Программы-шпионы: закладки, трояны, клавиатурные шпионы. Назначение сканеров троянских программ Шифрующиеся и полиморфные вирусы

Вредоносные программы, трояны и угрозы

Большинство компьютеров подключены к сети (интернет, локальная сеть), что упрощает распространение вредоносных программ (по российским стандартам такие программы называются "разрушающие программные средства", но, потому что данное понятие мало распространено, в обзоре будет использоваться понятие "вредоносные программы"; на английском языке они называются Malware). К таким программам относятся трояны (также известные как троянские кони), вирусы, черви, шпионское ПО, рекламное ПО, руткиты и различные другие виды.

Еще одним плюсом является то, что MBAM редко вызывает какие-либо конфликты с другими утилитами защиты от вредоносного ПО.

Бесплатный сканер троянов SUPERAntiSpyware

. Кроме шпионского ПО, эта программа сканирует и удаляет другие виды угроз, такие как: дозвонщики, клавиатурные шпионы , черви, руткиты и т.д.

Программа имеет три вида сканирования: быстрое, полное или выборочное сканирование системы. Перед сканированием программа предлагает проверить обновления, чтобы сразу же защитить Вас от новейших угроз. SAS имеет свой черный список. Это список из 100 примеров различных DLL и EXE-файлов, которых не должно быть на компьютере. При нажатии на любой из пунктов в списке, Вы получите полное описание угрозы.

Одна из важных особенностей программы - это наличие Hi-Jack защиты, которая не позволяет другим приложениям завершить работу программы (за исключением Task Manager).

К сожалению, бесплатная версия этой программы не поддерживает защиту в реальном времени, запуска сканирования по расписанию и ряд других функций.

Еще программы

Другие бесплатные сканеры троянов, не вошедшие в обзор:

  • Rising PC Doctor (более недоступен, в интернете, возможно, еще можно найти старые версии) - сканер троянов и шпионского ПО. Предлагает возможность автоматической защиты от ряда троянов. Так же предлагает следующие инструменты: управление автозагрузкой , менеджер процессов , менеджер сервисов, File Shredder (программа удаления файлов, без возможности их восстановления) и другие.
  • FreeFixer - просканирует вашу систему и поможет удалить трояны и другие вредоносные программы. Но, от пользователя требуется правильно интерпретировать результаты работы программы. Особую осторожность необходимо проявлять при принятии решения удаления важных файлов системы, так как это может повредить вашей системе. Однако есть форумы, на которых Вы можете проконсультироваться, если сомневаетесь в решении (ссылки на форумы есть на сайте).
  • Ashampoo Anti-Malware (К сожалению, стала триальной. Возможно, ранние версии еще можно найти в интернете) - изначально этот продукт был только коммерческим. Бесплатная версия обеспечивает защиту в режиме реального времени, а также предлагает различные инструменты оптимизации.

Руководство по быстрому выбору (ссылки на скачивание сканеров троянов)

Emsisoft Anti-Malware

Сканирует и удаляет трояны, черви, вирусы, шпионское ПО, трекеры, дозвонщики и т.д. Проста в использовании.
В бесплатной версии сильно ограничена. Отсутствуют: автоматическое обновление, защита файлов в реальном времени, сканирование по расписанию и т.д.
К сожалению, стала триальной. Возможно, ранние версии еще можно найти в интернете
www.emsisoft(.)com

PC Tools ThreatFire

Проактивная защита от известных и неизвестных троянов, вирусов,червей, шпионского ПО, руткитов и других вредоносных программ.
Автоматическое обновление не предоставляется, если Вы отказались от участия в сообществе ThreatFire"s. 4.10 версия не изменялась с ноября 2011 года.

С детства мы слышали, что хорошие - это разведчики, они работают на наших. А плохие - это шпионы, это чужие - те парни в черных очках, в застегнутых на все пуговицы макинтошах и с пачкой долларов в кармане. Наступил двадцать первый век, и теперь вовсе не прорезиненные плащи называют макинтошами, хотя шпионы в них все равно заводятся… Встречай сегодня на арене: шпионское ПО от «доброй» и «злой» (как посмотреть, а?) сторон силы.

Разведчики: малварь для нужд правительства

Летом 2012 года сотрудники антивирусной лаборатории Касперского обнаружили вредонос, получивший название Morcut. Его применили к группе независимых журналистов из Марокко, освещавших события в ходе «арабской весны», их компьютеры заражали целенаправленно через сервис электронной почты.

В классификации других антивирусных компаний вредонос имеет наименование Crisis (Symantec) и DaVinci (Dr.Web). В ходе проведенного компанией Dr.Web расследования было установлено, что Morcut является компонентом системы удаленного контроля DaVinci, которую разрабатывает и продает компания Hacking Team.

DaVinci

Система DaVinci позиционируется разработчиком как СОРМ (система технических средств для обеспечения функций оперативно-разыскных мероприятий) для использования правительственными структурами и правоохранительными органами. Кроме компании Hacking Team, подобные СОРМ разрабатывает ряд других компаний. Как правило, это комплекс программ, состоящий из управляющего сервера и клиента-агента. Агент незаметно для пользователя устанавливается на компьютер и имеет следующие функции:

  • поиск и формирование списка файлов, удовлетворяющих заданным критериям;
  • отправка произвольных файлов, в том числе электронных документов, на удаленный сервер;
  • перехват паролей от сервисов электронной почты и социальных сетей;
  • сбор данных о посещаемых ресурсах сети Интернет;
  • перехват потока данных систем электронной голосовой связи (Skype);
  • перехват данных систем мгновенного обмена сообщениями (ICQ);
  • сбор информации о контактах с мобильных телефонов, подключаемых к компьютеру;
  • запись аудио- и видеоинформации (при наличии подключенных веб-камеры и микрофона).

По данным издания Wall Street Journal, ряд европейских компаний поставляли СОРМ на базе СПО с таким функционалом в страны Ближнего Востока, правительства которых использовали их для борьбы с оппозиционно настроенными слоями населения.


Неправительственная организация Privacy International (Великобритания), занимающаяся выявлением фактов нарушения прав человека, проводит постоянный мониторинг международного рынка СОРМ и ведет перечень компаний - разработчиков решений в этой сфере. Перечень составляется на основе анализа компаний - участников специализированной конференции ISS World (Intelligence Support Systems - системы обеспечения сбора информации). На этом мероприятии, которое проводится регулярно несколько раз в год, встречаются потенциальные покупатели и разработчики СОРМ. Вот некоторые из компаний, разрабатывающих вредоносы под видом СОРМ.

FinFisher (finfisher.com), подразделение Gamma International (Великобритания)

По некоторым данным, после отставки Хосни Мубарака после событий 2011 года в Египте были найдены документы (см. рис. 3, 4), указывающие на то, что компания FinFisher предоставляла услуги по слежению за гражданами Египта при помощи комплекса FinSpy. Факт покупки пятимесячной лицензии режиму Мубарака в Египет за 287 тысяч евро компания упорно отрицает. FinSpy способен перехватывать телефонные звонки Skype, красть пароли и записывать аудиовидеоинформацию. На компьютеры пользователей FinSpy устанавливается так: через электронную почту отправляется сообщение со ссылкой на вредоносный сайт. Когда пользователь откроет ссылку, ему предложат обновить программное обеспечение. На самом деле вместо обновления будет установлен зловред. Способ распространения FinSpy через электронную почту был отмечен летом 2012 года в отношении продемократических активистов Бахрейна.



Hacking Team (hackingteam.it), Италия

Разработчик системы удаленного контроля DaVinci, которую позиционируют как средство слежения, предназначенное для использования правительствами и правоохранительными органами различных государств. Функционал DaVinci аналогичен FinSpy - это перехват Skype, электронных писем, паролей, данных средств мгновенных сообщений (ICQ), а также запись аудиовидеоинформации. Клиентская часть DaVinci способна функционировать как в среде операционных систем семейства Windows (версии XP, Vista, Seven), так и в среде операционных систем семейства Mac OS (версии Snow Leopard, Lion). Цена системы DaVinci предположительно составляет около 200 тысяч евро, в нее заложены обязательства постоянно обновлять и поддерживать продукт до того момента, пока конечная цель атаки (получение нужной информации) не будет достигнута.

Area SpA (area.it), Италия

В ноябре 2011 года стало известно, что сотрудники этой компании установили систему мониторинга для сирийского правительства, способную перехватывать, сканировать и сохранять практически все сообщения электронной почты в стране. Через месяц после выявления этого факта ЕС запретил экспорт технических средств наблюдения в Сирию и их обслуживание. Система была развернута на основе договора с сирийской телекоммуникационной компанией STE (Syrian Telecommunications Establishment), являющейся основным оператором стационарной связи в Сирии. Для установки применялся способ, эффективный при наличии доступа к телекоммуникационным сетям (спецслужбы государства и правоохранительные органы имеют такой доступ), - подмена информации. Например, пользователь при поиске информации в google.com получал ссылки, ведущие на вредоносный сайт, и заражался под видом установки компонентов браузера, необходимых для корректного отображения содержимого сайта.

Amesys (amesys.fr), подразделение Bull SA, Франция

Журналисты Wall Street Journal в одном из оставленных сторонниками Каддафи центров интернет-мониторинга в Триполи (Ливия) обнаружили использование системы слежения компании Amesys. По их свидетельствам, ливийские власти могли читать электронную почту, получать пароли, читать мгновенные сообщения и составлять карты связей между людьми. Документы, выложенные на ресурсе WikiLeaks, показали, что система, развернутая Amesys, позволяла следить за диссидентами и оппозиционерами даже за рубежом, например живущими в Великобритании.

Шпионы

Трояны, использованные в ходе кибератак в 2013 году, в основном уже не представляли собой ничего из ряда вон выходящего. Если 2012 год стал для «Лаборатории Касперского» годом пиара на теме hi-tech-кибероружия, то в 2013 году появился новый тренд - использование в целевых атаках широко распространенных вредоносных программ, в противовес явно написанным командой профессионалов под конкретные цели. И все чаще отдельные признаки указывают на таких возможных организаторов атак, как Китай и Северная Корея. Таким образом, можно говорить о так называемых «западной» и «азиатской школах» написания троянов, используемых для проведения атак класса APT. Что характерно для «западной школы»?

  1. Вкладываются значительные финансовые ресурсы.
  2. Вредоносный код подписывают цифровой подписью легальных контор, сертификаты для нее обычно крадутся с взломанных серверов, что требует определенной подготовительной работы, людских ресурсов и в конечном итоге пункта номер 1. Подпись позволяет без проблем устанавливать драйверы для перехода в режим ядра, что дает возможность реализовывать руткит-функции, а также в ряде случаев обходить защиту антивирусных средств.
  3. Широко используются zero-day-уязвимости для скрытого запуска и повышения своих привилегий в системе, такие уязвимости стоят немало, так что опять смотри пункт 1.

С 2010 года были обнаружены следующие вредоносные программы с броским ярлыком «кибероружие» (см. рис. 2), в этой статье мы не будем расписывать их подвиги полностью - мы это уже делали ранее, - а просто пройдемся по их самым интересным особенностям.

Stuxnet

Выделяется на общем фоне тем, что он пока единственный представитель малвари, способный физически повредить некоторые объекты предприятия. Так что к классу кибероружия фактически можно отнести только его. Что в нем было еще интересного - четыре zero-day-уязвимости, распространение на USB не через тривиальный autorun.inf, а через уязвимость обработки ярлыков MS10-046. При автозагрузке с флешки через вредоносный ярлык срабатывал руткит-компонент, после чего вредоносные компоненты Stuxnet, размещенные на USB flash, становились невидны. Имел функции червя, как у Conficker (MS08-067), а также метод распространения по сети через уязвимость подсистемы печати (MS10-061). Драйверы были подписаны украденными сертификатами.

Duqu

В качестве контейнера для доставки использовался документ Word (запуск через уязвимость в обработке шрифтов MS11-087, zero-day), адресно отправляемый по электронной почте. Драйверы, как и у Stuxnet, были подписаны, чем до сих пор некоторые антивирусные аналитики пытаются обосновать связь между Stuxnet и Duqu.

Flame

Интересен тем, что подпись компонентов принадлежит Microsoft, создана она путем подбора коллизии MD5. Нереально большой размер исходника, порядка 20 Мб, использование большого количества стороннего кода. Есть модуль, который использует Bluetooth для перехвата информации с мобильных устройств.

Gauss

Имеет модульную структуру, модулям присвоены внутренние имена знаменитых математиков, таких как Гёдель, Гаусс, Лагранж. Использует съемный носитель для хранения собранной информации в скрытом файле (это позволяет информации утекать через защитный периметр, где нет интернета, на флешке). Содержит плагины, предназначенные для кражи и мониторинга данных, пересылаемых пользователями нескольких ливанских банков - Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais.

MiniFlame

Cмежный с Flame проект. В ходе анализа командных серверов Flame было установлено, что существовали четыре разных типа клиентов («вредоносных программ») под кодовыми названиями SP, SPE, FL и IP. MiniFlame соответствует названию SPE, Flame, соответственно, - FL. Вредоносы с названиями SP и IP так и не были обнаружены in the wild.

Sputnik

Способен красть данные с мобильных устройств, собирать информацию с сетевого оборудования (Cisco) и файлы с USB-дисков (включая ранее удаленные файлы, для чего использует собственную технологию восстановления файлов), красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP-сервера, а также извлекать файлы с локальных FTP-серверов в сети.

MiniDuke

Написан на ассемблере, что в наше время уже вызывает удивление (видать, вербанули кого-то старой школы). Адреса командных серверов берутся из Twitter. Если с Twitter не срослось, использовался Google Search, чтобы найти зашифрованные ссылки к новым серверам управления.

Китайские кибергруппировки пытаются не отставать от прогресса, и, например, такой троян, как Winnti, используемый для атак на компании, занимающиеся компьютерными онлайн-играми, содержит в себе подписанные драйверы.

Шпионы азиатской школы

  • Июль 2012 - Madi;
  • август 2012 - Shamoon;
  • ноябрь 2012 - Narilam.

Все они написаны на Delphi (lameware:)), код особенной технологичностью не блещет, о zero-day и подписях нечего и говорить. Налицо использование паблик технологий и методов. Но тем не менее - они работают! Кстати, трояны с деструктивными функциями на волне APT-атак опять входят в моду, Shamoon и Narilam как раз из их числа. Они использовались, чтобы парализовать работу отдельных организаций путем уничтожения информации на ЭВМ.

Проблемы терминологии

Старые термины типа «вирус», «червь» и «троян» уже не в полной мере соответствуют реалиям. Особенно прискорбно, что журналистам интернет-изданий глубоко фиолетово, чем вирус отличается от трояна, и человеку, мало-мальски разбирающемуся в теме, режут слух такие словосочетания, как «вирус stuxnet», «вирус kido» или «вирус carberp». В очередной раз вспомним основные понятия:

  • вирус - имеет функцию самораспространения, заражает исполняемые файлы;
  • троян - не имеет функции самораспространения;
  • червь - имеет функцию самораспространения, в классическом понимании - через использование уязвимостей сервисов ОС, доступных по сети (червь Морриса), чуть позже - через мыло и флешки;
  • руткит - использует функции сокрытия признаков своего присутствия в системе.

На практике многие образцы вредоносов сочетают в себе несколько таких характеристик. В наше время малварь впору классифицировать по каким-то иным критериям. Попытаемся разобраться. Прежде всего, любая малварь нашего времени в первую очередь коммерческий проект. Разница только в исходных финансах и конечных целях. Условно можно выделить следующие группы:

  • lameware - новомодный термин, означающий малварь, написанную новичками или дилетантами в этом деле (в обиходе - ламерами). Часто пользуются Delphi. Разработка, как правило, не требует никаких финансовых вложений, правда, и доход в относительном выражении мал. Основной фактор, побуждающий к написанию lameware, - потешить свое ЧСВ;
  • добротная коммерческая малварь - вредоносы с «мировым» именем, имеющие несколько поколений и ведущие свою историю на протяжении нескольких лет;
  • APT - шпионские программы, распространение и функционал которых характеризуется точечной направленностью на конкретные цели - компании, организации.

Заключение

Интернетизация, компьютеризация и прочая глобализация облегчили жизнь людям. И нам с тобой, и тем, которые раньше должны были прыгать с парашютом, перегрызать колючую проволоку, подслушивать, подсматривать, подрывать и подкупать. Большую долю работы этих крепких парней сейчас делают талантливые программисты за смешные по меркам соответствующих бюджетов миллионы долларов. Да, кстати, жизнь криминальным личностям, которые раньше должны были бегать с кольтом за почтовыми дилижансами, облегчилась тоже. Будь внимателен и осторожен!

Специалисты «Лаборатории Касперского» обнаружили вредоносную программу для мобильных устройств на платформе Android, обладающую целым спектром технических возможностей. Сотрудники компании подчеркнули, что некоторые из функций троянского вируса (зловреда) были выявлены впервые.

«Большинство троянов похожи друг на друга: пробравшись на устройства, они воруют платёжные данные его владельца, добывают для злоумышленников криптовалюту или шифруют данные, чтобы потребовать выкуп. Но иногда встречаются экземпляры, чьи возможности заставляют вспомнить голливудские фильмы про шпионов», — говорится в посвящённом вирусу сообщении «Лаборатории Касперского».

Там рассказали, что обнаруженная вредоносная программа Skygofree обладает 48 различными функциями, в том числе и уникальными, которые специалисты компании прежде не встречали у зловредов.

Например, троян Skygofree может отслеживать местоположение заражённого устройства и включать запись звука в тот момент, когда его владелец находится в определённом месте.

«Ещё один интересный приём, который освоил Skygofree, — незаметно подключать заражённый смартфон или планшет к Wi-Fi-сетям, находящимся под полным контролем злоумышленников. Даже если владелец устройства вообще отключил Wi-Fi на устройстве», — рассказали в «Лаборатории Касперского».

Это позволяет не только анализировать трафик жертвы, но и считывать вводимые пользователем логины, пароли или номера карт. Также зловред может следить за работой целого ряда мессенджеров, включая Facebook Messenger, WhatsApp, Skype и Viber, собирая их текстовые сообщения.

«Наконец, Skygofree может скрытно включить фронтальную камеру и сделать снимок, когда пользователь разблокирует устройство», — добавили эксперты.

  • Reuters
  • Robert Galbraith

Специалисты компании обнаружили Skygofree в начале октября 2017 года, однако в ходе изучения зловреда выяснилось, что первоначальные версии этой программы были созданы ещё в конце 2014 года. С тех пор функциональность трояна существенно увеличилась и программа приобрела некоторые уникальные способности.

По данным «Лаборатории Касперского», Skygofree распространялся на интернет-страницах, имитирующих сайты мобильных операторов и посвящённых оптимизации скорости мобильного интернета.

Согласно данным компании, атаке вируса подверглись лишь несколько пользователей, причём исключительно в Италии.

Также в ходе исследования зловреда были обнаружены несколько шпионских инструментов для Windows, однако применялась ли программа для атаки на эту операционную систему, пока неизвестно.

«Он не атакует сотни тысяч пользователей»

RT поговорил с антивирусным экспертом «Лаборатории Касперского» Виктором Чебышевым, который рассказал некоторые подробности о новом вирусе. По его словам, Skygofree удавалось долгое время оставаться незаметным, поскольку этот шпион-троянец использует недокументированные возможности системы и повышает свои привилегии таким образом, что все его действия «остаются за кадром».

«Он находится почти на уровне системы, и все возможности, которые он реализует, они для пользователя абсолютно прозрачны. То есть пользователь не видит никакой активности, не слышит никаких действий, просто остаётся в неведении», — пояснил Чебышев.

Собеседник RT уточнил, что создать подобную программу очень непросто, поэтому над ней, скорее всего, работала целая команда профессионалов высокого уровня, разбирающихся во всех особенностях операционной системы Android.

По словам антивирусного эксперта, ещё одна особенность вируса, позволившая ему действовать незамеченным, — это узкая направленность, заточенность Skygofree под атаку конкретного пользователя.

«Это шпион, который ориентирован не на массовый сегмент. Он не атакует сотни тысяч пользователей, выжимая из них по чуть-чуть. Это шпионское приложение, которое атакует конкретных людей», — рассказал Чебышев.

«Его создают так, чтобы он был невидим и для жертвы, и для всех остальных вокруг. Плюс у него есть механизмы зачистки следов, которые уничтожают его после того, как он отработал», — добавил эксперт.

  • Виктор Чебышев: это шпион, который не ориентирован на массовый сегмент

Он уточнил, что целью шпионского вируса стали устройства на платформе Android, поскольку именно эта система позволяет устанавливать приложения из сторонних источников, а не только с официального магазина приложений Google Play. Тем не менее уязвимыми для подобных зловредных программ могут стать не только Android-устройства.

«В других ОС такая возможность отсутствует, все приложения устанавливаются из одного централизованного источника, который модерируется. И вероятность заражения, таким образом, минимальна. Однако она не исключена», — пояснил эксперт.

«Это целая команда, можно сказать, организованная преступная группировка. Ресурсы серьёзные», — отметил Чебышев.

Эксперт уточнил, что основной целью раскрытого троянца никогда не была атака на широкие массы людей. Программа рассчитана именно на шпионаж, слежку за конкретным человеком, в устройства которого она «подсаживается». По его словам, спектр применения этой программы может простираться от промышленного шпионажа до слежки за госслужащими.

«Основная задача этого троянца — понимание того, что происходит с жертвой, вокруг неё, что она делает, куда она ходит, с кем разговаривает, с какими документами она взаимодействует... Он умеет снимать видеокамерой, снимать фотографии, записывать разговоры в конкретной ситуации», — рассказал сотрудник «Лаборатории Касперского».

  • Виктор Чебышев: этот троян следит за конкретными людьми

Антивирусный эксперт уточнил, что сразу после обнаружения вируса компания обеспечила своим клиентам защиту. Говоря об угрозе обычным пользователям по всему миру, Чебышев отметил, что они никогда не были целью зловреда, но призвал не расслабляться.

«Если говорить про масс-рынок, про нас с вами, то атака, скорее всего, нам не грозила с самого начала. Атакуют конкретных лиц. Тем не менее (массовую атаку. — RT ) не стоит списывать со счетов: то, что реализовано в этом троянце, может быть растиражировано, оно может быть распространено на огромное число пользователей», — подчеркнул собеседник RT.

Говоря о способах противостояния вирусной угрозе, эксперт призвал всех пользователей в первую очередь не устанавливать приложения из сторонних источников. Кроме того, он посоветовал потребителям обезопасить свои мобильные устройства, установив хорошее защитное решение, которое не позволит пройти по вредоносной ссылке и заблокирует установку вирусного приложения.

«Обязательно нужно применять меры личной гигиены своего девайса. Потому что не ровён час атакуют вас, и тогда всё будет печально. С защитным решением же всё будет хорошо», — подытожил Чебышев.

SpyWare - программы-шпионы. Программой - шпионом (альтернативные названия - Spy, SpyWare, Spy-Ware, Spy Trojan) принято называть программное обеспечение, собирающее и передающее кому-либо информацию о пользователе без его согласия. Информация о пользователе может включать его персональные данные, данные о его денежных счетах, конфигурацию его компьютера и операционной системы, статистику работы в сети Интернет и другое.

Шпионское ПО применяется для ряда целей, из которых основным являются маркетинговые исследования и целевая реклама. В этом случае информация о конфигурации компьютера пользователя, используемом им программном обеспечении, посещаемых сайтах, статистика запросов к поисковым машинам и статистика вводимых с клавиатуры слов позволяет очень точно определить род деятельности и круг интересов пользователей. Поэтому чаще всего можно наблюдать связку SpyWare - Adware, т.е. "Шпион" - "Модуль показа рекламы". Шпионская часть собирает информацию о пользователе и передает ее на сервер рекламной фирмы. Там информация анализируется и в ответ высылается рекламная информация, наиболее подходящая для данного пользователя. В лучшем случае реклама показывается в отдельных всплывающих окнах, в худшем - внедряется в загружаемые страницы и присылается по электронной почте. Вред, наносимый воровством персональной информации - является уголовно наказуемым деянием в большинстве развитых стран.

Однако собранная информация может использоваться не только для рекламных целей - например, получение информации о ПК пользователя может существенно упростить хакерскую атаку и взлом компьютера пользователя. А если программа периодически обновляет себя через Интернет, то это делает компьютер очень уязвимым - элементарная атака на DNS может подменить адрес источника обновления на адрес сервера хакера - такое "обновление" приведет к внедрению на ПК пользователя любого постороннего программного обеспечения.

Шпионское программное обеспечение может попасть на компьютер пользователя двумя основными путями:

1. В ходе посещения сайтов Интернет. Наиболее часто проникновение шпионского ПО происходит про посещении пользователем хакерских и warez сайтов, сайтов с бесплатной музыкой и порносайтов. Как правило, для установки шпионского ПО применяются ActiveX компоненты или троянские программы категории TrojanDownloader по классификации лаборатории Касперского http://www.kaspersky.ru/. Многие хакерские сайты могут выдать crack Программа для взлома лицензионного ПО (крек), содержащий шпионскую программу или TrojanDownloader для ее загрузки;

2. В результате установки бесплатных или условно-бесплатных программ. Самое неприятное состоит в том, что подобных программ существует великое множество, они распространяются через Интернет или на пиратских компакт-дисках.

Точных критериев для занесения программы в категорию "SpyWare" не существует, и очень часто создатели антивирусных пакетов относят программы категорий "Adware" (приложение, предназначенное для загрузки на ПК пользователя информации рекламного характера для ее последующей демонстрации и "Hijacker" (утилита, которая изменяет настройки браузера без ведома пользователя) к категории "SpyWare" и наоборот.

Для определенности предлагается ряд правил и условий, при соблюдении которых программу можно классифицировать как SpyWare. В основу классификации положены наиболее распространенные SpyWare программы:

1. Программа скрытно устанавливается на компьютер пользователя. Смысл данного пункта состоит в том, что инсталлятор обычной программы должен уведомить пользователя о факте установки программы (с возможностью отказа от установки), предложить выбрать каталог для установки и конфигурацию. Кроме того, после установки инсталлятор должен создать пункт в списке "Установка и удаление программ", вызов которого выполнит процесс деинсталляции и создать соответствующие записи в файле реестра операционной системы. Шпионское программное обеспечение обычно устанавливается экзотическим способом (часто с использованием троянских модулей категории Trojan-Downloader) скрытно от пользователя, при это его деинсталляция в большинстве случаев невозможна. Второй путь инсталляции SpyWare - скрытная установка в комплекте с какой-либо популярной программой;

