Шпионские программы — угроза безопасности вашего ПК

Олег Зайцев

SpyWare

SpyWare cookies

Adware-программы и модули

Trojan-Downloader

Dialer

Browser Helper Object

Hijacker

Trojan

Backdoor

Заключение

 

Данная статья посвящена достаточно актуальной в настоящий момент проблеме вредоносного программного кода. Еще несколько лет назад ситуация была довольно проста: существовали прикладные программы (включая операционную систему) и компьютерные вирусы, способные заражать другие приложения путем внедрения в них своего машинного кода. Однако в последнее время появилось множество вредоносных программ, которые нельзя считать вирусами, так как они не обладают способностью к размножению. Для таких программ существует немало категорий: Trojan, Backdoor, Trojan-Downloader, MalWare, SpyWare, Adware, Dialer и т.д., причем эта классификация зачастую весьма спорная, поскольку производители различного антивирусного ПО нередко относят одну и ту же программу к разным категориям. В данной статье мы попытаемся предложить классификацию указанных вредоносных программ и сформулировать критерии, по которым ту или иную программу можно отнести к категориям SpyWare и Adware.

SpyWare

Программой-шпионом (Spy, SpyWare, Spy-Ware, Spy Trojan) принято называть программное обеспечение, собирающее и передающее кому-либо информацию о пользователе без его согласия. Информация о пользователе может включать его персональные данные, конфигурацию его компьютера и операционной системы, статистику работы в Интернете.

Шпионское ПО применяется для различных целей, основными из которых являются маркетинговые исследования и целевая реклама. Известно, что информация о конфигурации компьютера пользователя, об используемом им программном обеспечении и о посещаемых сайтах, статистика запросов к поисковым машинам и статистика вводимых с клавиатуры слов позволяют очень точно определить род деятельности и круг интересов пользователей. Поэтому чаще всего можно наблюдать связку SpyWare с Adware, то есть программы-шпиона и модуля показа рекламы. Шпионская часть собирает информацию о пользователе и передает ее на сервер рекламной фирмы, где информация анализируется, а в ответ высылается рекламная информация, наиболее подходящая для данного пользователя. В лучшем случае реклама показывается в отдельных всплывающих окнах, в худшем — внедряется в загружаемые страницы и присылается по электронной почте.

Однако собранная информация может использоваться не только для рекламных целей. Например, получение информации о ПК пользователя может значительно упростить хакерскую атаку и взлом компьютера пользователя. А если программа периодически обновляется через Интернет, то это делает компьютер особенно уязвимым: элементарная атака на DNS может подменить адрес источника обновления на адрес сервера хакера. Подобное «обновление» приведет к внедрению в ПК пользователя какого угодно постороннего программного обеспечения.

Шпионское программное обеспечение может попасть на компьютер пользователя двумя основными путями.

Первый путь реализуется в ходе посещения Интернет-сайтов. Наиболее часто проникновение шпионского ПО происходит при посещении пользователем хакерских и warez-сайтов, сайтов с бесплатной музыкой и порносайтов. Как правило, для установки шпионского ПО применяются компоненты ActiveX или троянские программы категории TrojanDownloader (по классификации «Лаборатории Касперского»). Многие хакерские сайты могут выдать так называемый крек, содержащий шпионскую программу или TrojanDownloader для ее загрузки.

Второй путь использует установку бесплатных или условно-бесплатных программ, которых существует великое множество, причем распространяются они через Интернет или на пиратских компакт-дисках. Классический пример — кодек DivX, содержащий утилиту для скрытной загрузки и установки SpyWare.Gator. Большинство программ с SpyWare-компонентами не уведомляют об этом пользователя.

Четких критериев для занесения программы в категорию SpyWare не существует, и потому создатели антивирусных пакетов очень часто относят программы категорий Adware, Hijacker и BHO к категории SpyWare, и наоборот.

Мы предлагаем вам несколько правил и условий, наличие которых позволяет классифицировать программу как SpyWare (в основу классификации положены проведенные автором исследования самых распространенных SpyWare-программ):

  1. Программа тайно устанавливается на компьютер пользователя, тогда как инсталлятор обычной программы должен уведомить пользователя о факте ее установки (с возможностью отказа от установки), предложить выбрать каталог для установки и конфигурацию. Кроме того, после установки инсталлятор должен создать пункт в списке «Установка и удаление программ», вызов которого запустит процесс деинсталляции. Шпионское же программное обеспечение обычно устанавливается нетрадиционным способом (часто с использованием троянских модулей) без уведомления пользователя, причем его деинсталляция в большинстве случаев невозможна. Второй путь инсталляции SpyWare — установка в комплекте с какой-либо популярной программой.
  2. Программа несанкционированно загружается в память в процессе загрузки компьютера. Стоит иметь в виду, что разработчики современных SpyWare начали применять RootKit-технологии для маскировки процесса в памяти и файлов на диске. Кроме того, становится обычным явлением создание «неубиваемых» процессов — в этом случае происходит запуск двух процессов, которые перезапускают друг друга при остановке (такая технология, в частности, применяется в SpyWare.WinAd).
  3. Программа выполняет некоторые операции без указания пользователя, например принимает или передает какую-либо информацию из Интернета.
  4. Программа загружает и устанавливает свои обновления, дополнения, модули расширения или иное ПО без ведома и согласия пользователя. Данное свойство присуще многим шпионским программам и чрезвычайно опасно, поскольку загрузка и установка обновлений и дополнительных модулей происходит в закрытом режиме и часто ведет к нестабильной работе системы. Более того, механизмы автоматического обновления могут быть использованы злоумышленниками для внедрения на ПК пользователя троянских модулей.
  5. Программа модифицирует системные настройки или вмешивается в функционирование других программ без ведома пользователя. Так, шпионский модуль может изменить уровень безопасности в настройках браузера или внести изменения в настройки сети.
  6. Программа модифицирует информацию или информационные потоки. Типичным примером являются разные расширения для программы Outlook Express, которые при отправке письма приписывают туда свою информацию. Другой распространенный пример — модификация загружаемых из Интернета страниц, куда включается рекламная информация, а некоторые слова или фразы превращаются в гиперссылки.

Следует подчеркнуть тот факт, что программа категории SpyWare не позволяет удаленно управлять компьютером и не передает пароли и подобную информацию своим создателям — такие действия характерны для другой категории программ, именуемых Trojan и BackDoor. Однако по многим параметрам программы категории SpyWare являются «родственниками» троянских программ.

Говоря о программах категории SpyWare, стоит обратить особое внимание на такое их свойство, как скрытное слежение за пользователем. Предположим, что у пользователя установлена безобидная программа, загружающая рекламные баннеры один раз в час. Анализируя протоколы рекламного сервера, можно выяснить, как часто и как долго пользователь работает в Интернете, в какое время, через какого провайдера. Эта информация будет доступна даже при условии, что программа будет только загружать только данные, не передавая никакой информации. Более того, каждая версия программы может загружать рекламу по уникальному адресу, что позволит узнать, какая именно программа загружает рекламу.

В начало В начало

SpyWare cookies

Практически все программы для поиска Adware/Spyware-программ детектируют и удаляют так называемые SpyWare cookies (иногда их также называют Tracking cookies). В качестве теста автор лично проверил свой компьютер при помощи известной программы Ad-Aware SE Personal, которая обнаружила и предложила удалить 164 Tracking cookies, причем большинство найденных cookies были созданы известными сайтами, в частности rambler.ru, list.ru, hotlog.ru, downloads.ru. В результате в различных конференциях часто можно встретить сообщения примерно такого содержания: «Я лечил компьютер и нашел несколько сотен шпионов, которые пропустил мой антивирус…», а затем анализ показывает, что речь идет о cookies. По поводу cookies можно однозначно сказать — это обычные текстовые файлы, которые не являются программами и не могут выполнять никаких шпионских или троянских функций на компьютере пользователя. Единственная шпионская операция, осуществимая при помощи cookies, состоит в возможности сайта сохранить на компьютере пользователя некоторые текстовые данные, которые будут переданы при последующем посещении сайта, сохранившего cookies. Рейтинги, счетчики и баннерные рулетки могут использовать cookies для своеобразной пометки пользователя.

