Spyware - потенційно небезпечні програми, Securelist
Проблема термінології
Насамперед, необхідно розібратися з численними варіантами назви однієї й тієї проблеми. Це допоможе краще зрозуміти, що ховається за часом всеосяжним терміном spyware.
Шпигунські програми були виділені в окремий клас, тому що не підпадають під визначення шкідливих кодів та звичайного корисного програмного забезпечення. Вони перебувають десь посередині. Пояснимо це докладніше.
Терміном «spyware» у переважній більшості випадків називають цілу родину програм, до яких входять: програми дозвону, утиліти для закачування файлів з інтернету, різні сервери (FTP, Proxy, Web, Telnet), IRC-клієнти, засоби моніторингу, PSW-утиліти, засоби віддаленого адміністрування, програми-жарти. Докладніше ці типи програм будуть розглянуті нижче.
Якщо підходити до термінологічної проблеми академічно, всі вищеперелічені типи програм слід називати «riskware». Українською мовою це слово означає «умовно небезпечні програми», тобто ті, які можуть спричинити шкоду інформації користувача. Саме терміном "riskware" користуються фахівці "Лабораторії Касперського".
До того як цей термін узвичаївся, використовувалися назви «greyware», «blackware» і «whiteware». Така система іменування будується на трьох кольорах: сірому (grey), чорному (black) та білому (white). Як легко здогадатися, greyware в даному випадку є повним аналогом riskware, blackware є класом відверто шкідливих програм і whiteware виступає в ролі легітимного ПЗ (тобто абсолютно законного та корисного). Тим не менш, користуватися такою термінологією дуже незручно, так як для шкідливих програм (blackware) вже давно витримався власний термін.який англійською звучить як «malware», а українською мовою такою і залишається – «шкідливе ПЗ».
Підсумовуючи перший підсумок, слід зазначити, що сьогодні широко застосовуються два терміни: «spyware» і «riskware» (в англомовній пресі найбільш поширена назва «spyware»). Означають вони те саме, тобто «умовно небезпечні програми» або «потенційно небезпечні програми» — ті утиліти та інструменти, які можна використовувати як на благо (в руках користувача), так і на шкоду (в руках злочинця).
Види умовно небезпечних програм
Вище ми вже згадували деякі типи потенційно небезпечних програм, які в руках зловмисників із корисних утиліт перетворюються на небезпечні атакуючі засоби. Тепер розглянемо види умовно небезпечних програм.
Справді, якщо взяти будь-який наведений вище клас програм, можна легко визначити, що крім, як до riskware, його віднести нікуди. Наприклад, програми додзвону. Вони не розмножуються та не заражають файли на комп'ютері користувача. Отже це не віруси. Ці програми суворо виконують закладені в них функції (тобто телефонують за вказаним номером) і не маскуються під будь-які інші утиліти. Отже це не троянці. Кошти додзвону також не розсилають себе електронною поштою, так що назвати їх черв'яками теж неможливо. Тим не менш, завдяки подібним в цілому корисним інструментам зловмисник може направити користувача, що нічого не підозрює, до постачальника, наприклад, порнографічних послуг і в такий спосіб завдати серйозних фінансових збитків потерпілому.
Якщо подивитися на історію боротьби зі шкідливими кодами, то ми відразу побачимо, що розробники антивірусних рішень майже ніколи не мали труднощів із загальною класифікацією комп'ютернихпаразитів. Протягом 90-х років було дуже легко відрізнити корисну програму від вірусу, троянця та черв'яка, а самих шкідників один від одного. Звісно, траплялися і гібриди, особливо небезпечні коди, які запозичили сильні сторони кількох паразитів. Але в загальній класифікації вони ніколи не виходили за межі великої групи, яка називається шкідливими кодами.
Важливо визнати, що причина появи програм типу riskware полягає у комерціалізації ремесла написання шкідників. Так, наприклад, на чорному ринку з'явилися замовники, яким потрібні нові види послуг: збір інформації про переваги користувача (для потреб власного маркетингу), просування власних мережевих ресурсів будь-якими доступними способами (у тому числі фальсифікацією результатів пошуку в інтернеті) тощо. буд. Попит дав сильний поштовх до розвитку технічних засобів, що дозволяють паразитувати на комп'ютерах користувачів. Не довго довелося чекати, коли стандартні засоби (корисні програми), які використовувалися в перерахованих вище цілях, знайшли своє застосування і для банального і грубого порушення закону: крадіжки кодів доступу, електронних грошей і паролів, крадіжки та знищення інформації тощо.
Боротьба з потенційно небезпечними програмами
Очевидно, що з програмами, які можуть зашкодити, треба боротися, але робити це необхідно коректно. Наприклад, якщо змусити кожен штатний антивірус реагувати на будь-яку потенційно небезпечну програму, користувачеві доведеться зіткнутися з масою помилкових спрацьовувань. Справа в тому, що багато представників класу riskware поставляються за умовчанням з операційною системою. Причому це цілком виправдано, тому що в деяких випадках корисність такого роду утиліт складно переоцінити. Наочно демонструє надзвичайну жорсткість такогопідходу («реагувати на всіх і кожного») програма telnet, що вже не одне десятиліття входить до складу операційних систем Windows, Unix і Linux.
Найбільш коректним рішенням є золота середина. Так, багато великих компаній, що виробляють антивіруси, розробили окремі утиліти, що детектирують тільки потенційно небезпечні програми. У чому тут зміст? Наприклад, у попередній ситуації системний адміністратор може звернутися до постачальника свого антивірусу та попросити його додати свої бази підтримки Friend Greeting. Якщо постачальник погодиться, то все гаразд. Якщо відмовиться, адміністратор зможе переписати окрему утиліту цього ж постачальника або іншого, а в її завдання вже за визначенням входить детектування riskware-програм.
Проте такий підхід вимагає від користувача додаткових кроків зі скачування, застосування та налаштування додаткової утиліти. Тому, наприклад, «Лабораторія Касперського» додала у свої антивірусні продукти визначення потенційно небезпечних програм як опцію. Якщо користувач хоче, щоб антивірус знаходив представників класу riskware, йому потрібно лише поставити одну «галочку» в налаштуваннях антивірусу.
Незалежно від того, чи використовуєте ви для боротьби з потенційно небезпечними програмами автономну утиліту або штатний антивірус, необхідно вжити заходів щодо захисту власного ПК:
-
Слід перевірити весь жорсткий диск наявність умовно небезпечних програм. Якщо їх буде виявлено, то автономна утиліта або штатний антивірус обов'язково покажуть опис кожної riskware-програми. У переважній більшості випадків антивірус зможе визначити, чи небезпечна ця програма чи ні. Іноді користувачеві доведеться самостійно ухвалити рішення про шкідливість підозрілої утиліти нана підставі таких параметрів: чи встановлював він її самостійно, чи можна видалити її за допомогою стандартних засобів Windows, чи сказано про якусь підозрілу функціональність у ліцензійній угоді до цієї програми.
Microsoft AntiSpyware
Компанія Microsoft випустила безкоштовну утиліту - Microsoft AntiSpyware, засновану на технологіях компанії Giant, яку софтверний гігант придбав наприкінці 2004 року.
Програма дозволяє перевірити вже встановлені програми на наявність потенційно небезпечних, а також захистити комп'ютер від влучення нових riskware-програм.
Слід зазначити, що Microsoft AntiSpyware оновлюється на щомісячній основі, проте нові потенційно небезпечні програми з'являються набагато частіше: кілька штук на день. Таким чином, якщо компанія Microsoft хоче надавати своїм користувачам дійсно ефективний захист від riskware, їй доведеться збільшити частоту оновлення програми AntiSpyware хоча б до щоденної.
З точки зору функціональності та графічного інтерфейсу, Microsoft AntiSpyware зроблена досить добротно. Утиліти вміє працювати з модулями ActiveX, відображати таблицю запущених процесів, керувати програмами, що запускаються на старті операційної системи, а також багато і багато іншого.
Інтерфейс продукту дуже простий та інтуїтивно зрозумілий. Кожному компоненту та кожному запису в реєстрі відповідає піктограма про ступінь безпеки (Safe, Unknown, Hazardous або в деяких випадках Broken). Таким чином, для використання утиліти зовсім необов'язково матипрофесійними знаннями.
Зазначимо, що Microsoft AntiSpyware дозволяє встановлювати агентів постійного спостереження за системою, які захистять ПК від встановлення нових потенційно небезпечних програм, а також простежать за тими програмами, які мають доступ до статистики мережних з'єднань, налаштувань системи, браузера та доступу до Інтернету.
У цілому утиліта справляє приємне враження, хоча в ній залишаються деякі огріхи, які дісталися у спадок від компанії Giant. Крім вже згадуваного неефективного циклу оновлення продукту, Microsoft AntiSpyware має деякі проблеми з коректним детектуванням riskware-програм. Так, наприклад, до "Лабораторії Касперського" звернувся один з її клієнтів, який повідомив, що утиліти Microsoft визначила файл c:winntsystem32notpad.exe як засіб віддаленого адміністрування (Remote Administration Tool). Але сам файл є нічим іншим, як французькою версією програми Блокнот (notepad). З якихось причин (не зрозуміло яким) файл був перейменований в notpad.exe. Експерти перевірили файл і дійсно переконалися, що це Блокнот. Однак утиліта Microsoft була абсолютно "впевнена", що це шкідник ItEye RAT.
Спочатку здалося, що Microsoft AntiSpyware була протестована ще на всіх версіях (наприклад, мовних) системи. Але потім з'ясувалося, що «Блокнот» детектується шкідником лише через його ім'я та місцезнаходження. Іншими словами, бета-версія Microsoft AntiSpyware визначає будь-який файл з ім'ям notpad.exe (навіть абсолютно порожній) та місцезнаходженням у системній директорії (%sysdir%) як утиліту віддаленого адміністрування.
Слід зазначити, що розробники шкідливих і умовно небезпечних програм вже шукають способи обходу Microsoft AntiSpyware. Часто їм це вдається.Наприклад, компанія Sophos повідомила про появу нового шкідливого коду Troj/BankAsh-A, який атакує Microsoft AntiSpyware. Це перший троянець, спрямований проти цього продукту Microsoft, який, у свою чергу, знаходиться ще на стадії бета-версії. Troj/BankAsh-A поширюється у вкладеннях до електронних поштових повідомлень, краде паролі та має key logger, але головне — він намагається відключити та видалити утиліту Microsoft AntiSpyware, а також придушити всі застережні повідомлення, які вона видає.
Деякі паразити-троянці навпаки самі маскуються за допомогою боротьби з riskware-програмами. До них відносяться нові троянці Trojan-Dropper.Win32.Agent.ed та Trojan-Clicker.Win32.Agent.bm.
Слід резюмувати, що до автономних утиліт для боротьби з потенційно небезпечними програмами слід ставитися критично. По-перше, під виглядом такої утиліти можна отримати небезпечний шкідливий код. По-друге, ефективність роботи автономних засобів, щиро кажучи, під сумнівом. Проблема тут не тільки в рідкісному оновленні більшості утиліт (у тому числі Microsoft AntiSpyware), а й гібридному характері шкідливих та riskware-кодів, для коректного детектування яких необхідний повнофункціональний антивірусний двигун.
Таким чином, найбільш ефективним способом боротьби з потенційно небезпечними програмами є штатні антивірусні засоби або комбінація автономної утиліти та повнофункціонального антивірусного продукту. Штатні антивіруси оновлюються досить часто (Антивірус Касперського, наприклад, щогодини), також антивірусний двигун не обдуриш порожнім файлом у системній директорії.