Вредоносные программы каких типов могут размножаться без установки их пользователем

Содержание

Данная статья посвящена достаточно актуальной в настоящей момент проблеме — проблеме вредоносного программного кода. Если раньше ситуация была достаточно простой — существовали прикладные программы (включая операционную систему) и вирусы, т.е. вредоносные программы, устанавливающиеся на ПК пользователя без его желания.
Однако в последнее время появилось множество программ, которые нельзя считать вирусами (т.к. они не обладают способностью к размножению), но и нельзя отнести к категории «полезных» программ, т.к. они устанавливаются на компьютер скрытным образом и выполняют некоторые задачи без ведома пользователей). В Интернет для таких программ сформировалось множество названий SpyWare, Adware, Dialer и т.п. Классификация эта достаточно спорная — производители различного антивирусного ПО относят одну и ту-же программу к разным категориям, внося некоторую путаницу.

Поэтому в своей статье я хочу сделать попытку определить некоторую классификацию программ и сформулировать критерии, по которым программу можно отнести к категории SpyWare и Adware.

Что такое вредоносное ПО?

Spy — программы-шпионы

Программой-шпионом (альтернативные названия — Spy, SpyWare, Spy-Ware, Spy Trojan и т.п.) принято называть программное обеспечение, собирающее и передающее кому-либо информацию о пользователе без его согласия. Информация о пользователе может включать его персональные данные, конфигурацию его компьютера и операционной системы, статистику работы в сети Интернет.

Шпионское ПО применяется для ряда целей, из которых основным являются маркетинговые исследования и целевая реклама. В этом случае информация о конфигурации компьютера пользователя, используемом им программном обеспечении, посещаемых сайтах, статистика запросов к поисковым машинам и статистика вводимых с клавиатуры слов позволяет очень точно определить род деятельности и круг интересов пользователей.

Поэтому чаще всего можно наблюдать связку Spy — Adware, т.е. «Шпион» — «Модуль показа рекламы». Шпионская часть собирает информацию о пользователе и передает ее на сервер рекламной фирмы. Там информация анализируется и в ответ высылается рекламная информация, наиболее подходящая для данного пользователя.

В лучшем случае реклама показывается в отдельных всплывающих окнах, в худшем — внедряется в загружаемые страницы и присылается по электронной почте. Однако собранная информация может использоваться не только для рекламных целей — например, получение информации о ПК пользователя может существенно упростить хакерскую атаку и взлом компьютера пользователя. А если программа периодически обновляет себя через Интернет, то это делает компьютер очень уязвимым — элементарная атака на DNS может подменить адрес источника обновления на адрес сервера хакера — такое «обновление» приведет к внедрению на ПК пользователя любого постороннего программного обеспечения.

