Шпионские программы и новейшие методы защиты от них

Содержание 

 

 

Шпионские программы

и новейшие методы защиты от них 

1.История компьютерных программ-шпионов 

     История компьютерных программ-шпионов началась совершенно невинно. Ведущие компьютерные фирмы мира проводили исследования насыщавшегося рынка. И кому-то, оставшемуся для истории неизвестным, пришла в голову мысль, что неплохо бы без ведома владельцев узнавать, какая на компьютере установлена операционная система, каков объем памяти и что за процессор. В принципе, ту же информацию можно было бы получить и через опросы этих владельцев, но залезть через Интернет в компьютер оказалось проще и дешевле. Только вот без разрешения — не совсем этично, но в конце концов, никакого вреда клиенту от этого нет.

     Следующий этап развития этого бизнеса был  еще чуть менее этичным, но все  еще по эту грань закона. Для  рекламодателей и владельцев поисковых  программ представляла интерес информация о том, какие сайты посещаются с конкретного компьютера. Это позволяло получить надежную информацию о сайтах-лидерах Всемирной сети, посещаемых чаще всего.

     Адреса  электронной почты, которые собираются со всех компьютеров, представляют собой еще один источник информации. Но эта задача уже явно была «технологией двойного назначения». Решая ее в отношении своего конкурента (с кем же он переписывается?), вы могли выявить все его связи, в том числе и те, что он скрывает. И, кроме того, можно было неожиданно обнаружить, что кто-то из ваших сотрудников пошлет вашему конкуренту письмишко по собственной инициативе. Таким образом, несанкционированный контроль переписки конкурента представлял собой хороший инструмент экономической разведки и контрразведки.

     И без того сомнительная невинность троянской  программы оказалась окончательно нарушенной, расширять сферу собираемой таким образом информации стало  делом техники.  
 

1.1.Шпионское программное обеспечение может попасть на компьютер пользователя двумя основными путями: 
 

1.  В ходе посещения сайтов Интернет. Наиболее часто проникновение шпионского ПО происходит про посещении пользователем хакерских и warez сайтов, сайтов с бесплатной музыкой и порносайтов. Как правило, для установки шпионского ПО применяются ActiveX компоненты или троянские программы категории TrojanDownloader по классификации лаборатории Касперского. Многие хакерские сайты могут выдать "крек", содержащий шпионскую программу или TrojanDownloader для ее загрузки;  

2.   В результате установки бесплатных или условно-бесплатных программ. Самое неприятное состоит в том, что подобных программ существует великое множество, они распространяются через Интернет или на пиратских компакт-дисках. Классический пример - кодек DivX, содержащий утилиту для скрытной загрузки и установки SpyWare.Gator. Большинство программ, содержащих SpyWare-компоненты, не уведомляют об этом пользователя;  
 
 
 
 
 
 
 
 
 

2."SpyWare" 
 
 

     Точных  критериев для занесения программы  в категорию "SpyWare" не существует, и очень часто создатели антивирусных пакетов относят программы категорий "Adware", "Hijacker" и "BHO" к категории "SpyWare" и наоборот.  

     Spyware (шпионское программное обеспечение) - программа, которая скрытным образом устанавливается на компьютер с целью полного или частичного контроля за работой компьютера и пользователя без согласия последнего.

     В настоящий момент существует множество  определений и толкований термина spyware. Организация "Anti-Spyware Coalition", в которой состоят многие крупные  производители антишпионского и антивирусного программного обеспечения, определяет его как мониторинговый программный продукт, установленный и применяемый без должного оповещения пользователя, его согласия и контроля со стороны пользователя, то есть несанкционированно установленный. 
 
 
 
 
 
 
 
 

2.1Особенности функционирования 

     Spyware могут осуществлять широкий круг  задач, например: 

• собирать  информацию о привычках пользования  Интернетом и наиболее часто посещаемые сайты (программа отслеживания);

 

• запоминать  нажатия клавиш на клавиатуре (кейлоггеры) и записывать скриншоты экрана (screen scraper) и в дальнейшем отправлять информацию создателю spyware;

 

• несанкционированно  и удалённо управлять компьютером (remote control software) - бэкдоры, ботнеты, droneware;

 

• инсталлировать  на компьютер пользователя дополнительные программы;

 

• использоваться  для несанкционированного анализа  состояния систем безопасности (security analysis software) - сканеры портов и уязвимостей  и взломщики паролей;

 

• изменять  параметры операционной системы (system modifying software) - руткиты, перехватчики управления (hijackers) и пр. - результатом чего является снижение скорости соединения с Интернетом или потеря соединения как такового, открывание других домашних страниц или удаление тех или иных программ;

 

• перенаправлять активность браузеров, что влечёт за собой посещение веб-сайтов вслепую с риском заражения вирусами.

 

2.2.Законные виды применения "потенциально нежелательных технологий" 

     Tracking Software (программы отслеживания) широко  и совершенно законно применяются для мониторинга персональных компьютеров.

     Adware может открыто включаться в  состав бесплатного и условно-бесплатного  программного обеспечения, и пользователь  соглашается на просмотр рекламы,  чтобы иметь какую-либо дополнительную  возможность (например - пользоваться данной программой бесплатно). В таком случае наличие программы для показа рекламы должно явно прописываться в соглашении конечного пользователя (EULA). 

     Программы удалённого контроля и управления могут  применяться для удалённой технической  поддержки или доступа к собственным ресурсам, которые расположены на удалённом компьютере. 

     Дозвонщики (диалеры) могут давать возможность  получить доступ к ресурсам, нужным пользователю (например - дозвон к Интернет-провайдеру для подключения к сети Интернет).

     Программы для модификации системы могут  применяться и для персонализации, желательной для пользователя.

Программы для автоматической загрузки могут  применяться для автоматической загрузки обновлений прикладных программ и обновлений ОС.

     Программы для анализа состояния системы безопасности применяются для исследования защищённости компьютерных систем и в других совершенно законных целях.

     Технологии  пассивного отслеживания могут быть полезны для персонализации веб-страниц, которые посещает пользователь.

2.3История и развитие 

     Согласно  данным AOL и National Cyber-Security Alliance от 2005 года 61% респондентных компьютеров содержали  ту или иную форму spyware, из них 92% пользователей  не знали о присутствии spyware на их машинах и 91% сообщили, что они  не давали разрешения на инсталляцию spyware.

     К 2006 году spyware стали одним из превалирующих  угроз безопасности компьютерных систем, использующих Windows. Компьютеры, в которых Internet Explorer служит основным браузером, являются частично уязвимыми не потому, что Internet Explorer наиболее широко используется, но из-за того, что его тесная интеграция с Windows позволяет spyware получать доступ к ключевым узлам ОС.

До релиза Internet Explorer 7 браузер автоматически  выдавал окно инсталляции для  любого компонента ActiveX, который веб-сайт хотел  установить.

     Сочетание наивной неосведомлённости пользователя по отношению к spyware и предположение Internet Explorer, что все компоненты ActiveX безвредны, внесло свой вклад в массовое распространение spyware. Многие компоненты spyware также используют изъяны в JavaScript, Internet Explorer и Windows для инсталляции без ведома и/или разрешения пользователя.

     Реестр Windows содержит множество разделов, которые  после модифицирования значений ключей позволяют программе исполняться автоматически при загрузке ОС. Spyware могут использовать такой шаблон для обхождения попыток деинсталляции и удаления.

     Spyware обычно присоединяют себя из  каждого местонахождения в реестре,  позволяющего исполнение. Будучи  запущенным, spyware контролирует периодически, не удалено ли одно из этих звеньев. Если да, то оно автоматически восстанавливается. Это гарантирует, что spyware будет выполняться во время загрузки ОС, даже если некоторые (или большинство) звенья в реестре автозапуска удалены. 
 

2.4.Spyware, вирусы и сетевые черви 

В отличие  от вирусов и сетевых червей, spyware обычно не саморазмножается. Подобно  многим современным вирусам, spyware внедряется в компьютер преимущественно  с коммерческими целями. Типичные проявления включают в себя демонстрацию рекламных всплывающих окон, кражу персональной информации (включая финансовую, например, номера кредитных карт), отслеживание привычки посещения веб-сайтов или перенаправление адресного запроса в браузере на рекламные или порносайты. 
 
 
 

2.5.Телефонное мошенничество 

     Создатели spyware могут совершать мошенничество  на телефонных линиях с помощью программ типа "диалер". Диалер может перенастроить  модем для дозвона на дорогостоящие  телефонные номера вместо обычного ISP. Соединение с этими не вызывающими  доверия номерами идёт по международным или межконтинентальным тарифам, следствием чего являются непомерно высокие суммы в телефонных счетах. Диалер не эффективен на компьютерах без модема или не подсоединённых к телефонной линии.