Вредоносные программы

2.3 Шпионское программное обеспечение 

Определение

    Spyware (шпионское программное  обеспечение) — программа, которая скрытным образом устанавливается на компьютер с целью полного или частичного контроля за работой компьютера и пользователя без согласия последнего.

    В настоящий момент существует множество  определений и толкований термина spyware. Организация «Anti-Spyware Coalition», в  которой состоят многие крупные производители антишпионского и антивирусного программного обеспечения, определяет его как мониторинговый программный продукт, установленный и применяемый без должного оповещения пользователя, его согласия и контроля со стороны пользователя, то есть несанкционированно установленный.

Особенности функционирования

    Spyware могут осуществлять широкий круг  задач, например:

• собирать информацию о привычках пользования Интернетом и наиболее часто посещаемые сайты (программа отслеживания);
• запоминать нажатия клавиш на клавиатуре (кейлоггеры) и записывать скриншоты экрана (screen scraper) и в дальнейшем отправлять информацию создателю spyware;
• несанкционированно и удалённо управлять компьютером (remote control software) — бэкдоры, ботнеты, droneware;
• инсталлировать на компьютер пользователя дополнительные программы;
• использоваться для несанкционированного анализа состояния систем безопасности (security analysis software) — сканеры портов и уязвимостей и взломщики паролей;
• изменять параметры операционной системы (system modifying software) — руткиты, перехватчики управления (hijackers) и пр. — результатом чего является снижение скорости соединения с Интернетом или потеря соединения как такового, открывание других домашних страниц или удаление тех или иных программ;
• перенаправлять активность браузеров, что влечёт за собой посещение веб-сайтов вслепую с риском заражения вирусами.

Законные  виды применения «потенциально  нежелательных технологий»

• Tracking Software (программы отслеживания) широко и совершенно законно применяются для мониторинга персональных компьютеров.
• Adware может открыто включаться в состав бесплатного и условно-бесплатного программного обеспечения, и пользователь соглашается на просмотр рекламы, чтобы иметь какую-либо дополнительную возможность (например — пользоваться данной программой бесплатно). В таком случае наличие программы для показа рекламы должно явно прописываться в соглашении конечного пользователя (EULA).
• Программы удалённого контроля и управления могут применяться для удалённой технической поддержки или доступа к собственным ресурсам, которые расположены на удалённом компьютере.
• Дозвонщики (диалеры) могут давать возможность получить доступ к ресурсам, нужным пользователю (например — дозвон к Интернет-провайдеру для подключения к сети Интернет).
• Программы для модификации системы могут применяться и для персонализации, желательной для пользователя.
• Программы для автоматической загрузки могут применяться для автоматической загрузки обновлений прикладных программ и обновлений ОС.
• Программы для анализа состояния системы безопасности применяются для исследования защищённости компьютерных систем и в других совершенно законных целях.
• Технологии пассивного отслеживания могут быть полезны для персонализации веб-страниц, которые посещает пользователь.

История и развитие

    Согласно  данным AOL и National Cyber-Security Alliance от 2005 года 61% респондентных компьютеров содержали ту или иную форму spyware, из них 92% пользователей не знали о присутствии spyware на их машинах и 91% сообщили, что они не давали разрешения на инсталляцию spyware.

    К 2006 году spyware стали одним из превалирующих  угроз безопасности компьютерных систем, использующих Windows. Компьютеры, в которых Internet Explorer служит основным браузером, являются частично уязвимыми не потому, что Internet Explorer наиболее широко используется, но из-за того, что его тесная интеграция с Windows позволяет spyware получать доступ к ключевым узлам ОС.

    До  релиза Internet Explorer 7 браузер автоматически  выдавал окно инсталляции для любого компонента ActiveX, который веб-сайт хотел установить. Сочетание наивной неосведомлённости пользователя по отношению к spyware и предположение Internet Explorer, что все компоненты ActiveX безвредны, внесло свой вклад в массовое распространение spyware. Многие компоненты spyware также используют изъяны в JavaScript, Internet Explorer и Windows для инсталляции без ведома и/или разрешения пользователя.

    Реестр Windows содержит множество разделов, которые  после модифицирования значений ключей позволяют программе исполняться автоматически при загрузке ОС. Spyware могут использовать такой шаблон для обхождения попыток деинсталляции и удаления.

    Spyware обычно присоединяют себя из  каждого местонахождения в реестре,  позволяющего исполнение. Будучи  запущенным, spyware контролирует периодически, не удалено ли одно из этих звеньев. Если да, то оно автоматически восстанавливается. Это гарантирует, что spyware будет выполняться во время загрузки ОС, даже если некоторые (или большинство) звенья в реестре автозапуска удалены.

Spyware, вирусы и сетевые  черви

    В отличие от вирусов и сетевых  червей, spyware обычно не саморазмножается. Подобно многим современным вирусам, spyware внедряется в компьютер преимущественно  с коммерческими целями. Типичные проявления включают в себя демонстрацию рекламных всплывающих окон, кражу персональной информации (включая финансовую, например, номера кредитных карт), отслеживание привычки посещения веб-сайтов или перенаправление адресного запроса в браузере на рекламные или порносайты.

Телефонное мошенничество

    Создатели spyware могут совершать мошенничество  на телефонных линиях с помощью программ типа «диалер». Диалер может перенастроить  модем для дозвона на дорогостоящие  телефонные номера вместо обычного ISP. Соединение с этими не вызывающими доверия номерами идёт по международным или межконтинентальным тарифам, следствием чего являются непомерно высокие суммы в телефонных счетах. Диалер не эффективен на компьютерах без модема или не подсоединённых к телефонной линии.

Методы  лечения и предотвращения

    Если  угроза со стороны spyware становится более  чем назойливой, существует ряд методов  для борьбы с ними. Среди них  программы, разработанные для удаления или блокирования внедрения spyware, также  как и различные советы пользователю, направленные на снижение вероятности попадания spyware в систему.

    Тем не менее, spyware остаётся дорогостоящей  проблемой. Когда значительное число  элементов spyware инфицировало ОС, единственным средством остаётся сохранение файлов данных пользователя и полная переустановка ОС.

Антиspyware программы

    Программы, такие как Ad-Aware (бесплатно для  некоммерческого использования, дополнительные услуги платные) от Lavasoft и Spyware Doctor от PC Tools (бесплатное сканирование, удаление spyware платное) стремительно завоевали  популярность как эффективные инструменты удаления и, в некоторых случаях, препятствия внедрению spyware. В 2004 году Microsoft приобрела GIANT AntiSpyware, переименовав её в Windows AntiSpyware beta и выпустив её как бесплатную загрузку для зарегистрированных пользователей Windows XP и Windows Server 2003. В 2006 году Microsoft переименовал бета-версию в Windows Defender который был выпущен для бесплатной загрузки (для зарегистрированных пользователей) с октября 2006 года и включён как стандартный инструмент в Windows Vista. 

2.4 Сетевые черви 

    Сетевой червь — разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. Червь является самостоятельной программой.

История

    Одни  из первых экспериментов по использованию  компьютерных червей в распределённых вычислениях были проведены в исследовательском центре Xerox в Пало Альто Джоном Шочем (John Shoch) и Йоном Хуппом (Jon Hupp) в 1978. Термин возник под влиянием научно-фантастических романов Дэвида Герролда «Когда ХАРЛИ исполнился год» и Джона Браннера «На ударной волне»

    Одним из наиболее известных компьютерных червей является «Червь Морриса», написанный Робертом Моррисом (Robert Morris) младшим, который  был в то время студентом Корнельского Университета. Распространение червя  началось 2 ноября 1988, после чего червь быстро заразил большое количество компьютеров, подключённых к интернету.

Механизмы распространения

    Черви могут использовать различные механизмы («векторы») распространения. Некоторые  черви требуют определенного  действия пользователя для распространения (например, открытия инфицированного сообщения в клиенте электронной почты). Другие черви могут распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме. Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.

Структура

    Часто выделяют так называемые ОЗУ–резидентные  черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл–кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.

    Также существуют черви, которые после  успешного инфицирования памяти сохраняют код на жёстком диске  и принимают меры для последующего запуска этого кода (например, путём  прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивируса или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой TFTP-клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого–либо вреда (например, DoS–атаки).

    Большинство почтовых червей распространяются как  один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь–жертва при помощи почтового клиента добровольно скачивает и запускает червя целиком. 
 
 
 
 

2.5 Руткиты 

Определение

    Руткит (Rootkit) - программа или набор программ, использующих технологии сокрытия системных объектов (файлов, процессов, драйверов, сервисов, ключей реестра, открытых портов, соединений и пр.) посредством обхода механизмов системы.

    Термин  руткит исторически пришел из мира Unix, где под этим термином понимается набор утилит, которые хакер устанавливает на взломанном им компьютере после получения первоначального доступа. Это, как правило, хакерский инструментарий (снифферы, сканеры) и троянские программы, замещающие основные утилиты Unix. Руткит позволяет хакеру закрепиться во взломанной системе и скрыть следы своей деятельности.

    В системе Windows под термином руткит принято  считать программу, которая внедряется в систему и перехватывает  системные функции, или производит замену системных библиотек. Перехват и модификация низкоуровневых API функций в первую очередь позволяет такой программе достаточно качественно маскировать свое присутствие в системе, защищая ее от обнаружения пользователем и антивирусным ПО. Кроме того, многие руткиты могут маскировать присутствие в системе любых описанных в его конфигурации процессов, папок и файлов на диске, ключей в реестре. Многие руткиты устанавливают в систему свои драйверы и сервисы (они естественно также являются «невидимыми»).

    В последнее время угроза руткитов становится все более актуальной, т.к. разработчики вирусов, троянских программ и шпионского программного обеспечения начинают встраивать руткит-технологии в свои вредоносные программы. Одним из классических примеров может служить троянская программа Trojan-Spy.Win32.Qukart, которая маскирует свое присутствие в системе при помощи руткит-технологии. Ее RootKit-механизм прекрасно работает в Windows 95, 98, ME, 2000 и XP.

Классификация руткитов

Условно все  руткит-технологии можно разделить  на две категории:

• Руткиты работающие в режиме пользователя (user-mode)
• Руткиты работающие в режиме ядра (kernel-mode)

    Первая  категория основана на перехвате  функций библиотек пользовательского  режима, вторая – на установке в  систему драйвера, осуществляющего  перехват функций уровня ядра.

    Также, руткиты можно классифицировать по принципу действия и по постоянству существования. По принципу действия:

• Изменяющие алгоритмы выполнения системных функций
• Изменяющие системные структуры данных 
  

 

3. Признаки заражения компьютера вирусом. Действия при обнаружении заражения. 

    Присутствие вирусов на компьютере обнаружить сложно, потому что они маскируются среди  обычных файлов. В данной статье наиболее подробно описаны признаки заражения компьютера, а также  способы восстановления данных после  вирусной атаки и меры по предотвращению их поражения вредоносными программами.

    Признаки  заражения:

• вывод на экран непредусмотренных сообщений или изображений;
• подача непредусмотренных звуковых сигналов;
• неожиданное открытие и закрытие лотка CD-ROM-устройства;
• произвольный, без вашего участия, запуск на компьютере каких-либо программ;
• при наличии на вашем компьютере межсетевого экрана, появление предупреждений о попытке какой-либо из программ вашего компьютера выйти в интернет, хотя вы это никак не инициировали.