double arrow

Особенности функционирования


Spyware могут осуществлять широкий круг задач, например:

  • собирать информацию о посещаемых веб-сайтах в Интернете и используемом программном обеспечении;
  • запоминать нажатия клавиш на клавиатуре и записывать скриншоты экрана;
  • проводить анализ состояния систем безопасности.

В дальнейшем, вся собранная информация отправляется разработчикам шпионского программного обеспечения.

Некоторые образцы

Ниже приведены распространённые spyware, которые демонстрируют разнообразные варианты поведения.

  • HuntBar, также WinTools или Adware.Websearch.

Эти программы добавляют панели инструментов для Internet Explorer, отслеживают привычку посещения веб-сайтов, перенаправляют партнёрские ссылки и выдают всплывающие рекламные окна.

  • Zango (прежде 180 Solutions).

Передаёт детальную информацию рекламодателям о веб-страницах, посещаемых пользователем. Также меняет HTTP-запросы со ссылок на веб-сайты партнёрских рекламодателей, которые, в свою очередь, дают возможность нечестных доходов для 180 Solutions. Открывает всплывающие окна, перекрывающие веб-страницы компаний-конкурентов.

  • Trojan.Zlob (англ.) или просто Zlob.

Загружается на компьютер через кодек ActiveX и докладывает на сервер такую информацию, как история поиска, история посещений веб-сайтов и даже нажатия клавиш.




Юридические аспекты

Вопреки утверждениям потребителей, изготовители spyware заявляют, что пользователи на самом деле дают согласие на инсталляцию. Spyware, поставляемое в комплекте с дистрибутивом, может быть упомянуто в пользовательском соглашении (EULA). Однако большинство пользователей по привычке игнорируют прочтение документа и просто нажимают кнопку «Согласен».

В 2003 году Gator (ныне Claria Corporation) подал в суд на веб-сайт PC Pitstop за описание их продукции как spyware. PC Pitstop согласился не использовать термин spyware, но продолжал описывать ущерб, причиняемый продуктами Gator. В результате прецедента другие антивирусные и анти-spyware компании используют для обозначения таких продуктов другие термины, такие как «потенциально нежелательные программы».

Методы защиты

Эффективным способом защиты от spyware-программ, устанавливающихся как надстройки для браузера, являются специальные фильтры, такие как AdBlock Plus. Подобные программы предотвращают выполнение потенциально опасных скриптов, команд и инструкций, что позволяет предотвратить установку нежелательного программного обеспечения.

Для защиты от spyware-приложений, устанавливающихся непосредственно на компьютер пользователя можно использовать антивирусные продукты, имеющие функционал песочницы, что позволяет запустить приложение в ограниченной среде, не опасаясь за безопасность всей системы.

Решения, работающие по принципам проактивной защиты, так же показывают высокую эффективность в предотвращении попадания spyware на компьютеры пользователей.



Ботнет (англ. botnet, МФА: [ˈbɒtnɛt]; произошло от слов robot и network) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.

Схема создания ботнета и использования его спамером.

Техническое описание

Получение управления

Управление обычно получают в результате установки на компьютер невидимого необнаруживаемого пользователем в ежедневной работе программного обеспечения без ведома пользователя. Происходит обычно через:

  • Заражение компьютера вирусом через уязвимость в ПО (ошибки в браузерах, почтовых клиентах, программах просмотра документов, изображений, видео).
  • Использование неопытности или невнимательности пользователя — маскировка под «полезное содержимое».
  • Использование санкционированного доступа к компьютеру (редко).
  • Перебор вариантов администраторского пароля к сетевым разделяемым ресурсам (в частности, к ADMIN$, позволяющей выполнить удалённо программу) — преимущественно в локальных сетях.






Сейчас читают про: