают cookies и линки пользователя и в результате досаждают ему рекламой, контент которой, по их мнению, соответствует его вкусам и предпочтениям. В отдельных случаях Adware попадает на компьютер в результате несанкционированной установки ПО (заражение троянцем) или приходит по почте. Нередко антивирусные вендоры детектирует эти программы как шпионские
Особую категорию составляет Pornware, попадающее на машину через Porno-dialers – программы, дающие доступ к платным порноресурсам с использованием коммутируемого соединения, либо путем загрузки порнографии с соответствующих интернет-сайтов.
По словам Натальи Касперской, львиная доля потенциально опасных программ приходится на третью категорию – riskware-программное обеспечение, которое при некоторых условиях может стать рискованным для пользователя (FTP, IRC, MIrc, proxy, утилиты удаленного администрирования). В ряде случаев подобные программы попадают в руки хакеров, что позволяет им эффективно ими пользоваться в своих целях и заниматься рассылкой троянов.
«Главная проблема заключается в том, что разработчик программы и антивирусная компания разделяют принципиально разные точки зрения в данном вопросе. Антивирусная компания, как ей и полагается, детектирует вирусы, разработчик, со своей стороны, не хочет терять своих денег и не желает, чтобы его программу удаляли», — комментирует г-жа Касперская.
«Каждый разработчик должен предварительно договариваться с антивирусной компаний и пытаться найти с ней понимания. Нам периодически присылают версии программ, которые мы детектируем… Также можно ввести практику выдачи антивирусным вендором специального сертификата, который удостоверяет то, что программу можно считать безопасной», — поделилась соображениями г-жа Касперская.
Вместе с тем, реальных подвижек в этом вопросе пока не наблюдается, а грань между вредоносной программой, riskware и безопасной остается размытой. «Допустим, я не явлюсь вирусописателем, а просто коллекционирую вирусы на своем компьютере. Я поставил антивирус, и эта программа снесла мне всю мою коллекцию. Является ли эта программа вредоносной или riskware?» — с иронией вопрошает Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского».
Источник: xakep.ru
Другие вредоносные программы
Кроме вирусов, червей и троянов существует еще множество других вредоносных программ, для которых нельзя привести общий критерий. Однако среди них можно выделить небольшие группы. Это в первую очередь:
· Условно опасные программы, то есть такие, о которых нельзя однозначно сказать, что они вредоносны. Такие программы обычно становятся опасными только при определенных условиях или действиях пользователя. К ним относятся:
o Riskware — вполне легальные программы, которые сами по себе не опасны, но обладают функционалом, позволяющим злоумышленнику использовать их с вредоносными целями. К riskware относятся обычные утилиты удаленного управления, которыми часто пользуются администраторы больших сетей, клиенты IRC, программы для загрузки файлов из Интернет, утилиты восстановления забытых паролей и другие.
o Рекламные утилиты (adware) — условно-бесплатные программы, которые в качестве платы за свое использование демонстрируют пользователю рекламу, чаще всего в виде графических баннеров. После официальной оплаты и регистрации обычно показ рекламы заканчивается и программы начинают работать в обычном режиме. Проблема adware кроется в механизмах, которые используются для загрузки рекламы на компьютер. Кроме того, что для этих целей часто используются программы сторонних и не всегда проверенных производителей, даже после регистрации такие модули могут автоматически не удаляться и продолжать свою работу в скрытом режиме. Однако среди adware-программ есть и вполне заслуживающие доверия — например, клиент ICQ.
o Pornware — к этому классу относятся утилиты, так или иначе связанные с показом пользователям информации порнографического характера. На сегодняшний день это программы, которые самостоятельно дозваниваются до порнографических телефонных служб, загружают из Интернет порнографические материалы или утилиты, предлагающие услуги по поиску и показу такой информации. Отметим, что к вредоносным программам относятся только те утилиты класса pornware, которые устанавливаются на компьютер пользователя несанкционированно — через уязвимость в операционной системы или браузера или при помощи троянов. Обычно это делается с целью насильственного показа рекламы платных порнографических сайтов или служб.
· Хакерские утилиты — К этому виду программ относятся программы скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов), автоматизации создания сетевых червей, компьютерных вирусов и троянских программ (конструкторы вирусов), наборы программ, которые используют хакеры для скрытного взятия под контроль взломанной системы (RootKit) и другие подобные утилиты. То есть такие специфические программы, которые обычно используют только хакеры.
· Злые шутки — программы, которые намеренно вводят пользователя в заблуждение путем показа уведомлений о, например, форматировании диска или обнаружении вирусов, хотя на самом деле ничего не происходит. Текст таких сообщений целиком и полностью отражает фантазию автора.
СПАМ
Спам – это анонимная массовая незапрошенная рассылка.
На сегодняшний день рассылка спама приобрела исключительные масштабы – ежесуточно в мире рассылаются десятки миллиардов спам-сообщений (от 40 до 70 % всей электронной почты) Такие масштабы требуют существенных вложений в технологию рассылок.
Профессиональная рассылка спама осуществляется тремя основными способами
— Прямая рассылка с арендованными серверов
— Использование «открытых Релеев» — сервисов, ошибочно сконфигурированных их владельцами таким образом, что через них можно рассылать спам
— Скрытая установка на пользовательских компьютерах ПО, позволяющего несанкционированный доступ к ресурсам данного компьютера (бэкдоров)
Установка бэкторов осуществляется одним из способов
— Включение троянских программ в пиратское ПО
— Использование уязвимостей в Интернет-браузерах (ME)
— Использование компьютерных вирусов, распространяемых по каналам электронной почты и использующих уязвимости в сетевых сервисах
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
Источник: studopedia.ru