Шпионски софтуер - потенциално опасни програми, Securelist
Терминологичен проблем
На първо място е необходимо да се справим с многобройните варианти на името на един и същи проблем. Това ще ви помогне да разберете по-добре какво се крие зад понякога всеобхватния термин "шпионски софтуер".
Шпионският софтуер е отделен в отделен клас, тъй като не попада в определението за зловреден код и обикновен полезен софтуер. Те са някъде по средата. Нека обясним това по-подробно.
Терминът "шпионски софтуер" в преобладаващата част от случаите се отнася до цяло семейство програми, което включва: дайлери, помощни програми за изтегляне на файлове от Интернет, различни сървъри (FTP, Proxy, Web, Telnet), IRC клиенти, инструменти за наблюдение, PSW помощни програми, инструменти за отдалечено администриране, програми за шеги. Тези видове програми ще бъдат разгледани по-подробно по-долу.
Ако подходим към терминологичния проблем академично, тогава всички горепосочени типове програми трябва да се наричат "рисков софтуер". На български тази дума означава "условно опасни програми", тоест такива, които могат да навредят на информацията на потребителя. Специалистите на Kaspersky Lab използват термина „рисков софтуер“.
Преди терминът да влезе в обща употреба, се използват имената "greyware", "blackware" и "whiteware". Тази система за именуване се основава на три цвята: сив (сив), черен (черен) и бял (бял). Както можете да предположите, grayware в този случай е пълен аналог на riskware, blackware е клас от открито злонамерени програми, а whiteware действа като легитимен софтуер (т.е. абсолютно легален и полезен). Въпреки това е много неудобно да се използва такава терминология, тъй като за злонамерени програми (черен софтуер) собственият термин отдавна е установен,което на английски звучи като “malware”, но на български си остава “malware”.
Обобщавайки първия резултат, трябва да се отбележи, че днес широко се използват два термина: „шпионски софтуер“ и „рисков софтуер“ (в англоезичната преса най-широко се използва наименованието „шпионски софтуер“). Те означават едно и също нещо, тоест „условно опасни програми“ или „потенциално опасни програми“ – онези помощни програми и инструменти, които могат да се използват както за добро (в ръцете на потребителя), така и за вреда (в ръцете на престъпника).
Видове условно опасни програми
По-горе вече споменахме някои видове потенциално опасни програми, които в ръцете на нападателите се превръщат от полезни помощни програми в опасни инструменти за атака. Сега нека разгледаме по-подробно видовете условно опасни програми:
Наистина, ако вземем някой от горния клас програми, тогава можем лесно да определим, че няма къде другаде да го припишем, освен като рисков софтуер. Например програми за набиране. Те не се размножават и не заразяват файлове на компютъра на потребителя. Следователно те не са вируси. Тези програми стриктно изпълняват функциите си (т.е. извикват посочения номер) и не се маскират като други помощни програми. Следователно те не са троянци. Дайлерите също не си изпращат имейли, така че да ги наречем червеи също не е възможно. Въпреки това, с тези общоприети полезни инструменти, нападателят може да насочи нищо неподозиращия потребител към доставчик на например порнографски услуги и по този начин да причини сериозни финансови щети на жертвата.
Ако погледнем историята на борбата срещу зловреден софтуер, веднага виждаме, че разработчиците на антивирусни решения почти никога не са имали затруднения с общата класификация на компютърапаразити. През 90-те години беше много лесно да се различи полезна програма от вирус, троянски кон и червей, както и самите вредители един от друг. Разбира се, имаше и хибриди, особено опасни кодове, които заимстваха силните страни на няколко паразита наведнъж. Но в общата класификация те никога не надхвърляха голямата група, наречена злонамерени кодове.
Важно е да се признае, че причината за появата на програми като riskware се крие в комерсиализацията на занаята за писане на вредители. Така например на черния пазар се появиха клиенти, които се нуждаят от нови видове услуги: събиране на информация за потребителските предпочитания (за нуждите на собствения им маркетинг), популяризиране на собствени мрежови ресурси с всякакви налични средства (включително чрез фалшифициране на резултатите от търсенето в Интернет) и др. Търсенето даде силен тласък на развитието на технически средства за паразитиране на компютрите на потребителите. Не след дълго стандартните инструменти (полезни програми), използвани за горепосочените цели, намериха своето приложение за баналните и най-груби нарушения на закона: кражба на кодове за достъп, електронни пари и пароли, кражба и унищожаване на информация и др.
Борба с потенциално опасни програми
Очевидно трябва да се борим с програми, които могат да причинят вреда, но това трябва да се направи правилно. Например, ако принудите всяка обикновена антивирусна програма да реагира на всяка потенциално опасна програма, тогава потребителят ще трябва да се изправи пред много фалшиви положителни резултати. Факт е, че много представители на класа riskware се доставят по подразбиране с операционната система. Освен това това е напълно оправдано, тъй като в някои случаи полезността на такива помощни програми е трудно да се надцени. Това ясно демонстрира изключителната твърдост на такиваподход („реагиране на всеки и всеки“) telnet програма, която е част от операционните системи Windows, Unix и Linux от десетилетия.
Най-правилното решение е златната среда. Например, много големи антивирусни компании са разработили отделни помощни програми, които откриват само потенциално опасни програми. Какъв е смисълът тук? Например, в предишната ситуация системният администратор може да се свърже с доставчика на своята антивирусна програма и да го помоли да добави поддръжка за Friend Greeting към своите бази. Ако доставчикът е съгласен, значи всичко е наред. Ако той откаже, тогава администраторът ще може да пренапише отделна помощна програма от същия или друг доставчик, като нейната задача по дефиниция включва откриването на рискови програми.
Този подход обаче изисква от потребителя да предприеме допълнителни стъпки за изтегляне, прилагане и конфигуриране на допълнителна помощна програма. Ето защо, например, Kaspersky Lab добави откриване на потенциално опасни програми към своите антивирусни продукти като опция. Ако потребителят иска антивирусът да намери представители на класа рисков софтуер, тогава той трябва само да постави отметка в едно квадратче в настройките на антивируса.
Независимо дали използвате самостоятелна помощна програма или обикновена антивирусна програма за борба с потенциално опасни програми, трябва да предприемете редица мерки, за да защитите собствения си компютър:
-
Трябва да проверите целия твърд диск за потенциално опасни програми. Ако бъдат открити, тогава самостоятелната помощна програма или стандартната антивирусна програма определено ще покаже описание на всяка рискова програма. В по-голямата част от случаите антивирусът ще може да определи дали тази програма е опасна или не. Понякога потребителят ще трябва да вземе собствено решение относно вредата от подозрителна помощна програмавъз основа на следните параметри: дали той я е инсталирал сам, дали може да бъде премахната със стандартни инструменти на Windows, дали в лицензионното споразумение за тази програма е спомената подозрителна функционалност.
Microsoft Anti Spyware
Microsoft пусна безплатна помощна програма - Microsoft AntiSpyware, базирана на технологии Giant, които софтуерният гигант придоби в самия край на 2004 г.
Програмата ви позволява да проверявате вече инсталирани програми за потенциално опасни, както и да защитавате компютъра си от нови рискови програми.
Трябва да се отбележи, че Microsoft AntiSpyware се актуализира всеки месец, но новите потенциално опасни програми се появяват много по-често: няколко на ден. По този начин, ако Microsoft иска да предостави на потребителите си наистина ефективна защита срещу рисков софтуер, ще трябва да увеличи честотата на актуализиране на помощната програма AntiSpyware, поне до ежедневна.
По отношение на функционалност и графичен интерфейс Microsoft AntiSpyware е добре направен. Помощните програми могат да работят с ActiveX модули, да показват таблица с изпълнявани процеси, да управляват програми, стартирани при стартиране на операционната система, и много, много повече.
Интерфейсът на продукта е много прост и интуитивен. Всеки компонент и всеки запис в системния регистър има икона за защита (безопасен, неизвестен, опасен или в някои случаи повреден). По този начин, за да използвате помощната програма, изобщо не е необходимо да иматепрофесионални познания.
Обърнете внимание, че Microsoft AntiSpyware ви позволява да инсталирате агенти за постоянен мониторинг на системата, които ще предпазят вашия компютър от инсталиране на нови потенциално опасни програми, както и да наблюдавате онези приложения, които имат достъп до статистика на мрежовата връзка, системни настройки, браузър и достъп до Интернет.
Като цяло, помощната програма прави добро впечатление, въпреки че все още има някои недостатъци, наследени от Giant. В допълнение към вече споменатия неефективен цикъл на актуализиране на продукта, Microsoft AntiSpyware има някои проблеми с правилното откриване на рискови програми. Например Kaspersky Lab се свърза с един от клиентите си, който съобщи, че помощните програми на Microsoft са идентифицирали файла c:winntsystem32notpad.exe като инструмент за отдалечено администриране. Но самият файл не е нищо повече от френската версия на програмата Notepad (бележник). По някаква причина (неясно защо) файлът беше преименуван на notpad.exe. Експертите провериха файла и наистина се увериха, че това е Notepad. Въпреки това помощната програма на Microsoft беше абсолютно „сигурна“, че това е вредителя ItEye RAT.
Първоначално изглеждаше, че Microsoft AntiSpyware все още не е тестван на всички версии (например езикови версии) на системата. Но тогава се оказа, че Notepad се открива от вредителя само поради името и местоположението му. С други думи, бета версията на Microsoft AntiSpyware открива всеки файл с името notpad.exe (дори напълно празен) и място в системната директория (%sysdir%) като помощна програма за отдалечено администриране.
Трябва да се отбележи, че разработчиците на злонамерени и условно опасни програми вече търсят начини да заобиколят Microsoft AntiSpyware. Често те успяват.Например Sophos съобщи за появата на нов зловреден софтуер Troj/BankAsh-A, който атакува Microsoft AntiSpyware. Това е първият троян срещу този продукт на Microsoft, който от своя страна все още е в бета версия. Troj/BankAsh-A се разпространява в прикачени файлове към имейли, краде пароли и има програма за регистриране на ключове, но най-важното е, че се опитва да деактивира и премахне помощната програма Microsoft AntiSpyware, както и да потиска всички предупредителни съобщения, които дава.
Някои троянски паразити, напротив, се маскират като средство за борба с рисковите програми. Те включват новите троянски коне Trojan-Dropper.Win32.Agent.ed и Trojan-Clicker.Win32.Agent.bm.
Трябва да се обобщи, че самостоятелните инструменти за борба с потенциално опасни програми трябва да се третират критично. Първо, под прикритието на такава помощна програма можете да получите опасен злонамерен код. Второ, ефективността на автономните инструменти, честно казано, е под съмнение. Проблемът тук е не само рядката актуализация на повечето помощни програми (включително Microsoft AntiSpyware), но и хибридната природа на злонамерени и рискови кодове, за правилното откриване на които е необходим пълнофункционален антивирусен двигател.
По този начин най-ефективният начин за справяне с потенциално опасни програми е използването на стандартни антивирусни инструменти или комбинация от самостоятелна помощна програма и пълнофункционален антивирусен продукт. Редовните антивируси се актуализират доста често (Kaspersky Anti-Virus, например, на час), освен това антивирусният двигател не може да бъде измамен от празен файл в системната директория.