 

Схема работы этой методики показана на рисунке. Предположим, что пользователь посещает два сайта, содержащих на своих страницах счетчик одной и той же рейтинговой системы. При посещении сайта A произойдут как минимум две операции — загрузка страницы с сайта A (шаг 1) и обращение к сайту рейтинговой системы (шаг 2). В заголовке HTTP-ответа рейтинговой системы содержится поле, предписывающее браузеру сохранить cookie для сайта рейтинговой системы, — в результате браузер сохраняет cookie в своей базе данных. Затем пользователь посещает сайт B (шаг 3) и происходит повторное обращение к сайту рейтинговой системы (шаг 4), в ходе которого передается cookie, сохраненный при шаге 2. Получив и проанализировав cookie, рейтинговая система узнает пользователя — для этого, как правило, в cookie хранится присвоенный пользователю уникальный номер. В итоге рейтинговая система может не просто фиксировать факт посещения сайта, но и отслеживать траекторию переходов пользователя по сайтам (естественно, только по сайтам, страницы которых содержат счетчики этой рейтинговой системы). Кроме того, рейтинговая система может решить ряд интересных статистических задач, например определить количество уникальных посетителей за определенный период, количество постоянных пользователей, периодичность посещения. Кроме статистических исследований, идентификация пользователя при помощи cookies позволяет бороться с накруткой посещений или баннерных показов. И здесь нужно иметь в виду, что при помощи cookies любой сайт может регистрировать факт повторного посещения, но не может определить никаких персональных данных пользователя (за исключением того случая, когда пользователь сам передал какие-либо сведения, заполняя формы регистрации на сайте, — но даже в этом случае подобная информация очень редко хранится непосредственно в cookie, а обычно заносится в базу данных на стороне Web-сервера).

На наш взгляд, опасность, которая приписывается шпионским cookies, сильно преувеличена. Так, Internet Explorer всех версий позволяет отключить прием cookies, а в версии 6.0 имеется возможность более тонкой настройки: все cookies делятся на основные (сохраняемые просматриваемой страницей) и сторонние (сохраняемые ресурсами, загружаемыми с других сайтов), так что пользователь имеет возможность произвести тонкую настройку.

В начало В начало

Adware-программы и модули

Аdware (AdvWare, Ad-Ware и т.п.) — это приложение, предназначенное для загрузки на ПК пользователя информации рекламного характера для ее последующей демонстрации. Можно выделить две категории AdWare программ:

  • программы, распространяемые по Adware-лицензии. Такие программы воспроизводят рекламу в качестве неявной оплаты за их использование; при этом реклама должна воспроизводиться только во время использования программы в контексте ее окон;
  • независимые приложения, предназначенные для воспроизведения рекламы. Эти программы, как правило, маскируются от обнаружения и удаления пользователями. Рекламная информация обычно выводится в виде всплывающих окон, хотя применяются и более изощренные формы показа рекламы — это, например, демонстрация рекламной информации на рабочем столе в виде обоев или Web-элементов.

Корректная программа, распространяемая по Adware-лицензии, должна соответствовать следующим правилам:

  1. При инсталляции на ПК программа должна предупредить пользователя о том, что является Adware-приложением и разъяснить ему термин «Adware». При этом инсталлятор должен предусматривать возможность отказа пользователя от установки приложения, а еще лучше — предлагать варианты установки: бесплатный adware- или платный shareware-вариант). Пример соответствующей правилам инсталляции демонстрирует менеджер закачек FlashGet, который предлагает указанные варианты установки, хотя некоторые анти-SpyWare-программы по неизвестной причине считают его шпионским ПО и удаляют.
  2. Adware-модуль должен быть либо библиотекой, загружаемой Adware-программой во время работы, либо неотъемлемой частью этой программы. Загрузка Adware-модуля должна, естественно, происходить при запуске приложения, выгрузка и прекращение работы — при выгрузке приложения из памяти. Недопустимы ни внедрение Adware-модулей в другие приложения, ни их установка на автозапуск.
  3. Adware-модуль должен воспроизводить рекламную информацию только в контексте вызывавшего его приложения. Непозволительны создание дополнительных окон, запуск сторонних приложений, открытие Web-страниц.
  4. Adware-модуль не должен выполнять действий, присущих программам категории SpyWare.
  5. Adware-модуль должен деинсталлироваться вместе с установившим его приложением.

Таким образом, к Adware-приложению предъявляются серьезные требования, но практически ни один Adware-модуль не соответствует всем вышеперечисленным правилам.