  • В ходе посещения сайтов Интернет. Наиболее часто проникновение шпионского ПО происходит про посещении пользователем хакерских и warez сайтов, сайтов с бесплатной музыкой и порносайтов. Как правило, для установки шпионского ПО применяются ActiveX компоненты или троянские программы категории TrojanDownloader по классификации лаборатории Касперского. Многие хакерские сайты могут выдать «крек», содержащий шпионскую программу или TrojanDownloader для ее загрузки;
  • В результате установки бесплатных или условно-бесплатных программ. Самое неприятное состоит в том, что подобных программ существует великое множество, они распространяются через Интернет или на пиратских компакт-дисках. Классический пример — кодек DivX, содержащий утилиту для скрытной загрузки и установки Spy.Gator. Большинство программ, содержащих Spy-компоненты, не уведомляют об этом пользователя. Еще один пример — один мой знакомый нашел в Интернет бесплатную экранную заставку «Матрица», скачал ее с достаточно солидного сайта и установил — кроме заставки у меня на компьютере появилась утилита для вывода прогноз погоды, которая прописала себя в автозагрузку и при запуске полезла в Интернет. Компьютер пришлось чистить от этой программы, но мораль проста — заставка нигде при установке не сообщала о том, что установит это постороннее ПО;
  • Программа скрытно устанавливается на компьютер пользователя. Смысл данного пункта состоит в том, что инсталлятор обычной программы должен уведомить пользователя о факте установки программы (с возможностью отказа от установки), предложить выбрать каталог для установки и конфигурацию. Кроме того, после установки инсталлятор должен создать пункт в списке «Установка и удаление программ», вызов которого выполнит процесс деинсталляции. Шпионское программное обеспечение обычно устанавливается экзотическим способом (часто с использованием троянских модулей категории TrojanDownloader или ActiveX компонентов в HTML страницах) скрытно от пользователя, при это его деинсталляция в большинстве случаев невозможна. Второй путь инсталляции — скрытная установка в комплекте с какой-либо популярной программой;
  • Программа скрытно загружается в память в процессе загрузки компьютера;
  • Программа выполняет некоторые операции без указания пользователя — например, принимает или передает какую-либо информацию из Интернет;
  • Программа загружает и устанавливает свои обновления, дополнения, модули расширения или иное ПО без ведома и согласия пользователя. Данное свойство присуще многим шпионским программам и чрезвычайно опасно, т.к. загрузка и установка происходит скрытно и часто ведет к нестабильной работе системы. Более того, механизмы автоматического обновления могут быть использованы злоумышленниками для передачи на ПК пользователя троянских модулей;
  • Программа модифицирует системные настройки или вмешивается в функционирование других программ без ведома пользователя. Например, шпионский модуль может изменить уровень безопасности в настройках браузера или внести изменения в настройки сети. Классическим примером является Spy.New.Net, который устанавливает на ПК пользователя модуль newdotnet2_92.dll и регистрирует его в реестре как сервис разрешения имен сети TCP/IP. Все эти операции, естественно, производятся без ведома и согласия пользователя;
  • Программа модифицирует информацию или информационные потоки. Типовым примером являются разные расширения для программы OutlookExpress, которые при отправке письма приписывают к нему свою информацию. Второй распространенный пример — модификация загружаемых из Интернет страниц (в страницы включается рекламная информация, некоторые слова или фразы превращаются в гиперссылки и т.п.)
Читайте также:
Компьютер не загружает программы с диска

Рассказав о программах категории Spy я хочу акцентировать внимание на неявном слежении за пользователем. Предположим, что у пользователя установлена безобидная программа, загружающая рекламные баннеры один раз в час. Анализируя протоколы рекламного сервера можно выяснить, как часто и как долго пользователь работает в Интернет, в какое время, через какого провайдера. Эта информация будет доступна даже при условии, что программа будет только загружать данные, не передавая никакой информации. Более того, каждая версия программы может загружать рекламу по уникальному адресу — можно узнать, какая именно версия программы у него установлена.

Adware — модули

Adware (синонимы AdvWare, Ad-Ware и т.п.) — это приложение, предназначенное для загрузки на ПК пользователя информации рекламного характера для последующей демонстрации этой информации пользователю. Соответственно термином «Adware-программа» называют программное обеспечение, которое в качестве оплаты за свое использование показывает пользователю рекламу. Соответственно «Adware-модуль» — это некая программная единица, реализующее Adware-механизмы (разрабатывается она, как правило, программистами компании, занимающейся рекламой, а не разработчиком приложения).

  • Независимое приложение. Это приложение, которое может работать независимо от установившего его программного обеспечения. Типовой пример — Spy.Gator. Как очевидно из префикса в названии приведенного в качестве примера Gator, большинство таких «приложений» по моей классификации попадает именно в категорию «Spy»;
  • Модуль расширения для браузера. Аналогично п.п. 1, отличается только тем, что расширение браузера сложнее обнаружить (подробнее с.м. раздел BHO);
  • Библиотека или ActiveX компонент, загружаемый установившим его приложением и работающий в рамках его контекста и окон (или некий программный код, являющийся частью приложения). Именно эту разновидность можно отнести к категории «Adware» при соблюдении описанных ниже условий.
  • При инсталляции на ПК программа должна предупредить пользователя о том, что является Adware приложением с разъяснением того, что понимается под «Adware». При этом инсталлятор должен предусматривать возможность отказа от установки приложения (а еще лучше — предлагать варианты установки — бесплатный Adware вариант или платный ShareWare вариант). Типовым примером «правильной» программы является менеджер закачек FlashGet, который честно предлагает два варианта установки — Adware или ShareWare;
  • Adware модуль должен быть или библиотекой, загружаемой Adware программой, или неразрывной частью Adware-программы. При этом загрузка Adware-модуля должна естественно происходить при запуске приложения, выгрузка и прекращение работы — при выгрузке приложения из памяти;
  • Adware-модуль должен воспроизводить рекламную информацию только в контексте вызывавшего его приложения. Недопустимо создание дополнительных окон, запуск сторонних приложений, открытие неких web страниц;
  • Adware-модуль не должен выполнять действий, присущих программам категории Spy;
  • Adware-модуль должен деинсталлироваться вместе с установившим его приложением;

TrojanDownloader — программы для несанкционированной загрузки и установки программного обеспечения

Программы из категории TrojanDownloader (понятие TrojanDownloader введено лабораторией Касперского) неоднократно упоминались, поэтому следует дать определение для данной категории программ. TrojanDownloader — это программа (модуль, ActiveX, библиотека …), основным назначением которой является скрытная несанкционированная загрузка программного обеспечения из Интернет.

Наиболее известным источником TrojanDownloader являются хакерские сайты. Сам по себе TrojanDownloader не несет прямой угрозы для компьютера — он опасен именно тем, что производит неконтролируемую загрузку программного обеспечения. TrojanDownloader применяются в основном для загрузки вирусов, троянских и шпионских программ. Наиболее известными (по моей статистике) являются TrojanDownloader.IstBar, TrojanDownloader.Win32.Dyfuca, TrojanDownloader.Win32.Swizzor и ряд других. TrojanDownloader.IstBar поставил своеобразный рекорд по количеству различных модификаций и своей вредоносности — его появление на компьютере приводит к резкому росту трафика и появлению на ПК множества посторонних программ.

  • Универсальные TrojanDownloader — могут загружать любой программный код с любого сервера;
  • Специализированные — предназначены для загрузки строго определенных типов троянских или шпионских программ. Примером может служить знаменитый Gain_tricler, загружающий программы пакета Gator.
  • Dialer может производить набор номера и установление соединения своими средствами;
  • Dialer может создать новое соединение удаленного доступа;
  • Dialer может изменить существующие соединения удаленного доступа;
Читайте также:
Составить алгоритм и программу вывода на экран квадраты всех целых чисел от 7 до 20

Часто кроме решения основной задачи программы типа Dialer выполняют задачи, свойственные программам других категорий (adware, Spy, TrojanDownloader). Некоторые Dialer устанавливают себя на автозапуск, внедряются в другие приложения — например, мне известен Dialer, регистрирующий себя как расширение языка Basic и запускающийся при открытии любого приложения Microsoft Office, использующего скрипты.

Некоторые программы типа Dialer можно смело относить к троянским программам (а многие производители антивирусов считают Dialer троянской программой — на сайте производителей Norton Antivirus про Dialer говорится «троянская программа, предназначенная для …»), в классификации лаборатории Касперского есть специальная категория Trojan.Dialer.

Кроме утилит дозвонки к категории Dialer часто относят специализированные утилиты для просмотра порносайтов. Ведут они себя аналогично Dialer, только вместо модемного соединения соединяются с закрытими сайтами по Интернет.

