Russian
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

Spyware — потенциально опасные программы

Проблема шпионских кодов (в западной прессе — spyware) сегодня у всех на слуху. Благодаря многочисленным публикациям пользователи понимают, что эти программы опасны, но редко могут объяснить, что именно представляют собой шпионские коды и какими последствиями чревато их попадание на компьютер. Данная статья ставит своей целью полностью раскрыть природу шпионских программ, описать их вредоносную составляющую и предложить эффективные методы борьбы с данным видом компьютерных паразитов.

Проблема терминологии

Прежде всего, необходимо разобраться с многочисленными вариантами названия одной и той же проблемы. Это поможет лучше понять, что скрывается за порой всеобъемлющим термином «spyware».

Шпионские программы были выделены в отдельный класс, так как не попадают под определение вредоносных кодов и обычного полезного программного обеспечения. Они находятся где-то посредине. Поясним это подробнее.

Термином «spyware» в подавляющем большинстве случаев называют целое семейство программ.

Термином «spyware» в подавляющем большинстве случаев называют целое семейство программ, в которое входят: программы дозвона, утилиты для закачивания файлов из интернета, различные серверы (FTP, Proxy, Web, Telnet), IRC-клиенты, средства мониторинга, PSW-утилиты, средства удаленного администрирования, программы-шутки. Более подробно эти типы программ будут рассмотрены ниже.

Иногда в семейство spyware включают еще и рекламные коды (adware), которые могут демонстрировать рекламные сообщения, подменять результаты поиска и любыми доступными способами продвигать рекламируемый сайт.

Если подходить к терминологической проблеме академически, то все вышеперечисленные типы программ следует называть «riskware». На русском языке это слово означает «условно опасные программы», то есть те, которые могут причинить вред информации пользователя. Именно термином «riskware» пользуются специалисты «Лаборатории Касперского».

До того как этот термин вошел в обиход, использовались названия «greyware», «blackware» и «whiteware». Такая система именования строится на трех цветах: сером (grey), черном (black) и белом (white). Как легко догадаться, greyware в данном случае выступает полным аналогом riskware, blackware является классом откровенно вредоносных программ и whiteware выступает в роли легитимного ПО (то есть абсолютно законного и полезного). Тем не менее, пользоваться такой терминологией очень неудобно, так как для вредоносных программ (blackware) уже давно устоялся собственный термин, который по-английски звучит как «malware», а на русском языке таким и остается — «вредоносное ПО».

Подводя первый итог, следует заметить, что сегодня широко применяются два термина: «spyware» и «riskware» (в англо-говорящей прессе наиболее широко распространено название «spyware»). Означают они одно и то же, то есть «условно опасные программы» или «потенциально опасные программы» — те утилиты и инструменты, которые можно использовать как во благо (в руках пользователя), так и во вред (в руках преступника).

Виды условно опасных программ

Выше мы уже упоминали некоторые типы потенциально опасных программ, которые в руках злоумышленников из полезных утилит превращаются в опасные атакующие средства. Теперь рассмотрим виды условно опасных программ подробнее:

  • Программы дозвона (dialers). Сами по себе эти программы являются полезными прикладными утилитами, но в руках преступника превращаются в средства дозвона (с помощью модема пользователя) на заранее запрограммированный злоумышленником номер. Чаще всего номер принадлежит поставщику порнографических услуг с поминутной оплатой, находящемуся в другой стране. Таким образом, пользователь рискует получить счет на оплату телефонных услуг, в который войдут расходы на международный разговор и оплата за предоставленные услуги. Однако программы дозвона можно вполне использовать и в законных целях, например, чтобы дозваниваться до поставщика услуг интернета, вести статистику такого соединения, планировать задания и т.д. Это двоякое использование средств дозвона и привело к тому, что они попали в категорию spyware.
  • Программы для скачивания файлов из интернета. Пользователи модемных соединений часто устанавливают эти утилиты, чтобы оптимизировать процесс скачивания данных и обеспечить возможность в случае разрыва соединения продолжить скачивание с текущей позиции. В руках злоумышленника такая программа может быть использована для того, чтобы в тайне от пользователя (в фоновом режиме) переписать на компьютер откровенно вредоносный код. Действие такой программы напоминает работу паразитов, известных как Trojan Downloader. Эти троянцы, попав на компьютер пользователя, могут переписать еще несколько вредителей и внедрить их в систему. Как видно, программы закачки обладают полезной функциональностью, которая может быть использована во вред.
  • FTP-серверы. Полезность этих программ не вызывает сомнений, так как огромное количество файлов в интернете находится именно на ftp-серверах. Однако если преступнику удастся скрытно установить ftp-сервер на компьютер пользователя, он сможет удаленно получить доступ ко всем его файлам, а также следить за всеми производимыми операциями. Это может привести к утечке личной информации, кражи паролей и кодов доступа, а также к полной потере всех файлов на жестком диске.
  • Серверы-посредники (proxy servers). Эти программы широко используются для того, чтобы скрыть внутреннее адресное пространство вычислительной сети компаний и организаций от всех внешних пользователей. Хакер же может незаметно установить такой сервер-посредник на чужом компьютере и в некотором смысле осуществить кражу личности. Дело в том, что все последующие незаконные действия преступник будет осуществлять через сервер-посредник, следовательно, все следы потом приведут к ни в чем неповинному пользователю, которого могут обвинить в рассылке спама, организации сетевых атак, взломе корпоративной сети и т.д.
  • Серверы telnet и web. Утилита telnet разработана для удаленного управления компьютером в режиме терминальной сессии (то есть с помощью консоли и командной строки), а web-сервер позволяет внешним пользователям получить доступ к web-страницам, расположенным в отведенном для этого месте файловой системы. Опять же преступник может получить управление над чужим компьютером, если незаметно внедрит туда сервер telnet, и файловой системой, если развернет на компьютере-жертве web-сервер.
  • IRC-клиенты. В легальных целях эти программы используются для получения доступа к IRC-каналам (в основном mIRC). Эти утилиты обладают встроенными средствами обработки программ, написанных на транслируемых языках. Такая функциональность востребована некоторыми троянцами и IRC-червями. Вдобавок, когда хакер устанавливает на чужой компьютер IRC-троянца, IRC-клиент устанавливается им также по умолчанию.
  • Программы мониторинга. В обычных условиях эти утилиты позволяют следить за теми или иными ресурсами компьютера, собирать внутреннюю статистику по сетевому трафику и активности в интернете и хранить всю эту информацию на компьютере пользователя. Преступники же часто используют программу-монитор, чтобы собирать те же самые полезные данные, но потом красть их и анализировать в личных целях. Таким способом можно, например, выявить предпочтения пользователей при работе с интернетом вообще или конкретными страницами в частности.
  • PSW-утилиты. Легальные пользователи применяют эти инструменты для восстановления потерянных или забытых паролей, а злоумышленники с их помощью могут быстро получить доступ к паролям пользователя, а потом переписать их на свой компьютер.
  • Утилиты удаленного администрирования. С одной стороны, эти инструменты позволяют системному администратору удаленно управлять рабочим станциями в сети предприятия. С другой стороны, с помощью тех же самых утилит можно злонамеренно управлять компьютером невинного пользователя.
  • «Глупые шутки». К этой категории относятся программы, которые не причиняют прямого вреда пользователю или компьютеру, но, например, демонстрируют время от времени какое-нибудь сообщение. Чаще всего эти сообщения содержат информацию о том, что компьютер заражен вирусом, скоро этот вирус отформатирует жесткий диск и т.д. Только «чувство юмора» создателя ограничивает функционал этих программ.

Действительно, если взять любой приведенный выше класс программ, то можно легко определить, что кроме, как к riskware, его отнести некуда. Например, программы дозвона. Они не размножаются и не заражают файлы на компьютере пользователя. Следовательно, это не вирусы. Эти программы строго выполняют заложенные в них функции (то есть, звонят по указанному номеру) и не маскируются под какие-нибудь другие утилиты. Следовательно, это не троянцы. Средства дозвона также не рассылают себя по электронной почте, так что назвать их червями тоже невозможно. Тем не менее, благодаря подобным в целом полезным инструментам злоумышленник может направить ничего не подозревающего пользователя к поставщику, например, порнографических услуг и таким способом нанести серьезный финансовый ущерб пострадавшему.

Та же логика справедлива и для всех остальных типов условно опасных программ. Именно поэтому они отнесены к данной категории ПО.

Рекламные коды очень близки к откровенно вредоносным.

Если посмотреть на историю борьбы с вредоносными кодами, то мы сразу же увидим, что разработчики антивирусных решений почти никогда не испытывали трудностей с общей классификацией компьютерных паразитов. В течение 90-х годов было очень легко отличить полезную программу от вируса, троянца и червя, а самих вредителей друг от друга. Конечно, попадались и гибриды, особо опасные коды, заимствовавшие сильные стороны сразу нескольких паразитов. Но в общей классификации они никогда не выходили за рамки большой группы, которая называется вредоносные коды.

Следует отметить, что рекламные коды очень близки к откровенно вредоносным. Создатели таких программ постоянно борются друг с другом. Так специалисты «Лаборатории Касперского» обнаружили оригинальный рекламный код Trojan-Clicker.Win32.Agent.af. Эксперты первый раз в жизни увидели, как две различные рекламные программы сражаются друг с другом. Новый исполняемый Win32-файл (размером 21 КБ) удалял файлы данных и ключи в реестре, которые принадлежали EliteBar AdWare, а затем открывал одну из двух рекламных ссылок. Это напоминает войну вирусописателей Bagle-NetSky-Mydoom, которая имела место в первой половине 2004 года.

Важно признать, что причина появления программ типа riskware лежит в коммерциализации ремесла написания вредителей. Так, например, на черном рынке появились заказчики, которым нужны новые виды услуг: сбор информации о предпочтениях пользователя (для нужд собственного маркетинга), продвижение собственных сетевых ресурсов любыми доступными способами (в том числе с помощью фальсификации результатов поиска в интернете) и т.д. Спрос дал сильный толчок развитию технических средств, позволяющих паразитировать на компьютерах пользователей. Не долго пришлось ждать, когда стандартные средства (полезные программы), которые использовались в перечисленных выше целях, нашли свое применение и для банального и самого грубого нарушения закона: кражи кодов доступа, электронных денег и паролей, кражи и уничтожения информации и т.д.

Борьба с потенциально опасными программами

Очевидно, что с программами, которые могут принести вред, надо бороться, но делать это необходимо корректно. Например, если заставить каждый штатный антивирус реагировать на любую потенциально опасную программу, то пользователю придется столкнуться с массой ложных срабатываний. Дело в том, что многие представители класса riskware поставляются по умолчанию с операционной системой. Причем это вполне оправданно, так как в некоторых случаях полезность такого рода утилит сложно переоценить. Наглядно демонстрирует чрезвычайную жесткость такого подхода («реагировать на всех и каждого») программа telnet, уже не одно десятилетие входящая в состав операционных систем Windows, Unix и Linux.

Нельзя также пойти и на другую крайность — вообще забыть об условно опасных кодах. Не говоря уже о краже и уничтожении информации, любая riskware-программа приводит к некоторому замедлению работы компьютера, дополнительной нагрузке на сетевые соединения. Следует также отметить, что в корпоративной среде утечка информации, вне зависимости от того, кто ее вызвал, приводит к колоссальным убыткам, а порой и осквернению имени компании. Например, в середине марта 2005 года была сделана самая крупная попытка ограбления в мире: преступники попытались украсть 220 млн фунтов стерлингов из лондонского отделения японского банка Sumitomo. Достоверно стало известно, что злоумышленники использовали riskware-программы, чтобы собрать пароли и коды доступа для осуществления электронных переводов. Как попали эти в данном случае откровенные паразиты в систему банка — не известно. Однако даже, несмотря на то, что ограбление не удалось, репутация банка все равна запятнана. Таким образом, оставлять потенциально опасные программы «в покое» тоже нельзя.

«Лаборатория Касперского» добавила в свои антивирусные продукты определение потенциально опасных программ в качестве опции.

Пояснить ситуацию может еще один пример: горячие споры относительно программы Friend Greeting, широко распространенной в 2002 году. По большому счету эта утилита рассылала нежелательные письма (спам), к которым прикрепляла свою копию. Сообщения отправлялись всем адресатам, находящимся в адресной книге пользователя. Но для всех этих действий было необходимо согласие пользователя. Системные администраторы требовали от антивирусных разработчиков блокировать эту программу и определять ее как вредителя. На самом деле администраторам все равно, как поставщик антивирусного решения назовет программу — вирус, червь, троянец. Просто любому администратору неприятно, когда пользователи получают из интернета исполняемые файлы, запускают их, а потом рассылают дальше; все это очень похоже на эпидемию червя. Но разработчики антивирусов отказались внести Friend Greeting в свои базы, так как программа для своей работы требует участия пользователя. Следует согласиться, что Friend Greeting не является сетевым червем, как, например, Melissa, LoveLetter и Klez. Так что и поставщики антивирусов правы.

Наиболее корректным решением является золотая середина. Так, многие крупные компании, производящие антивирусы, разработали отдельные утилиты, детектирующие только лишь потенциально опасные программы. В чем здесь смысл? Например, в предыдущей ситуации системный администратор может обратиться к поставщику своего антивируса и попросить его добавить свои базы поддержку Friend Greeting. Если поставщик согласится, то все в порядке. Если откажется, то администратор сможет переписать отдельную утилиту этого же поставщика или другого, а в ее задачу уже по определению входит детектирование riskware-программ.

Тем не менее, такой подход требует от пользователя дополнительных шагов по скачиванию, применению и настройке дополнительной утилиты. Поэтому, например, «Лаборатория Касперского» добавила в свои антивирусные продукты определение потенциально опасных программ в качестве опции. Если пользователь хочет, чтобы антивирус находил представителей класса riskware, то ему нужно лишь поставить одну «галочку» в настройках антивируса.

Вне зависимости от того, используете ли вы для борьбы с потенциально опасными программами автономную утилиту или штатный антивирус, необходимо принять ряд мер по защите собственного ПК:

  1. Следует проверить весь жесткий диск на наличие условно опасных программ. Если они будут обнаружены, то автономная утилита или штатный антивирус обязательно покажут описание каждой riskware-программы. В подавляющем большинстве случаев антивирус сможет определить, опасна эта программа или нет. Иногда пользователю придется самостоятельно принять решение о вредоносности подозрительной утилиты на основании следующих параметров: устанавливал ли он ее самостоятельно, можно ли удалить ее с помощью стандартных средств Windows, сказано ли о какой-нибудь подозрительной функциональности в лицензионном соглашении к данной программе.

  2. После того как инспекция проведена, необходимо поставить под контроль установку всех новых программ, то есть включить в антивирусе защиту от riskware или установить специальную утилиту.

Microsoft AntiSpyware

Компания Microsoft выпустила бесплатную утилиту — Microsoft AntiSpyware, основанную на технологиях компании Giant, которую софтверный гигант приобрел в самом конце 2004 года.

    

Программа позволяет проверить уже установленные программы на наличие потенциально опасных, а также защитить компьютер от попадания новых riskware-программ.

Следует отметить, что Microsoft AntiSpyware обновляется на ежемесячной основе, однако новые потенциально опасные программы появляются гораздо чаще: по нескольку штук в день. Таким образом, если компания Microsoft хочет предоставлять своим пользователям действительно эффективную защиту от riskware, ей придется увеличить частоту обновления утилиты AntiSpyware хотя бы до ежедневной.

С точки зрения функциональности и графического интерфейса, Microsoft AntiSpyware сделана достаточно добротно. Утилиты умеет работать с модулями ActiveX, отображать таблицу запущенных процессов, управлять программами, запускаемыми на старте операционной системы, а также многое и многое другое.

Интерфейс продукта очень прост и интуитивно понятен. Каждому компоненту и каждой записи в реестре соответствует значок о степени безопасности (Safe, Unknown, Hazardous или в некоторых случаях — Broken). Таким образом, для использования утилиты вовсе необязательно обладать профессиональными знаниями.

Отметим, что Microsoft AntiSpyware позволяет устанавливать агентов постоянного наблюдения за системой, которые защитят ПК от установки новых потенциально опасных программ, а также проследят за теми приложениями, которые имеют доступ к статистике сетевых соединений, настройкам системы, браузера и доступа к интернету.

Разработчики вредоносных и условно опасных программ уже во всю ищут способы обхода Microsoft AntiSpyware.

В целом утилита производит приятное впечатление, хотя в ней остаются некоторые огрехи, доставшиеся по наследству от компании Giant. Помимо уже упоминавшегося неэффективного цикла обновления продукта, у Microsoft AntiSpyware есть некоторые проблемы с корректным детектированием riskware-программ. Так, например, в «Лабораторию Касперского» обратился один из ее клиентов, который сообщил, что утилиты Microsoft определила файл c:\winnt\system32\notpad.exe как средство удаленного администрирования (Remote Administration Tool). Но сам файл является ничем иным, как французской версией программы «Блокнот» (notepad). По каким-то причинам (не ясно каким) файл был переименован в notpad.exe. Эксперты проверили файл и действительно убедились, что это «Блокнот». Однако утилита Microsoft была абсолютно «уверена», что это вредитель ItEye RAT.

Вначале показалось, что Microsoft AntiSpyware была протестирована еще не на всех версиях (например, языковых) системы. Но потом выяснилось, что «Блокнот» детектируется вредителем только из-за его имени и местоположения. Другими словами, бета-версия Microsoft AntiSpyware определяет любой файл с именем notpad.exe (даже абсолютно пустой) и местоположением в системной директории (%sysdir%) как утилиту удаленного администрирования.

Следует отметить, что разработчики вредоносных и условно опасных программ уже во всю ищут способы обхода Microsoft AntiSpyware. Часто им это удается. Например, компания Sophos сообщила о появлении нового вредоносного кода Troj/BankAsh-A, который атакует Microsoft AntiSpyware. Это первый троянец, направленный против данного продукта Microsoft, который в свою очередь находится еще на стадии бета-версии. Troj/BankAsh-A распространяется во вложениях к электронным почтовым сообщениям, крадет пароли и имеет key logger, но главное — он пытается отключить и удалить утилиту Microsoft AntiSpyware, а также подавить все предостерегающие сообщения, которые она выдает.

Некоторые паразиты-троянцы наоборот сами маскируются по средство борьбы с riskware-программами. К ним относятся новые троянцы Trojan-Dropper.Win32.Agent.ed и Trojan-Clicker.Win32.Agent.bm.

Следует резюмировать, что к автономным утилитам для борьбы с потенциально опасными программами нужно относиться критически. Во-первых, под видом такой утилиты можно получить опасный вредоносный код. Во-вторых, эффективность работы автономных средств, откровенно говоря, под сомнением. Проблема здесь не только в редком обновлении большинства утилит (в том числе Microsoft AntiSpyware), но и гибридном характере вредоносных и riskware-кодов, для корректного детектирования которых необходим полнофункциональный антивирусный движок.

Таким образом, наиболее эффективным способом борьбы с потенциально опасными программами являются штатные антивирусные средства или комбинация автономной утилиты и полнофункционального антивирусного продукта. Штатные антивирусы обновляются довольно часто (Антивирус Касперского, например, ежечасно), вдобавок антивирусный движок не обманешь пустым файлом в системной директории.

Комментарии экспертов


Евгений Касперский
глава антивирусных исследований «Лаборатории Касперского»

— Я считаю, что шпионские программы представляют собой очень серьезную угрозу. Они могут привести к краже конфиденциальной информации, включая банковские реквизиты пользователя.

Рекламные коды не так опасны. Они не причастны к утечке важных данных, но воздействуют на посещаемые веб-страницы и поисковые запросы. Вдобавок представители класса adware могут конфликтовать с установленным программным обеспечением (что часто и происходит), а это чревато неприятными последствиями.

По степени опасности между шпионскими и рекламными кодами я бы разместил другие потенциально опасные программы (riskware). Хакеры достаточно часто при атаках используют легальные сетевые программы и различные утилиты мониторинга клавиатуры, экрана и т.д. Весь этот арсенал может представлять достаточно серьёзную угрозу. Во многих случаях при таких атаках используются «многокомпонентные» наборы из различных riskware и троянских программ. Как правило, при удалении нескольких троянских компонент атака блокируется, даже если в системе остались некоторые компоненты riskware.

Если говорить о средствах борьбы со всеми вышеперечисленными категориями вредителей, то антивирусные программы всегда детектировали и удаляли шпионские коды, а антирекламная функциональность была добавлена лишь в последние годы. Таким образом, рекламные программы успели действительно «достать всех и вся» (этим объясняется такое повышенное внимание к ним со стороны прессы), а вот антишпионская функциональность того или иного продукта есть ничто иное, чем маркетинговый пузырь. Я сильно сомневаюсь, что автономная утилита без хорошего антивирусного движка способна обеспечить качественную защиту от шпионских программ.

Следует также отметить действия компании Microsoft, которая не только постепенно повышает безопасность своей операционной, но и предоставляет некоторые средства для борьбы с вредоносными кодами (в том числе рекламными и шпионскими). Думаю, это достаточно мудрая стратегия.


Костин Раю
глава отдела исследований и разработки румынского подразделения «Лаборатории Касперского»

— Угроза, которую представляют собой нежелательные (потенциально вредоносные) программы, вполне реальна. Более того, с некоторой точки зрения, заполучить такую программу на свой компьютер может еще опаснее, чем заразиться вирусом. Сейчас объясню, что я имею в виду.

В течение многих прошедших лет мы учили пользователей относиться ко всем файлам с подозрением, не запускать неизвестные файлы, пришедшие по электронной почте, и постоянно обновлять свой антивирус. К сожалению, практика такого безопасного использования компьютера не может защитить пользователя от угроз чуть более сложных.

Я считаю, что не все антивирусы достаточно хорошо детектируют потенциально вредоносный код. Другими словами, такие программы могут очень долго жить на компьютере пользователя, пока тот не заподозрит что-то неладное. В некоторых случаях, удалить компоненты рекламного кода очень сложно. К тому же они могут снова попасть на компьютер из интернета. В итоге, детектирование adware-программ представляется очень деликатной задачей, особенно в странах с довольно либеральными законами. Например, известны случаи, когда разработчики антивирусной программы, добавившие детектирование определенного нежелательного кода в свой продукт, были привлечены к суду и, как следствие, были вынуждены пойти на уступки.

Шпионские и рекламные коды сейчас находятся на волне своей популярности. О них часто пишет пресса и знает почти каждый пользователь интернета. Чем вызвано такое внимание к проблеме со стороны общественности? Думаю, главная причина в том, что потенциально вредоносные программы могут привести к утечке конфиденциальных данных, а это уже не шутки. Бизнес-план или бюджет компании в руках конкурента может нанести серьезный ущерб компании, а пароли и реквизиты пользователя могут быть использованы для кражи личности или финансового мошенничества.

