На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

RootKit - принципы и механизмы работы
Клавиатурные шпионы
Cookies
Шпионские программы - угроза безопасности вашего ПК
Методики обнаружения вредоносного ПО
Тестирование Firewall
Современные программные и аппаратные клавиатурные шпионы
Защита программ от взлома
Интернет магазины - как не стать жертвой мошенников

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Статьи

Шпионские программы - угроза безопасности вашего ПК


Введение

Данная статья посвящена достаточно актуальной в настоящей момент проблеме - проблеме вредоносного программного кода. Еще несколько лет назад ситуация была достаточно простой - существовали прикладные программы (включая операционную систему) и компьютерные вирусы, т.е. программы, способные заражать другие приложения путем внедрения в них своего машинного кода. Однако в последнее время появилось вредоносных множество программ, которые нельзя считать вирусами,  т.к. они не обладают способностью к размножению. Для таких программ существует множество категорий: Trojan, Backdoor, Trojan-Downloader, MalWare, SpyWare, Adware, Dialer ... Классификация зачастую достаточно спорная - производители различного антивирусного ПО относят одну и туже программу к разным категориям. Данная статья является попыткой определить некоторую классификацию данных вредоносных программ и сформулировать критерии, по которым программу можно отнести к категории SpyWare и Adware.

 

SpyWare - программы-шпионы

Программой-шпионом (альтернативные названия - Spy, SpyWare, Spy-Ware, Spy Trojan) принято называть программное обеспечение, собирающее и передающее кому-либо информацию о пользователе без его согласия. Информация о пользователе может включать его персональные данные, конфигурацию его компьютера и операционной системы, статистику работы в сети Интернет.

Шпионское ПО применяется для ряда целей, из которых основным являются маркетинговые исследования и целевая реклама. В этом случае информация о конфигурации компьютера пользователя, используемом им программном обеспечении, посещаемых сайтах, статистика запросов к поисковым машинам и статистика вводимых с клавиатуры слов позволяет очень точно определить род деятельности и круг интересов пользователей. Поэтому чаще всего можно наблюдать связку SpyWare - Adware, т.е. "Шпион" - "Модуль показа рекламы". Шпионская часть собирает информацию о пользователе и передает ее на сервер рекламной фирмы. Там информация анализируется и в ответ высылается рекламная информация, наиболее подходящая для данного пользователя. В лучшем случае реклама показывается в отдельных всплывающих окнах, в худшем - внедряется в загружаемые страницы и присылается по электронной почте.

Однако собранная информация может использоваться не только для рекламных целей - например, получение информации о ПК пользователя может существенно упростить хакерскую атаку и взлом компьютера пользователя. А если программа периодически обновляет себя через Интернет, то это делает компьютер очень уязвимым - элементарная атака на DNS может подменить адрес источника обновления на адрес сервера хакера - такое "обновление" приведет к внедрению на ПК пользователя любого постороннего программного обеспечения.

Шпионское программное обеспечение может попасть на компьютер пользователя двумя основными путями:

  1. В ходе посещения сайтов Интернет. Наиболее часто проникновение шпионского ПО происходит про посещении пользователем хакерских и warez сайтов, сайтов с бесплатной музыкой и порносайтов. Как правило, для установки шпионского ПО применяются ActiveX компоненты или троянские программы категории TrojanDownloader по классификации лаборатории Касперского. Многие хакерские сайты могут выдать "крек", содержащий шпионскую программу или TrojanDownloader для ее загрузки;
  2. В результате установки бесплатных или условно-бесплатных программ. Самое неприятное состоит в том, что подобных программ существует великое множество, они распространяются через Интернет или на пиратских компакт-дисках. Классический пример - кодек DivX, содержащий утилиту для скрытной загрузки и установки SpyWare.Gator. Большинство программ, содержащих SpyWare-компоненты, не уведомляют об этом пользователя;

Точных критериев для занесения программы в категорию "SpyWare" не существует, и очень часто создатели антивирусных пакетов относят программы категорий "Adware", "Hijacker" и "BHO" к категории "SpyWare" и наоборот.