BHO — Browser Helper Object

  • BHO не являются процессам системы — они работают в контексте браузера и не могут быть обнаружены в диспетчере задач;
  • BHO запускаются вместе с браузером и могут контролировать события, связанные с работой пользователя в Интернет (по сути, BHO для этого и предназначены);
  • BHO обмениваются с сетью, используя API интеграции с браузером. Поэтому, с точки зрения персональных FireWall обмен с Интернет ведет браузер. Как следствие, обнаружить такой обмен и воспрепятствовать ему очень сложно. Ситуация отягощается тем, что многие BHO, входящие в категорию «Spy», передают информацию после запроса пользователя — это делает практически невозможным обнаружение постороннего обмена с Интернет, т.к. он идет на фоне полезного трафика;
  • Ошибки в работе BHO могут дестабилизировать работу браузера и приводить к трудно диагностируемым сбоям в его работе;

Trojan — троянская программа

Троянская программа — это программа, которая выполняет действия, направленные против пользователя — собирает и передает владельцам конфиденциальную информацию о пользователе (эту категорию еще называют TrojanSpy), выполняет несанкционированные или деструктивные действия. Из определения легко заметить, что троянска программа является «родственником» программ из категории Spy (SpyWare) — разница как правило в том, что Spy не имеют выраженного деструктивного действия и не передают конфиденциальную информацию о пользователе. Однако вопрос об отнесении программы к той или иной категории достаточно спорный (часто получается, что одна антивирусная компания считает некий модуль Adware, другая — троянской программой, третья — вообще игнорирует). Я в своей классификации ввел понятие «Spy» именно потому, что в последнее время появилось множество программ, которые недотягивают по вредоносности до отнесения к категории Trojan.
Троянская программа может быть выполнена в виде отдельной самостоятельной программы, части (модуля) другой программы (или компьютерного вируса) или программной закладки.

Backdoor — утилита скрытного удаленного управления и администрирования

  • Backdoor, построенные по технологии Client — Server. Такой Backdoor состоит как минимум из двух программ — небольшой программы, скрытно устанавливаемой на поражаемый компьютер и программы управления, устанавливаемой на компьютер злоумышленника. Иногда в комплекте идет еще и программа настройки
  • Backdoor, использующие для удаленного управления встроенный telnet, web или IRC сервер. Для управления таким Backdoor не требуется специальное клиентское программное обеспечение. К примеру, я как-то исследовал Backdoor, который подключался к заданному IRC серверу и использовал его для обмена со злоумышленником

Источник: virusinfo.info

КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ

Ø Черви. Вредоносные программы, которые несанкционированно (т.е. без ведома или без уведомления пользователя) создают свои копии на доступных носителях информации, включая и сетевые диски, постепенно занимая все свободное место.

Ø Вирусы. Вредоносные программы, которые несанкционированно создают свои копии, размещаемые, как правило, в объектах файловой системы. Вирусы заражают эти объекты, внедряя свой машинный код внутрь этих объектов, причем таким образом, чтобы код вируса исполнялся до начала работы зараженного объекта.

Вирусы классифицируют по местам заражения и местам нахождения следов вредоносной деятельности.

• Вирусы-спутники исполняемых файлов с расширением *.ехе.

• Файловые вирусы. Поражают все виды драйверов, объектные модули и системные библиотеки, записывая свое тело внутрь исполняемой программы.

Читайте также:
Программа комфорт на компьютер для чего

• Загрузочные вирусы. Записывают в загрузочные сектора носителей информации головку вируса, размещая тело (большую часть кода) внутри отдельных файлов или программ, почти как файловые вирусы.

• Dir-вирусы (от слова директорий – каталог). Размещают свою «головку» таким образом, чтобы активизироваться при просмотре зараженного каталога или структуры дерева каталогов.

• Макровирусы. Способны проникать и заражать неисполняемые файлы, например файлы с документами и шаблонами, подготовленные с помощью текстового редактора Word, табличного процессора Excel. Переносятся и копируются вместе с зараженными документами.

Ø 3. Троянцы. Вредоносные программы, не осуществляющие на зараженном компьютере деструктивных, разрушающих действий и, как правило, проводящие шпионскую работу по сбору информации ограниченного доступа.

Ø 4. Программы AdWare/SpyWare. Функционально похожи на троянцев, но их интерес не информация ограниченного доступа, а «простое» слежение за работой пользователя. Подобное слежение не наказуемо по российскому законодательству, но приносит ощутимый вред пользователю: сильно замедляет работу компьютера, занимает оперативную и дисковую память, увеличивает интернет- трафик.