Тем не менее, я полагаю, что отдельные утилиты, предназначенные для борьбы именно с потенциально опасными программами, не нужны. Сегодня мы видим, что шпионские и рекламные коды становятся все более сложными, они научились размножаться. Такие коды можно рассматривать, как многокомпонентные вирусы, один из компонентов которых является, например, шпионским модулем. Справиться с такими гибридами может лишь полноценное антивирусное ядро, которое можно найти только в современном антивирусном продукте. Если же пользователя не устраивает, как с потенциально вредоносными программами борется сам антивирус, то, скорее всего, следует просто сменить антивирусное решение.

Средства для борьбы со шпионскими и рекламными кодами — это отдельный сегмент рынка. В прошлом многие антивирусы довольно слабо детектировали нежелательные программы, поэтому этот сегмент оказался не занятым. Конечно, такое положение дел не могло продолжаться долго: разработчики обновили антивирусные движки, а сами потенциально опасные программы стали намного ближе к вредоносным кодам. Таким образом, свободного места на рынке становится все меньше и меньше.

В данном контексте бесплатная утилита Microsoft AntiSpyware не столько защищает операционную систему, сколько продвигает торговую марку. Не стоит забывать, что имя софтверного гиганта не ассоциируется с достаточно безопасным продуктом. Действия Microsoft направлены на то, чтобы постепенно изменить мнение пользователей об этом вопросе. Таким образом, Microsoft пытается завоевать доверие пользователей и преподнести себя в качестве поставщика услуг и продуктов по безопасности.

В то же самое время стоит напомнить, что Microsoft постоянно улучшает безопасность своих операционных систем. Service Pack 2 для Windows XP — самый наглядный пример. Правда, огромное число пользователей Windows 2000 (не говоря уже о семействе 9х) не смогут воспользоваться новыми возможностями безопасности.

С точки зрения пользователя, бесплатная утилита AntiSpyware, без сомнения, представляет ценность и является довольно полезным инструментом.


Дэвид Эмм
старший технологический консультант великобританского подразделения «Лаборатории Касперского»

— Я считаю, что шпионские и рекламные коды представляют реальную угрозу для информационной безопасности. Тем не менее, это не новая угроза. Разобраться в ситуации мешает путаница с терминологией. Если следовать большинству определений шпионских кодов, то придется причислить к ним еще и троянские программы: бэкдоры и троянцы-шпионы (используются, чтобы красть данные, рассылать спам и запускать DoS-атаки), троянцы-прокси (превращают компьютер в почтового зомби), уведомляющие троянцы (Trojan Notifiers — сообщают «хозяину», что машина заражена) и PSW-троянцы (крадут пароли и коды доступа). Все эти паразиты существуют уже минимум 10 лет, но на них не навесишь ярлык «шпионские коды». Многие разработчики и аналитики относят к шпионским кодам еще и рекламные. Последние же показывают рекламу на зараженном ПК и подменяют результаты поиска. Рекламные коды очень похожи на спам, но не распространяются по электронной почте. Мы в «Лаборатории Касперского» называем все эти программы «riskware». Во многих случаях эти приложения являются легальными, но могут быть использованы в противозаконных целях в руках преступника.

Такие программы существовали всегда, но именно сейчас они стали чаще применяться. В последние годы наблюдается объединение вирусописательских и хакерских приемов. Именно поэтому riskware может быть использовано, чтобы доставить на ПК вирусы, черви или троянцы, а также украсть конфиденциальные данные.

Я считаю, что для борьбы с riskware вполне достаточно стандартного антивируса. Причина же, по которой многие разработчики выпускают именно отдельные утилиты для борьбы с riskware, в том, что потенциально опасные программы могут быть вполне законными. В этом случае те пользователи, которые не хотят видеть на своем компьютере такие программы, могут использовать отдельную утилиту, остальные могут и не использовать. Продукты «Лаборатория Касперского» также предлагают защиту от riskware, но в виде отдельной дополнительной опции.


Комментарии

Для добавления комментариев необходимо


Bookmark and Share
Закладки

Об авторе

Алексей Доля


Также в аналитике

В блоге

Источники