Шпионские программы – угроза безопасности вашего ПК - Страница 3

Dialer

Программы категории Dialer (он-же часто называется «порнозвонилка» от названия Porn-Dialer, присвоенного им в классификации лаборатории Касперского) достаточно широко распространены и предназначены для решения ряда задач, связанных с дозвонкой до заданного сервера и установления с ним модемной связи. Применяются данные программы в основном создателями порносайтов, но страдают от них все – многие программы категории Dialer используют весьма изощренные способы установки (с использованием ActiveX, Trojan-Downloader), причем установка может быть инициирована при посещении практически любого сайта.

Организацию модемного соединения с сервером владельца Dialer может производить несколькими способами:

• Dialer может производить набор номера и установление соединения своими средствами;
• Dialer может создать новое соединение удаленного доступа;
• Dialer может изменить существующие соединения удаленного доступа;

В первых двух случаях Dialer, как правило, всячески привлекает внимание пользователя к себе и созданным им соединением – копирует себя во все доступные места (в папку Program Files, Windows, Windows\System, папку «Пуск» и т.п.), создает ярлыки, регистрирует себя в автозапуске.

Часто кроме решения основной задачи программы типа Dialer выполняют задачи, свойственные программам других категорий (Adware, SpyWare, Trojan-Downloader). Некоторые Dialer устанавливают себя на автозапуск, внедряются в другие приложения – например, мне известен Dialer, регистрирующий себя как расширение языка Basic и запускающийся при открытии любого приложения Microsoft Office, использующего скрипты.

Некоторые программы типа Dialer можно смело относить к троянским программам (а многие производители антивирусов считают Dialer троянской программой – на сайте производителей Norton Antivirus про Dialer говорится «троянская программа, предназначенная для …»), в классификации лаборатории Касперского есть специальная категория Trojan.Dialer.

Кроме утилит дозвонки к категории Dialer часто относят специализированные утилиты для просмотра порносайтов. Ведут они себя аналогично Dialer, только вместо модемного соединения соединяются с закрытими сайтами по Интернет.

BHO – Browser Helper Object

BHO (альтернативные названия – Browser Helper Object, Browser Plugin, Browser Bar, IE Bar, OE Bar и т.п., в классификации лаборатории Касперского есть категория подкатегория Toolbar, например AdWare.Toolbar.Azesearch) – это расширение браузера или программы электронной почты, как правило выполненное в виде дополнительной панели управления. У BHO есть ряд достаточно опасных особенностей:

• BHO не являются процессам системы – они работают в контексте браузера и не могут быть обнаружены в диспетчере задач;
• BHO запускаются вместе с браузером и могут контролировать события, связанные с работой пользователя в Интернет (по сути, BHO для этого и предназначены);
• BHO обмениваются с сетью, используя API интеграции с браузером. Поэтому, с точки зрения большинства персональных FireWall обмен с Интернет ведет браузер. Как следствие, обнаружить такой обмен и воспрепятствовать ему очень сложно. Ситуация отягощается тем, что многие BHO, входящие в категорию «SpyWare», передают информацию после запроса пользователя – это делает практически невозможным обнаружение постороннего обмена с Интернет, т.к. он идет на фоне полезного трафика;
• Ошибки в работе BHO могут дестабилизировать работу браузера и приводить к трудно диагностируемым сбоям в его работе;

Hijacker

Буквальный перевод этого термина звучит как «налетчик», «грабитель», «воздушный пират». Это программа, которая выполняет на компьютере пользователя нежелательные для него действия, преследуя цели своих разработчиков. Производитель многих антивирусных средств относят программы категории Hijacker к троянским программам. Задачей программ класса Hijacker является перенастройка параметров браузера, электронной почты или других приложений без разрешения и ведома пользователя. В зарубежных источниках мне встречалось определение Hijacker – «утилита, которая изменяет настройки браузера без ведома пользователя».

Наиболее часто Hijacker применяется для изменения:

• Стартовой страницы браузера – стартовая страница заменяется на адреса сайта создателей Hijacker;
• Настройки системы поиска браузера (эти настройки хранятся в реестре). В результате при нажатии кнопки «Поиск» открывается адрес, установленный программой Hijacker;
• Префиксов протоколов;
• Уровней и настроек безопасности браузера;
• Реакции браузера на ошибки – мне встречался Hijacker, заменяющий стандартные странички IE, описывающие ошибки типа 404 на собственные;
• Модификации списка адресов («Избранное») браузера.

В чистом виде Hijacker встречается сравнительно редко, т.к. чаще всего по выполняемым действиям программа может быть кроме категории «Hijacker» отнесена к категориям «Trojan»,»Dialer» или AdWare/SpyWare.

Trojan – троянская программа

Троянская программа – это программа, которая выполняет действия, направленные против пользователя – собирает и передает владельцам конфиденциальную информацию о пользователе (эту категорию еще называют Trojan-Spy), выполняет несанкционированные или деструктивные действия. Из определения легко заметить, что троянска программа является «родственником» программ из категории SpyWare – разница как правило в том, что SpyWare не имеют выраженного деструктивного действия и не передают конфиденциальную информацию о пользователе. Однако вопрос об отнесении программы к той или иной категории достаточно спорный (часто получается, что одна антивирусная компания считает некий модуль Adware, другая – троянской программой, третья – вообще игнорирует).

Backdoor – утилита скрытного удаленного управления и администрирования

Backdoor – это программа, основным назначением которой является скрытное управление компьютером. Backdoor можно условно подразделить на следующие категории:

• Backdoor, построенные по технологии Client – Server. Такой Backdoor состоит как минимум из двух программ – небольшой программы, скрытно устанавливаемой на поражаемый компьютер и программы управления, устанавливаемой на компьютер злоумышленника. Иногда в комплекте идет еще и программа настройки;
• Backdoor, использующие для удаленного управления встроенный telnet, web или IRC сервер. Для управления таким Backdoor не требуется специальное клиентское программное обеспечение. К примеру, известны Backdoor, которые подключался к заданному IRC серверу и используют его для обмена со злоумышленником.

Основное назначение Backdoor – скрытное управление компьютером. Как правило, Backdoor позволяет копировать файлы с пораженного компьютера и наоборот, передавать на пораженный компьютер файлы и программы. Кроме того, обычно Backdoor позволяет получить удаленный доступ к реестру, производить системные операции (перезагрузку ПК, создание новых сетевых ресурсов, модификацию паролей и т.п.). Backdoor по сути открывает атакующему «черный ход» на компьютер пользователя. Опасность Backdoor увеличилась в последнее время в связи с тем, что многие современные сетевые и почтовые черви или содержат в себе Backdoor-компоненту, или устанавливают ее после заражения ПК.

Заключение

В данной статье рассмотрены основные категории вредоносных программ, не являющихся компьютерными вирусами. По статистике в настоящее время SpyWare и AdWare программы причиняют пользователям все больше неприятностей, и для борьбы с ними приходится держать внушительный арсенал специализированных программ. В следующей статье речь пойдет методиках самостоятельного поиска и удаления постороннего программного обеспечения без применения антивирусных программ.

Источник: http://z-oleg.com/