Ø 5. Программы обманщики. Еще одна группа не наказуемых по российскому законодательству программ, которые изображают (симулируют) работу легальных программ, сообщая о наличии ошибок в их работе и требуя платы реальными деньгами за якобы лицензионный ключ для устранения ошибок и лечения.

Ø 6. Root Kit. Программы, позволяющие прятать, скрывать другие программы или процессы от операционной системы, файловых менеджеров и антивирусных программ.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:

Источник: studopedia.ru

Какие бывают вредоносные программы?

Mrt это аббревиатура от Microsoft Removal Tool. Mrt.exe является исполняемым файлом для Windows, одним из компонентов программного обеспечения Microsoft. Исполняемый файл отвечает за запуск средства удаления вредоносных программ Microsoft Windows. . Он выявляет вредоносное ПО после заражения.

Что могут сделать вредоносные программы?

  • Похищение данных, представляющих ценность или тайну. .
  • Кража аккаунтов различных служб (электронной почты, мессенджеров, игровых серверов…). .
  • Кража аккаунтов платёжных систем.
  • Блокировка компьютера, шифрование файлов пользователя с целью шантажа и вымогательства денежных средств (см.

Чем опасны вредоносные программы?

Для домашних пользователей, заражение может привести к потере относительно маловажной информации, которую легко восстановить, или может привести к потере информации, из-за которой киберпреступники могут получить доступ к банковскому счету пользователя.

Что делают вредоносные программы Попав в компьютер?

собирают конфиденциальную информацию, такую как пароли, номера кредитных карт, номера PIN и т. д.; собирают адреса электронной почты с компьютера пользователя; запоминают наиболее посещаемые вами веб-страницы.

Какие вредоносные программы кроме вирусов вы знаете?

  • Вредоносное программное обеспечение (Malware) .
  • Вирус (Virus) .
  • Червь (Worm или NetWorm) .
  • Логическая бомба (Logic Bomb) .
  • Троян или троянский конь (Trojan) .
  • Клавиатурный шпион (Key logger) .
  • Рекламные закладки (Adware) .
  • Шпионские программы (Spyware)

Кто и для чего создает вредоносные программы?

Криминал Самыми опасными создателями вредоносных программ считаются те хакеры, которые создают их ради собственной наживы. Незаконное завладение чужими денежными ресурсами — основная цель подобной категории авторов. Они могут быть как одиночками, так и собираться в целые «профессиональные» группы.

Как определить что ваш компьютер заражён?

Явным признаком того, что компьютер заражен вирусом, является то, что такие всплывающие окна начинают открываться даже при игре в Solitaire или при работе в Office. Самый распространенный способ подхватить такой вирус – кликать по всплывающим окнам в интернете.

Какие функции сочетают в себе современные антивирусные программы?

Большинство антивирусных программ сочетают в себе функции постоянной защиты (антивирусный монитор) и функции защиты по требованию пользователя (антивирусный сканер).

Кто придумал вредоносные программы?

Brain и Jerusalem

«мозг»), который был разработан братьями Амджатом и Базитом Алви в 1986 и был обнаружен летом 1987. По данным McAfee, вирус заразил только в США более 18 тысяч компьютеров.

Какие вредоносные программы умеют сами размножаться?

Сетевые черви – это вредоносные программы, которые размножаются, но не являются частью других файлов, представляя собой самостоятельные файлы. Сетевые черви могут распространяться по локальным сетям и Интернету (например, через электронную почту). Особенность червей – чрезвычайно быстрое «размножение».

В чем состоит работа вируса?

Принципиальное отличие вируса от троянской программы состоит в том, что вирус после его активации существует самостоятельно (автономно) и в процессе своего функционирования заражает (инфицирует) программы путем включения (имплантации) в них своего кода.

Как такое ПО может попасть на компьютер?

Одним из наиболее распространенных типов вредоносных программ является рекламное ПО. Программы автоматически доставляют рекламные объявления на хост-компьютеры. Среди разновидностей Adware — всплывающие рекламные объявления на веб-страницах и реклама, входящая в состав «бесплатного» ПО.

Источник: chelc.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru