2020-06-12
67
Spyware могут осуществлять широкий круг задач, например:
- собирать информацию о посещаемых веб-сайтах в Интернете и используемом программном обеспечении;
- запоминать нажатия клавиш на клавиатуре и записывать скриншоты экрана;
- проводить анализ состояния систем безопасности.
В дальнейшем, вся собранная информация отправляется разработчикам шпионского программного обеспечения.
Некоторые образцы
Ниже приведены распространённые spyware, которые демонстрируют разнообразные варианты поведения.
- HuntBar, также WinTools или Adware.Websearch.
Эти программы добавляют панели инструментов для Internet Explorer, отслеживают привычку посещения веб-сайтов, перенаправляют партнёрские ссылки и выдают всплывающие рекламные окна.
- Zango (прежде 180 Solutions).
Передаёт детальную информацию рекламодателям о веб-страницах, посещаемых пользователем. Также меняет HTTP-запросы со ссылок на веб-сайты партнёрских рекламодателей, которые, в свою очередь, дают возможность нечестных доходов для 180 Solutions. Открывает всплывающие окна, перекрывающие веб-страницы компаний-конкурентов.
- Trojan.Zlob (англ.) или просто Zlob.
Загружается на компьютер через кодек ActiveX и докладывает на сервер такую информацию, как история поиска, история посещений веб-сайтов и даже нажатия клавиш.
Юридические аспекты
Вопреки утверждениям потребителей, изготовители spyware заявляют, что пользователи на самом деле дают согласие на инсталляцию. Spyware, поставляемое в комплекте с дистрибутивом, может быть упомянуто в пользовательском соглашении (EULA). Однако большинство пользователей по привычке игнорируют прочтение документа и просто нажимают кнопку «Согласен».
В 2003 году Gator (ныне Claria Corporation) подал в суд на веб-сайт PC Pitstop за описание их продукции как spyware. PC Pitstop согласился не использовать термин spyware, но продолжал описывать ущерб, причиняемый продуктами Gator. В результате прецедента другие антивирусные и анти-spyware компании используют для обозначения таких продуктов другие термины, такие как «потенциально нежелательные программы».
Методы защиты
Эффективным способом защиты от spyware-программ, устанавливающихся как надстройки для браузера, являются специальные фильтры, такие как AdBlock Plus. Подобные программы предотвращают выполнение потенциально опасных скриптов, команд и инструкций, что позволяет предотвратить установку нежелательного программного обеспечения.
Для защиты от spyware-приложений, устанавливающихся непосредственно на компьютер пользователя можно использовать антивирусные продукты, имеющие функционал песочницы, что позволяет запустить приложение в ограниченной среде, не опасаясь за безопасность всей системы.
Решения, работающие по принципам проактивной защиты, так же показывают высокую эффективность в предотвращении попадания spyware на компьютеры пользователей.
Ботнет (англ. botnet, МФА: [ˈbɒtnɛt]; произошло от слов ro bot и net work) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.
Схема создания ботнета и использования его спамером.
Техническое описание
Получение управления
Управление обычно получают в результате установки на компьютер невидимого необнаруживаемого пользователем в ежедневной работе программного обеспечения без ведома пользователя. Происходит обычно через:
- Заражение компьютера вирусом через уязвимость в ПО (ошибки в браузерах, почтовых клиентах, программах просмотра документов, изображений, видео).
- Использование неопытности или невнимательности пользователя — маскировка под «полезное содержимое».
- Использование санкционированного доступа к компьютеру (редко).
- Перебор вариантов администраторского пароля к сетевым разделяемым ресурсам (в частности, к ADMIN$, позволяющей выполнить удалённо программу) — преимущественно в локальных сетях.