В начало В начало

Trojan-Downloader

Программы из категории Trojan-Downloader (термин Trojan-Downloader введен «Лабораторией Касперского») неоднократно упоминались в этой статье, поэтому пришло время дать им четкое определение. Итак, Trojan-Downloader — это программа (модуль, компонент ActiveX, библиотека и т.д.), основным назначением которой является тайная и несанкционированная загрузка программного обеспечения из Интернета. Наиболее известным источником Trojan-Downloader являются хакерские сайты. Собственно программа Trojan-Downloader, как правило, не представляет прямой угрозы для компьютера — она опасна тем, что производит неконтролируемую загрузку программного обеспечения. Trojan-Downloader применяются в основном для загрузки вирусов, троянских и шпионских программ. Наиболее известными, по нашей статистике, являются Trojan-Downloader.IstBar, Trojan-Downloader.Win32.Dyfuca, Trojan-Downloader.Win32.Agent и ряд других. Trojan-Downloader.Win32.IstBar и Trojan-Downloader.Win32.Agent поставили своеобразный рекорд как по количеству различных модификаций, так и по своей вредоносности: их появление на компьютере ведет к резкому росту трафика и внедрению в ПК множества посторонних программ.

Все программы категории TrojanDownloader можно условно разделить на две категории:

• универсальные — могут загружать какой угодно программный код с любого сервера. Настройки могут храниться локально (в отдельном файле, реестре) или загружаться с определенного сайта;

• специализированные — предназначены для загрузки строго определенных типов троянских или шпионских программ. Адреса и имена файлов в этом случае жестко фиксированы и хранятся в теле программы.

В начало В начало

Dialer

Программы категории Dialer (они часто называются «порнозвонилками» — от термина Porn-Dialer, присвоенного им по классификации «Лаборатории Касперского») довольно широко распространены и предназначены для решения ряда задач, связанных с дозвоном до заданного сервера и с установлением с ним модемной связи. Применяются такие программы в основном создателями порносайтов, но страдают от них все, поскольку многие программы категории Dialer используют весьма изощренные способы установки (с использованием компонентов ActiveX, Trojan-Downloader), причем установка может быть инициирована при посещении почти любого сайта.

Организацию модемного соединения с сервером владельца подобная программа может осуществлять несколькими способами, поскольку может:

• производить набор номера и установление соединения своими средствами;

• создавать новое соединение удаленного доступа;

• изменять существующие соединения удаленного доступа.

В первых двух случаях Dialer, как правило, всячески привлекает внимание пользователя к себе и к созданным им соединениям: копирует себя во все доступные места (в папку Program Files, в Windows, Windows\System, в папку «Пуск» и т.п.), создает ярлыки, регистрирует себя в автозапуске.

Часто, кроме своей основной задачи, программы типа Dialer выполняют и задачи, свойственные программам других категорий (Adware, SpyWare, Trojan-Downloader). Некоторые Dialer устанавливают себя на автозапуск, внедряются в другие приложения. Например, автору известен Dialer, регистрирующий себя как расширение языка Basic и запускающийся при открытии любого приложения Microsoft Office, использующего скрипты.

Некоторые программы типа Dialer можно смело относить к троянским программам (многие производители антивирусов считают сам Dialer троянской программой — на сайте производителей Norton Antivirus о Dialer говорится: «троянская программа, предназначенная для…»). В классификации «Лаборатории Касперского» есть специальная категория Trojan.Dialer.

Кроме утилит дозвона, к категории Dialer часто относят специализированные утилиты для просмотра порносайтов. Ведут они себя аналогично Dialer, но вместо модемного соединения соединяются с закрытыми сайтами через Интернет.

В начало В начало

Browser Helper Object

ВHO (Browser Helper Object; называются также Browser Plugin, Browser Bar, IE Bar, OE Bar и т.п., а по классификации «Лаборатории Касперского» выделены в категорию Toolbar, например AdWare.Toolbar.Azesearch) — это расширение браузера или программы электронной почты, обычно выполненное в виде дополнительной панели управления. BHO обладают рядом весьма опасных особенностей:

  • не являются процессами системы, а работают в контексте браузера и не могут быть обнаружены в диспетчере задач;
  • запускаются вместе с браузером и могут контролировать события, связанные с работой пользователя в Интернете (по сути, BHO для этого и предназначены);
  • обмениваются с сетью, используя API-интеграции с браузером. Поэтому, с точки зрения большинства персональных брандмауэров, обмен с Интернетом ведется браузером, а следовательно, очень сложно обнаружить такой обмен и воспрепятствовать ему. Ситуация отягощается и тем, что многие BHO, входящие в категорию SpyWare, передают информацию после запроса пользователя — это делает практически невозможным обнаружение постороннего обмена с Интернетом, поскольку он идет на фоне полезного трафика;
  • ошибки в работе BHO могут дестабилизировать работу браузера и приводить к трудно диагностируемым сбоям в его функционировании.
В начало В начало

Hijacker

Б уквальный перевод данного термина — «налетчик», «грабитель», «пират». Эта программа выполняет на компьютере пользователя нежелательные для него действия в интересах своих разработчиков. Производители многих антивирусных средств относят программы категории Hijacker к троянским программам. Задачей Hijacker-программ является перенастройка параметров браузера, электронной почты или других приложений без ведома и разрешения пользователя. В зарубежных источниках автору попалось и такое определение Hijacker — утилита, которая изменяет настройки браузера без ведома пользователя.

Чаще всего Hijacker применяется для изменения:

  • стартовой страницы браузера, которая заменяется на адреса сайта создателей Hijacker;
  • настроек системы поиска браузера, хранящихся в реестре, — при нажатии кнопки «Поиск» открывается адрес, установленный программой Hijacker;
  • префиксов протоколов;
  • уровней и настроек безопасности браузера;
  • реакции браузера на ошибки — автору встречался Hijacker, заменяющий стандартные странички IE, описывающие ошибки типа 404, на собственные;
  • модификации списка адресов («Избранное») браузера.

В чистом виде Hijacker-программы встречаются сравнительно редко и по выполняемым ими действиям могут быть отнесены к категориям Trojan, Dialer или AdWare/SpyWare.

В начало В начало

Trojan

Троянская программа выполняет действия, направленные против пользователя, — собирает и передает владельцам конфиденциальную информацию о пользователе (эту категорию еще называют Trojan-Spy), совершает несанкционированные или деструктивные действия. Из этого определения следует, что троянцы имеют сходство с SpyWare-программами — разница между ними, как правило, заключается в том, что SpyWare не имеют выраженного деструктивного действия и не передают конфиденциальную информацию о пользователе. Однако вопрос об отнесении программы к той или иной категории довольно сложный: иногда одна антивирусная компания считает некий модуль Adware, другая — троянской программой, а третья — вообще его игнорирует.

В начало В начало

Backdoor

Основным назначением Backdoor-программ является несанкционированное, тайное управление компьютером. Эти программы можно условно разделить на следующие категории:

  • построенные по технологии «клиент-сервер». Такие Backdoor-программы состоят как минимум из двух частей — из небольшой программы, тайно устанавливаемой на поражаемый компьютер, и из программы управления, устанавливаемой на компьютер злоумышленника. Иногда сюда входит программа настройки;
  • использующие для удаленного управления встроенный Telnet-, Web- или IRC-сервер. Для управления такой программой не требуется специального клиентского ПО. К примеру, известны Backdoor, которые подключаются к заданному IRC-серверу и используют его для обмена со своим хозяином.

Как правило, Backdoor позволяет копировать файлы с пораженного компьютера и, наоборот, передавать на пораженный компьютер файлы и программы. Кроме того, обычно Backdoor позволяет получать удаленный доступ к реестру и производить системные операции: перезагрузку ПК, создание новых сетевых ресурсов, модификацию паролей и т.п. Backdoor, по сути, открывает атакующему «черный ход» на ПК пользователя. Опасность Backdoor в последнее время увеличилась в связи с тем, что многие современные сетевые и почтовые черви либо изначально содержат в себе Backdoor-компонент, либо устанавливают его после заражения ПК.

В начало В начало

Заключение

В данной статье рассмотрены основные категории вредоносных программ, не являющихся компьютерными вирусами. По статистике, в настоящее время SpyWare- и AdWare-программы причиняют пользователям все больше неприятностей, а для борьбы с ними приходится иметь немалый арсенал специализированных программ. В следующей статье речь пойдет о методиках самостоятельного поиска и удаления постороннего ПО без применения антивирусных программ.

КомпьютерПресс 7'2005

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует