Классификация других деструктивных программ.
Трояны.
Троянами (программами типа «Троянский конь») называют программы, которые содержат внутри себя некие скрытые функции реализующие какие-либо информационные угрозы, либо код, позволяющий инсталлировать деструктивные программы в системе. Внешне незаметные, или выглядящие достаточно безобидно, эти программы, могут: обеспечивать возможность удаленного доступа в зараженную систему (так называемые «back doors»), заниматься обнаружением и отправкой в адрес злоумышленника определенной информации (например – пароли пользователя), внедрять в систему компьютерные вирусы и программы (боты), обеспечивающие скрытое от пользователя использование компьютера в сетевых атаках или рассылке спама. Основное отличие троянов от вирусов в том, что вирусы зависимы от заражаемого ресурса, а трояны, как правило, являются самостоятельными программами. Хотя, в связи с гигантским ростом популярности в последнее время сетевых вирусов, мы можем наблюдать слияние понятий трояна и сетевого вируса.
Основные признаки трояна:
- наличие исполняемого файла;
- использование для загрузки точек автозапуска в системе или методов социальной инженерии;
- как правило, необходимость взаимодействия с компьютерной сетью.
Одним из популярных каналов распространения троянов служит электронная почта. Вместе с письмом может придти вложенный файл в виде например, автозапускаемого Flash-клипа или самораспаковывающегося архива, либо злоумышленник может прислать по электронной почте скрытый вредоносный программный сценарий Visual Basic Script.
Еще один канал распространения – троянские Web-сайты. Даже во время простого просмотра сайтов Интернета пользователи могут «получить» вирус или троянскую программу. Ошибки, либо отсутствие правильных настроек безопасности в браузерах зачастую приводят к тому, что активные компоненты троянских Web-сайтов (элементы управления ActiveX, Java-скрипты или апплеты Java) внедряют на компьютеры вредоносные программы. Здесь используется тот же самый механизм, что и при получении сообщений электронной почты в формате HTML. Но заражение происходит незаметно: активные компоненты Web-страниц могут внешне никак себя не проявлять.
Приглашение посетить троянский сайт можно получить в обычном электронном письме.
Программы-шпионы (Spyware)
Среди потенциально опасных программ особенно выделяются программы-шпионы (spyware). Данное программное обеспечение позволяет скрытно собирать сведения об отдельном пользователе или целой организации.
Одними из первых подобных программ были сетевые сниферы. Снифер представляет собой программу-сканер сетевого трафика, который следит за сетевыми пакетами, проходящими через контролируемый им сегмент сети. Набор таких программ представлен в богатом ассортименте – тут и софт для протоколирования сообщений ICQ в локальной сети, и средства контроля электронной почты, и инструменты отслеживания вводимых паролей.
На сегодняшний день среди программ-шпионов выделяют следующие типы:
- Считыватели клавиатуры (монитора) — key/screen loggers. Специальные программы, обеспечивающие сбор и отправку информации, которую пользователь набирает с клавиатуры (выводит на экран).
- Сборщики информации. Программы-шпионы, которые осуществляют поиск на жестком диске определенных данных (пароли, персональные данные, конфиденциальную информацию и т.п.) и отправку их внешнему адресату.
- Программы-загрузчики. Специальный код, позволяющий проделать бреши в системе защиты и загружать на инфицированный компьютер дополнительные вредоносные программы.
Такие программы распространяются разными способами, но чаще всего – массовой спам-рассылкой. В этом случае можно выделить два варианта: одноэтапный и двухэтапный. Для первого характерно, что в качестве распространяемого спам-рассылкой файла выступает одна из разновидностей шпиона, во втором – сначала на компьютер-жертву устанавливается троянская программа-загрузчик, которая затем осуществляет загрузку одной или нескольких шпионских программ рассматриваемой группы.
Другой способ распостранения – с почтовыми червями. Такие черви, попадая на компьютер, либо сами загружают шпионскую программу, либо устанавливают на инфицированной машине загрузчик, который впоследствии осуществляет инсталляцию Spyware. Некоторые версии программ-шпионов используют для распространения HTTP и FTP-сервисы.
Все вышеперечисленные способы распространения программ-шпионов объединяет одна главная причина – необдуманные действия пользователей. Как правило, spyware пападают во внутренние корпоративные сети:
- путем пересылки во вложениях к электронной почте;
- через уязвимости в интернет-браузерах, при загрузке вредоносного содержимого с инфицированного сайта;
- через уязвимости в FTP-клиентах;
- с мобильными накопителями (компакт-диски, USB-накопители);
- во время on-line игр.
Рекламные коды (Аdware)
Рекламные коды (аdware) – это программное обеспечение, которое проникает на компьютер в рекламных целях. Данное ПО также относится к разряду потенциально опасных. Формально аdware-программы являются легальными, что позволяет производителям открыто их разрабатывать, а рекламным компаниям – свободно распространять. Появившись несколько лет назад в виде простейших скриптов, автоматически открывавших множество дополнительных окон в интернет-браузере, сейчас они рассматриваются наравне с другими видами вредоносных программ. Сегодня рекламные компании стремятся всеми доступными средствами выполнить заказ и показать как можно больше рекламы максимальному количеству пользователей, что отражается, как минимум, на объемах несанкционированного трафика.
Более изощренными и нелегальными становятся приемы доставки рекламного контента на компьютеры пользователей. Некоторые современные adware-программы используют вирусные технологии для проникновения и скрытия себя в системе. Все больше обнаруживаемых программ данного класса содержат черты троянцев. Это отражается в способе инсталляции в систему (например, при помощи уязвимостей в браузерах) либо в поведении на компьютере пользователя. Adware-программы серьезно затрудняют свое обнаружение и деинсталляцию из системы (запись собственного кода в системные файлы или подмена собой системных приложений), ищут и удаляют программы-конкуренты, занимая их место. В них могут содержаться модули для сбора и отправки третьим лицам информации о посещаемых сайтах и вводимых владельцем компьютера данных. Кроме того, представители класса adware могут конфликтовать с установленным программным обеспечением, а это, в свою очередь, чревато серьезными негативными последствиями для информационной системы.
Еще одним отрицательным свойством adware-программ является подмена результатов поиска информации в Интернет. Перехватывая запросы ВЭБ-браузеров, такие программы могут перенаправить пользователя на нужный рекламодателю сайт вне зависимости от того, какой адрес интернет-ресурса он набрал в адресном поле.
Спам
В последние годы в области информационной безопасности появилось новое понятие – спам. Под спамом понимают несанкционированные массовые не запрошенные электронные почтовые рассылки, не имеющие конкретного адресата. Дело в том, что такие рассылки наносят серьезный ущерб информационным системам. Если изначально спам был просто назойливой рекламой, то сегодня он составляет отдельный вид сетевых информационных угроз [28].
Термин «СПАМ» ведет свое происхождение от от старого (1972 г.) скетча английской комик-группы «Monty Python Flying Circus», в котором посетители ресторанчика, пытающиеся сделать заказ, вынуждены слушать хор викингов, воспевающий мясные консервы (SPAM). В меню этого ресторана все блюда состоят из содержимого этих консервов.
Применительно к навязчивой сетевой рекламе термин «СПАМ» стал употребляться несколько лет назад, когда рекламные компании начали публиковать в новостных конференциях Usenet свои рекламные объявления. На счастье подписчиков таких групп новостей продолжалось это недолго, так как технология Usenet предусматривает любую фильтрацию сообщений, и администраторы конференций просто удаляли спам ранее, чем он достигал большого числа людей. Потерпев здесь неудачу, спамеры переключились на рассылку рекламы по группам адресатов.
Тематика непрошеной корреспонденции варьируется в зависимости от сезона, уровня покупательской способности населения и прочих факторов, однако практически неизменно более половины всего спама отвечает следующим темам: «Для взрослых», «Образование», «Медицина и здоровый образ жизни», «Услуги по электронной рекламе», «Личные финансы», «Отдых и путешествия». Начинает задействоваться спам и в политической агитации. На волне выборов различного уровня доля «политического» спама может серьезно возрасти.
Российские аферисты постепенно перенимают и другой вид мошенничества, развитый за рубежом в силу глобального участия населения в играх на бирже. Появляются спамерские письма, советующие срочно продавать или покупать акции некоей компании. Цель – попытка повлиять на курс акций ради крупной биржевой игры.
По данным ведущих отечественных провайдеров, объем спама в русском сегменте Интернета составляет в среднем до 85% от общего количества входящей электронной почты (от 44,1% до 91% почтового трафика – в 2006 году). Ущерб от спама в России, например – в 2006 году составил более 200 млн евро. Наиболее подробное и объективное исследование такого явления, как спам, в России проводит лаборатория «Спамтест» – подразделение компании «Ашманов и партнеры» (http://www.ashmanov.com/).
Распространение спама приобрело угрожающие масштабы. Его рост превзошел самые пессимистичные прогнозы. Если в конце 2002 г. спам составлял 30-40% от общего числа электронных писем в мире, то уже в 2003 г. его доля превысила 50%, а к концу 2004 года спам составлял около 65-70% всей входящей корреспонденции в публичных почтовых службах Рунета. На сегодняшний день доля спама в русской части Интернета оценивается в 75-80% от общего объема электронной почты.
Убытки от спама, на первый взгляд, незначительные для отдельного пользователя, в масштабах крупных организаций весьма велики. По разным оценкам, на спаме предприятия теряют от $50 до $200 в год в расчете на одного офисного сотрудника. В результате в 2003 г. ущерб от спама по порядку величины стал сравним с потерями, нанесенными мировому сообществу компьютерными вирусами и злоумышленниками. По данным европейских источников, убытки во всем мире составляют $10 млрд ежегодно.
Сегодня спам-рассылки являются одним из основных методов осуществления информационных атак в сети. Такие рассылки являются наиболее распространенным способом доставки почтовых вирусов и других потенциально опасных программ.
Способы рассылки спама различны. Эволюция способов рассылки определялась совершенствованием средств фильтрации. Как только один из методов рассылки начинает преобладать, появляются эффективные средства борьбы с ним, и спамерам приходится менять технологию. В результате, сегодня спам-почта имеет ряд технологических особенностей.
Распределенность спам-рассылок.
Существенная доля спам-сообщений рассылается через сети инфицированных компьютеров (зомби). Для заражения компьютера на него необходимо установить «троянское» программное обеспечение, являющееся proxy-сервером, что позволяет в дальнейшем пользоваться данной машиной – как посредником при пересылке спама. Как правило, отдельный инфицированный компьютер используется для посылки небольшой доли сообщений, при этом в рассылке участвуют сотни и тысячи пользовательских машин. Спамерам удалось наладить сквозной мониторинг доставки сообщений, в результате письмо, отвергнутое при попытке доставки с одного IP-адреса, отправляется заново с другого IP. Это делает фильтрацию почты по «черным спискам», содержащим базу адресов, наиболее часто используемых спамерами (DNSBL-спискам – Dnsbl-DNS Black lists «черные списки доменных имен Интернета») неэффективной.