2. Программа скрытно загружается в память в процессе загрузки компьютера. Стоит отметить, что разработчики современных SpyWare начали применять Rootkit В системах Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать свое присутствие в системе. Кроме того, как правило, rootkit может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. технологии для маскировки процесса в памяти и файлов на диске. Кроме того, становится популярным создание "неубиваемых" процессов - т.е. запуск двух процессов, которых перезапускают друг друга в случае остановки. Такая технология в частности применяется в SpyWare.WinAd;

3. Программа выполняет некоторые операции без указания пользователя - например, принимает или передает какую-либо информацию из Интернет;

4. Программа загружает и устанавливает свои обновления, дополнения, модули расширения или иное ПО без ведома и согласия пользователя. Данное свойство присуще многим шпионским программам и чрезвычайно опасно, т.к. загрузка и установка обновлений и дополнительных модулей происходит скрытно и часто ведет к нестабильной работе системы. Более того, механизмы автоматического обновления могут быть использованы злоумышленниками для внедрения на ПК пользователя троянских модулей;

5. Программа модифицирует системные настройки или вмешивается в функционирование других программ без ведома пользователя. Например, шпионский модуль может изменить уровень безопасности в настройках браузера или внести изменения в настройки сети;

6. Программа модифицирует информацию или информационные потоки. Типовым примером являются разные расширения для программы Outlook Express, которые при отправке письма приписывают к нему свою информацию. Второй распространенный пример - модификация загружаемых из Интернет страниц (в страницы включается рекламная информация, некоторые слова или фразы превращаются в гиперссылки)

В данной классификации следует особо отметить тот факт, что программа категории SpyWare не позволяет удаленно управлять компьютером и не передает пароли и аналогичную им информацию своим создателям - подобные действия специфичны другой категории программ - "Trojan" и "BackDoor". Однако по многим параметрам программы категории SpyWare являются родственниками троянских программ.

Группировка файлов, проведенная по классификации "Лаборатории Касперского" и процентный состав программ - шпионов показан на рис. 1.

Как следует из диаграммы, 38% от количества образцов составляют AdWare и SpyWare (нужно отметить, что в классификации ЛК отсутствует SpyWare - в эту категорию внесены наиболее вредоносные из представителей AdWare). Подавляющее количество образцов Trojan-Downloader данной коллекции являются программами для скрытной загрузки и установки представленных в коллекции вредоносных программ. Trojan-Spy - это шпионское программное обеспечение в чистом виде, передающее важные сведения о пользователе: пароли, номера кредитных карт, вводимый с клавиатуры текст. В категории Trojan отобраны программы следующих разновидностей: Trojan-Dialer (программы для скрытной модификации параметров набора телефонного номера или дозвона по платным телефонам), Trojan.StartPage (модифицирующие стартовую страницу и параметры поиска Internet Explorer, эти программы также известны как Hijacker),

Процентный состав программ - шпионов проведена по классификации "Лаборатории Касперского"

Как следует из диаграммы, 38% от количества образцов составляют AdWare и SpyWare Подавляющее количество образцов Trojan-Downloader данной коллекции являются программами для скрытной загрузки и установки представленных в коллекции вредоносных программ. Trojan-Spy - это шпионское программное обеспечение в чистом виде, передающее важные сведения о пользователе: пароли, номера кредитных карт, вводимый с клавиатуры текст. В категории Trojan отобраны программы следующих разновидностей: Trojan-Dialer (программы для скрытной модификации параметров набора телефонного номера или дозвона по платным телефонам), Trojan.StartPage (модифицирующие стартовую страницу и параметры поиска Internet Explorer, эти программы также известны как Hijacker), Trojan.LowZones (модифицирующие параметры безопасности Internet Explorer). В категорию "Прочее" попали вредоносные программы других классов - здесь представлено около 50 сетевых и почтовых червей распространенных типов, 12 эксплоитов для Internet Explorer (применяемых для запуска инсталляторов SpyWare) и 70 специализированных троянских программ (TrojanPSW и Trojan-Proxy). Backdoor -основным назначением является несанкционированное, тайное управление компьютером.