Шпионское программное обеспечение.

В настоящее время среди шпионских программ широкое распространение получили так называемые «троянские кони» и «spyware». «Троянские кони» – это программы (или файлы), которые выдают себя за полезные, но в действительности представляют собой вредоносное ПО. Многочисленные программы этой группы довольно часто нацелены на похищение какой-либо определенной информации с жестких дисков компьютеров (в том числе конфиденциальной). К примеру, такой информацией могут быть пароли доступа к ресурсам Интернет. Будучи отправленной на почтовый ящик от имени знакомого человека, «троянский конь» может выглядеть, например, как фотография и вызывать доверие, но при его запуске он выполняет заложенную в нем вредоносную функцию. «Троянские кони», действующие по вышеописанному алгоритму, довольно часто используются злоумышленниками. Примером такого типичного «троянского коня» является программа, которая выглядит, как простая игра для рабочей станции пользователя. Однако пока пользователь играет в игру, программа отправляет свою копию по электронной почте каждому абоненту, занесенному в адресную книгу этого пользователя. Все абоненты получают по почте игру, вызывая ее дальнейшее распространение.

Spyware (программы-шпионы). SpyWare применяется для ряда целей, из которых основными являются маркетинговые исследования и целевая реклама. В этом случае информация о конфигурации компьютера пользователя, используемом им программном обеспечении, посещаемых сайтах, статистика запросов к поисковым машинам и статистика вводимых с клавиатуры слов позволяет очень точно определить род деятельности и круг интересов пользователей. Поэтому чаще всего можно наблюдать связку Spy – Adware, т.е. «Шпион» – «Модуль показа рекламы». Шпионская часть собирает информацию о пользователе и передает ее на сервер рекламной фирмы. Там информация анализируется и в ответ высылается рекламная информация, наиболее подходящая для данного пользователя. В лучшем случае реклама показывается в отдельных всплывающих окнах, в худшем – внедряется в загружаемые страницы и присылается по электронной почте. Однако собранная информация может использоваться не только для рекламных целей – например, получение информации о ПК пользователя может существенно упростить хакерскую атаку и взлом компьютера пользователя. А если программа периодически обновляет себя через Интернет, то это делает компьютер очень уязвимым – элементарная атака на DNS может подменить адрес источника обновления на адрес сервера хакера – такое «обновление» приведет к внедрению на ПК пользователя любого постороннего программного обеспечения [5].

Утилиты скрытого администрирования (backdoor). Программы этой группы по своей сути является достаточно мощными утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые различными фирмами-производителями программных продуктов. Единственная особенность этих программ заставляет классифицировать их как вредные программы: отсутствие предупреждения об инсталляции и запуске. При запуске утилита скрытого администрирования устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях программы в системе. Более того, ссылка на программу может отсутствовать в списке активных приложений. В результате "пользователь" этой программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления. Будучи установленными на компьютер, утилиты скрытого управления позволяют делать с компьютером все, что в них заложил их автор: принимать/отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти программы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных, организации атак на другие компьютеры сети и т. п. - пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.

Прочие вредные программы.

Существует немало групп вредоносных программ, которые ввиду характерности своих свойств не попадают ни в один из вышеперечисленных классов. Именно по этой причине они объединены в отдельный класс вредоносного ПО.

Intended-вирусы. К таким вирусам относятся программы, которые на первый взгляд являются стопроцентными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении "забывает" поместить в начало файлов команду передачи управления на код вируса, либо записывает в нее неверный адрес своего кода, либо неправильно устанавливает адрес перехватываемого прерывания (что в подавляющем большинстве случаев завешивает компьютер) и т.д. К категории "intended" также относятся вирусы, которые по приведенным выше причинам размножаются только один раз - из "авторской" копии. Заразив какой-либо файл, они теряют способность к дальнейшему размножению. Появляются intended-вирусы чаще всего при неумелой перекомпиляции какого-либо уже существующего вируса, либо по причине недостаточного знания языка программирования, либо по причине незнания технических тонкостей операционной системы.

Конструкторы вирусов. Конструктор вирусов - это утилита, предназначенная для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макро-вирусов. Они позволяют генерировать исходные тексты вирусов (ASM-файлы), объектные модули, и/или непосредственно зараженные файлы. Некоторые конструктороы (VLC, NRLG) снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты (COM и/или EXE), наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, выбрать эффекты, сопровождающие работу вируса и т.п. Прочие конструкторы (PS-MPC, G2) не имеют интерфейса и считывают информацию о типе вируса из конфигурационного файла.

Полиморфные генераторы. Как и конструкторы вирусов, полиморфик-генераторы не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т.е. открытия, закрытия и записи в файлы, чтения и записи секторов и т.д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика. Обычно полиморфные генераторы распространяются их авторами без ограничений в виде файла-архива. Основным файлом в архиве любого генератора является объектный модуль, содержащий этот генератор. Во всех встречавшихся генераторах этот модуль содержит внешнюю (external) функцию - вызов программы генератора. Таким образом автору вируса, если он желает создать настоящий полиморфик-вирус, не приходится корпеть над кодами собственного за/расшифровщика. При желании он может подключить к своему вирусу любой известный полиморфик-генератор и вызывать его из кодов вируса. Физически это достигается следующим образом: объектный файл вируса линкуется с объектным файлом генератора, а в исходный текст вируса перед командами его записи в файл вставляется вызов полиморфик-генератора, который создает коды расшифровщика и шифрует тело вируса.