Для определенности предлагается ряд правил и условий, при соблюдении которых программу можно классифицировать как SpyWare. В основу классификации положены проведенные автором исследования наиболее распространенных SpyWare программ:

  1. Программа скрытно устанавливается на компьютер пользователя. Смысл данного пункта состоит в том, что инсталлятор обычной программы должен уведомить пользователя о факте установки программы (с возможностью отказа от установки), предложить выбрать каталог для установки и конфигурацию. Кроме того, после установки инсталлятор должен создать пункт в списке "Установка и удаление программ", вызов которого выполнит процесс деинсталляции. Шпионское программное обеспечение обычно устанавливается экзотическим способом (часто с использованием троянских модулей категории) скрытно от пользователя, при это его деинсталляция в большинстве случаев невозможна. Второй путь инсталляции SpyWare - скрытная установка в комплекте с какой-либо популярной программой;
  2. Программа скрытно загружается в память в процессе загрузки компьютера. Стоит отметить, что разработчики современных SpyWare начали применять Rootkit технологии для маскировки процесса в памяти и файлов на диске. Кроме того, становится популярным создание «неубиваемых» процессов – т.е. запуск двух процессов, которых перезапускают друг друга в случае остановки. Такая технология в частности применяется в SpyWare.WinAd;
  3. Программа выполняет некоторые операции без указания пользователя - например, принимает или передает какую-либо информацию из Интернет;
  4. Программа загружает и устанавливает свои обновления, дополнения, модули расширения или иное ПО без ведома и согласия пользователя. Данное свойство присуще многим шпионским программам и чрезвычайно опасно, т.к. загрузка и установка обновлений и дополнительных модулей происходит скрытно и часто ведет к нестабильной работе системы. Более того, механизмы автоматического обновления могут быть использованы злоумышленниками для внедрения на ПК пользователя троянских модулей;
  5. Программа модифицирует системные настройки или вмешивается в функционирование других программ без ведома пользователя. Например, шпионский модуль может изменить уровень безопасности в настройках браузера или внести изменения в настройки сети;
  6. Программа модифицирует информацию или информационные потоки. Типовым примером являются разные расширения для программы Outlook Express, которые при отправке письма приписывают к нему свою информацию. Второй распространенный пример - модификация загружаемых из Интернет страниц (в страницы включается рекламная информация, некоторые слова или фразы превращаются в гиперссылки)

В данной классификации следует особо отметить тот факт, что программа категории SpyWare не позволяет удаленно управлять компьютером и не передает пароли и аналогичную им информацию своим создателям - подобные действия специфичны другой категории программ - "Trojan" и "BackDoor". Однако по многим параметрам программы категории SpyWare являются родственниками троянских программ.

Рассказав о программах категории SpyWare стоит акцентировать внимание на неявном слежении за пользователем. Предположим, что у пользователя установлена безобидная программа, загружающая рекламные баннеры один раз в час. Анализируя протоколы рекламного сервера можно выяснить, как часто и как долго пользователь работает в Интернет, в какое время, через какого провайдера. Эта информация будет доступна даже при условии, что программа будет только загружать данные, не передавая никакой информации. Более того, каждая версия программы может загружать рекламу по уникальному адресу, что позволит узнать, какая именно программа загружает рекламу.

SpyWare cookies

Практически все программы для поиска Adware/Spyware программ детектируют и удаляют так называемые «SpyWare cookies» (в некоторых случаях их называют tracking cookies). В качестве теста я проверил свой компьютер при помощи известной программы Ad-Aware SE Personal и она обнаружила и предложила удалить 164 «tracking cookies», причем большинство найденных cookies были созданные известными сайтами, в частности: rambler.ru, list.ru, hotlog.ru, downloads.ru. В результате зачастую в различных конференциях можно читать сообщения примерно такого содержания «…я лечил компьютер и нашел несколько сотен шпионов,  которые пропустил мой антивирус …» - а затем анализ показывает, то речь шла о cookies. По поводу cookies можно однозначно сказать – это обычные текстовые файлы, которые не являются программами и не могут выполнять никаких шпионских или троянских действий на компьютере пользователя. Единственная «шпионская» операция, осуществимая при помощи cookies состоит в возможности сайта сохранить на компьютере пользователя некоторые текстовые данные, которые будет переданы при последующем посещении сайта, сохранившего cookie. Рейтинги, счетчики и баннерные рулетки могут использовать cookie для своеобразной «пометки» пользователя. Схема работы этой методики показана на рисунке:

 

Предположим, что пользователь посещает два сайта, содержащих на своих страницах счетчик одной и той же рейтинговой системы. При посещении сайта A произойдет минимум две операции – загрузка страницы с сайта A (шаг 1) и обращение к сайту рейтинговой системы (шаг 2). В заголовке HTTP ответа рейтинговой системы содержится поле, предписывающее браузеру сохранить cookie для сайта рейтинговой системы – в результате браузер сохраняет cookie в своей базе данных. Затем пользователь посещает сайт B (шаг 3) и происходит повторное обращение к сайту рейтинговой системы (шаг 4), в ходе которого передается cookie, сохраненный на шаге 2. Получив и проанализировав cookie рейтинговая система «узнает» пользователя. Для этого, как правило, в cookie хранится присвоенный пользователю уникальный номер. В результате рейтинговая система может не просто фиксировать факт посещения сайта, но и отслеживать «траекторию» переходов пользователя по сайтам (естественно только по сайтам, страницы которой содержат счетчики этой рейтинговой системы). Кроме того, рейтинговая система может решить ряд интересных статистических задач – например, определить количество уникальных посетителей за определенный период, количество постоянных пользователей, периодичность посещения. Помимо статистических исследований идентификация пользователя при помощи cookie позволяет бороться с «накруткой» посещений или баннерных показов. Важно отметить, что при помощи cookie любой сайт может регистрировать факт повторного посещения, но не может определить никаких персональных данных пользователя (за исключением того случая, когда пользователь сам передал какие-либо данные, заполняя формы регистрации на сайте – но даже в этом случае подобные данные очень редко хранятся непосредственно в cookie – обычно подобные данные заносятся в базу данных на стороне WEB сервера).

Таким образом получается, что на мой взгляд опасность, которая приписывается «шпионским» cookies существенно завышена. Internet Explorer всех версий позволяет отключить прием cookie, в версии 6.0 имеется возможность более тонкой настройки – все cookie делятся на основные (сохраняемые просматриваемой страницей) и сторонние (сохраняемые ресурсами, загружаемыми с других сайтов) и пользователю дается возможность произвести тонкую настройку.

 

Adware программы и модули

Adware (синонимы AdvWare, Ad-Ware и т.п.) - это приложение, предназначенное для загрузки на ПК пользователя информации рекламного характера для последующей демонстрации этой информации пользователю. Можно выделить две категории AdWare программ:

·        Программы, распространяемые по Adware-лицензии. Данные программы воспроизводят рекламу в качестве неявной оплаты за их использование, при этом реклама должна воспроизводится только во время использования программы в контексте ее окон;

·        Независимое приложение, предназначенное для воспроизведения рекламы. Такие программы, как правило, маскируются от обнаружения и удаления пользователем и могут существенно досаждать пользователю. Рекламная информация обычно выводится в виде всплывающих окон, хотя известны и широко применяются более экзотические методики демонстрации рекламы – например, внедрение рекламной информации в рабочий стол в виде обоев или с использованием возможностей размещения WEB элементов на рабочем столе;

Можно сформулировать ряд правил, которых должна придерживаться корректная программа, распространяемая по Adware-лицензии:

  1. При инсталляции на ПК программа должна предупредить пользователя о том, что является Adware приложением с разъяснением того, что конкретно понимается под термином "Adware". При этом инсталлятор должен предусматривать возможность отказа от установки приложения (а еще лучше - предлагать варианты установки - бесплатный Adware вариант или платный ShareWare вариант). Типовым примером "правильной" инсталляции является менеджер закачек FlashGet, который честно предлагает два варианта установки - Adware или ShareWare (FlashGet приведен в качестве примера не случайно - ряд анти-SpyWare программ по неизвестной причине считают его шпионским ПО и удаляют);
  2. Adware модуль должен быть или библиотекой, загружаемой Adware программой во время работы, или неразрывной частью Adware-программы. При этом загрузка Adware-модуля должна естественно происходить при запуске приложения, выгрузка и прекращение работы - при выгрузке приложения из памяти. Недопустимо внедрение Adware-модулей в другие приложения или их установка на автозапуск;
  3. Adware-модуль должен воспроизводить рекламную информацию только в контексте вызывавшего его приложения. Недопустимо создание дополнительных окон, запуск сторонних приложений, открытие неких web страниц;
  4. Adware-модуль не должен выполнять действий, присущих программам категории SpyWare;
  5. Adware-модуль должен деинсталлироваться вместе с установившим его приложением;

Как легко заметить, к Adware приложению в данной классификации предъявляются серьезные требования и практически ни один Adware-модуль не удовлетворяет всем перечисленным требованиям.

TrojanDownloader - программы для несанкционированной загрузки и установки программного обеспечения

Программы из категории Trojan-Downloader (понятие Trojan-Downloader введено лабораторией Касперского) неоднократно упоминались, поэтому следует дать определение для данной категории программ. Trojan-Downloader - это программа (модуль, ActiveX, библиотека …), основным назначением которой является скрытная несанкционированная загрузка программного обеспечения из Интернет. Наиболее известным источником Trojan-Downloader являются хакерские сайты. Сам по себе Trojan-Downloader как правило не несет прямой угрозы для компьютера - он опасен именно тем, что производит неконтролируемую загрузку программного обеспечения. Trojan-Downloader применяются в основном для загрузки вирусов, троянских и шпионских программ. Наиболее известными по моей статистике являются Trojan-Downloader.IstBar, Trojan-Downloader.Win32.Dyfuca, Trojan-Downloader.Win32.Agent и ряд других. Trojan-Downloader.Win32.IstBar и Trojan-Downloader.Win32.Agent поставили своеобразный рекорд по количеству различных модификаций и своей вредоносности - их появление на компьютере приводит к резкому росту трафика и появлению на ПК множества посторонних программ.

Все программы категории TrojanDownloader можно условно подразделить на две категории:

  1. Универсальные Trojan-Downloader - могут загружать любой программный код с любого сервера. Настройки могут храниться локально (в отдельном файле, реестре) или загружаться с определенного сайта;
  2. Специализированные - предназначены для загрузки строго определенных типов троянских или шпионских программ. Адреса и имена файлов в таком случае жестко фиксированы и хранятся в теле программы.

Dialer

Программы категории Dialer (он-же часто называется "порнозвонилка" от названия Porn-Dialer, присвоенного им в классификации лаборатории Касперского) достаточно широко распространены и предназначены для решения ряда задач, связанных с дозвонкой до заданного сервера и установления с ним модемной связи. Применяются данные программы в основном создателями порносайтов, но страдают от них все - многие программы категории Dialer используют весьма изощренные способы установки (с использованием ActiveX, Trojan-Downloader), причем установка может быть инициирована при посещении практически любого сайта.

Организацию модемного соединения с сервером владельца Dialer может производить несколькими способами:

  • Dialer может производить набор номера и установление соединения своими средствами;
  • Dialer может создать новое соединение удаленного доступа;
  • Dialer может изменить существующие соединения удаленного доступа;

В первых двух случаях Dialer, как правило, всячески привлекает внимание пользователя к себе и созданным им соединением - копирует себя во все доступные места (в папку Program Files, Windows, Windows\System, папку "Пуск" и т.п.), создает ярлыки, регистрирует себя в автозапуске.

Часто кроме решения основной задачи программы типа Dialer выполняют задачи, свойственные программам других категорий (Adware, SpyWare, Trojan-Downloader). Некоторые Dialer устанавливают себя на автозапуск, внедряются в другие приложения - например, мне известен Dialer, регистрирующий себя как расширение языка Basic и запускающийся при открытии любого приложения Microsoft Office, использующего скрипты.

Некоторые программы типа Dialer можно смело относить к троянским программам (а многие производители антивирусов считают Dialer троянской программой - на сайте производителей Norton Antivirus про Dialer говорится "троянская программа, предназначенная для …"), в классификации лаборатории Касперского есть специальная категория Trojan.Dialer.

Кроме утилит дозвонки к категории Dialer часто относят специализированные утилиты для просмотра порносайтов. Ведут они себя аналогично Dialer, только вместо модемного соединения соединяются с закрытими сайтами по Интернет.

BHO - Browser Helper Object

BHO (альтернативные названия - Browser Helper Object, Browser Plugin, Browser Bar, IE Bar, OE Bar и т.п., в классификации лаборатории Касперского есть категория подкатегория Toolbar, например AdWare.Toolbar.Azesearch) - это расширение браузера или программы электронной почты, как правило выполненное в виде дополнительной панели управления. У BHO есть ряд достаточно опасных особенностей:

  • BHO не являются процессам системы - они работают в контексте браузера и не могут быть обнаружены в диспетчере задач;
  • BHO запускаются вместе с браузером и могут контролировать события, связанные с работой пользователя в Интернет (по сути, BHO для этого и предназначены);
  • BHO обмениваются с сетью, используя API интеграции с браузером. Поэтому, с точки зрения большинства персональных FireWall обмен с Интернет ведет браузер. Как следствие, обнаружить такой обмен и воспрепятствовать ему очень сложно. Ситуация отягощается тем, что многие BHO, входящие в категорию "SpyWare", передают информацию после запроса пользователя - это делает практически невозможным обнаружение постороннего обмена с Интернет, т.к. он идет на фоне полезного трафика;
  • Ошибки в работе BHO могут дестабилизировать работу браузера и приводить к трудно диагностируемым сбоям в его работе;

Hijacker

Буквальный перевод этого термина звучит как "налетчик", "грабитель", "воздушный пират". Это программа, которая выполняет на компьютере пользователя нежелательные для него действия, преследуя цели своих разработчиков. Производитель многих антивирусных средств относят программы категории Hijacker к троянским программам. Задачей программ класса Hijacker является перенастройка параметров браузера, электронной почты или других приложений без разрешения и ведома пользователя. В зарубежных источниках мне встречалось определение Hijacker - "утилита, которая изменяет настройки браузера без ведома пользователя".

Наиболее часто Hijacker применяется для изменения:

  • Стартовой страницы браузера - стартовая страница заменяется на адреса сайта создателей Hijacker;
  • Настройки системы поиска браузера (эти настройки хранятся в реестре). В результате при нажатии кнопки "Поиск" открывается адрес, установленный программой Hijacker;
  • Префиксов протоколов;
  • Уровней и настроек безопасности браузера;
  • Реакции браузера на ошибки - мне встречался Hijacker, заменяющий стандартные странички IE, описывающие ошибки типа 404 на собственные;
  • Модификации списка адресов ("Избранное") браузера

В чистом виде Hijacker встречается сравнительно редко, т.к. чаще всего по выполняемым действиям программа может быть кроме категории "Hijacker" отнесена к категориям "Trojan","Dialer" или AdWare/SpyWare.

Trojan - троянская программа

Троянская программа - это программа, которая выполняет действия, направленные против пользователя - собирает и передает владельцам конфиденциальную информацию о пользователе (эту категорию еще называют Trojan-Spy), выполняет несанкционированные или деструктивные действия. Из определения легко заметить, что троянска программа является "родственником" программ из категории SpyWare - разница как правило в том, что SpyWare не имеют выраженного деструктивного действия и не передают конфиденциальную информацию о пользователе. Однако вопрос об отнесении программы к той или иной категории достаточно спорный (часто получается, что одна антивирусная компания считает некий модуль Adware, другая - троянской программой, третья - вообще игнорирует).

Backdoor - утилита скрытного удаленного управления и администрирования

Backdoor - это программа, основным назначением которой является скрытное управление компьютером. Backdoor можно условно подразделить на следующие категории:

    • Backdoor, построенные по технологии Client - Server. Такой Backdoor состоит как минимум из двух программ - небольшой программы, скрытно устанавливаемой на поражаемый компьютер и программы управления, устанавливаемой на компьютер злоумышленника. Иногда в комплекте идет еще и программа настройки;
    • Backdoor, использующие для удаленного управления встроенный telnet, web или IRC сервер. Для управления таким Backdoor не требуется специальное клиентское программное обеспечение. К примеру, известны Backdoor, которые подключался к заданному IRC серверу и используют его для обмена со злоумышленником.

Основное назначение Backdoor - скрытное управление компьютером. Как правило, Backdoor позволяет копировать файлы с пораженного компьютера и наоборот, передавать на пораженный компьютер файлы и программы. Кроме того, обычно Backdoor позволяет получить удаленный доступ к реестру, производить системные операции (перезагрузку ПК, создание новых сетевых ресурсов, модификацию паролей и т.п.). Backdoor по сути открывает атакующему "черный ход" на компьютер пользователя. Опасность Backdoor увеличилась в последнее время в связи с тем, что многие современные сетевые и почтовые черви или содержат в себе Backdoor-компоненту, или устанавливают ее после заражения ПК.

 

Заключение

В данной статье рассмотрены основные категории вредоносных программ, не являющихся компьютерными вирусами. По статистике в настоящее время SpyWare и AdWare программы причиняют пользователям все больше неприятностей, и для борьбы с ними приходится держать внушительный арсенал специализированных программ. В следующей статье речь пойдет методиках самостоятельного поиска и удаления постороннего программного обеспечения без применения антивирусных программ.




Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.