Материал: Троянские программы в ОС Windows

Программа-шпион, которая позволяет узнать, что другие делают за компьютером в ваше отсутствие. Actual Spy фиксирует все нажатия клавиш; делает снимки экрана через заданный промежуток времени; запоминает запуск и закрытие программ; следит за содержимым буфера обмена и за принтером; осуществляет мониторинг файловой системы; отслеживает соединение с Интернетом; сохраняет адреса посещенных сайтов. Вся информация хранится в зашифрованном лог-файле. По результатам работы программа формирует отчет в текстовом и HTML-формате, который она может отправить по указанному в настройках адресу электронной почты, по локальной сети или выгрузить на FTP-сервер. Программа может работать в обычном или скрытом режиме. По утверждению разработчика, в скрытом режиме она невидима во всех операционных системах и не определяется антивирусами.

2. All-In-One Spy 2.0: #"786654.files/image006.jpg">

Мощный инструмент, позволяющий фиксировать все действия, реализуемые на компьютере. All-In-One SPY производит запись всех нажатых клавиш, запоминает адреса посещенных интернет-страниц, ведет лог приложений, которые запускались на компьютере, умеет делать копии экрана с заданной частотой, а также вести запись с подключенного микрофона в звуковой файл. Программа работает в абсолютно скрытном режиме и, по мнению разработчика, ее присутствие на компьютере обнаружить невозможно. Данное утверждение не всегда подтверждается практическим использованием программы.

3. LanAgent 1.8

WWW: http://www.lanagent.ru/

Программа для наблюдения за компьютерами в локальной сети. Выполняет следующие действия: перехватывает нажатия клавиш, запоминает запуск и закрытие программ, делает снимки экрана (скриншоты), регистрирует посещенные сайты и т.д. Программа позволит выявить деятельность, не имеющую отношения к работе, узнать, насколько рационально сотрудники используют рабочее время.

9. Описание некоторых анти-шпионских программ

. Ad-Aware SE

Работа под управлением: Windows 98/Me/NT/2000/XP

Самое популярное приложение для поиска шпионского софта Ad-Aware SE обеспечивает надежную защиту персональных данных. В нем удачно сочетаются возможности извлечения и удаления spyware-компонентов и предотвращения их установки на компьютер.

Программа сканирует оперативную память, системный реестр, активные процессы, жесткие и компакт-диски на наличие шпионских модулей, неразрешенных ключей автозагрузки в реестре и подозрительных, с ее точки зрения, файлов cookies. Используемый здесь механизм поиска очень удобен, так как пользователю предоставляется возможность настройки процесса сканирования - можно провести глубокое или быстрое сканирование, указать конкретные папки для проверки, включить или, наоборот, выключить сканирование реестра, активных системных процессов, архивов и т.п. По окончании сканирования будет выдан подробный отчет, в котором каждый найденный шпионский модуль будет сопровождаться информацией об имени разработчика, физическом расположении объекта, степенью риска и пр. Найденные spyware-компоненты, а также подозрительные, по мнению программы, объекты могут быть сразу удалены или отправлены в карантин для наблюдения.

Встроенный монитор Ad-Watch работает в фоновом режиме и обеспечивает защиту системы в режиме реального времени, блокируя программные модули, которые пытаются инсталлироваться или как-то модифицировать систему. С его помощью можно заблокировать раздел автозапуска в реестре, возможные и реальные попытки перехвата браузера, подозрительные процессы и cookies, всплывающие окна, а также использовать технологию CSI (Code Sequence Identification) для защиты от новых и пока неизвестных вариантов опасного кода.

Консоль Ad-Axis позволяет централизованно запускать процессы сканирования системы модулями Ad-Aware, включая выполнение задач по расписанию. По электронной почте (SMTP) автоматически отправляются отчеты о состоянии сервера и обнаруженных вредоносных программах. Файлы сигнатур Ad-Aware обновляются централизованно, что снижает Интернет-трафик и повышает общую безопасность сети. Сервер и клиент выполняются на уровне сервисов Windows, поэтому участие пользователей в процессе не требуется.

Менеджер процессов Process-Watch отвечает за просмотр, сканирование, анализ и прерывание запущенных процессов и всех связанных с ними программных модулей. Возможны проверка запущенных процессов на наличие известных программе опасных кодов и завершение их при необходимости.

Программа представлена в четырех редакциях: бесплатной (Ad-Aware SE Personal Edition) и платных (Ad-Aware SE Plus Edition, Ad-Aware SE Professional Edition и Ad-Aware Enterprise Edition). В бесплатной версии отсутствует защита компьютера в реальном времени, которая реализована в модулях Ad-Watch и Process-Watch (последний доступен только в версии Professional). Версия Enterprise отличается, помимо прочего, наличием модуля Ad-Axis Management Console, контролирующего запуск Ad-Aware в корпоративных сетях.

2. Spybot - Search & Destroy

Работа под управлением: Windows 95/98/Me/NT/2000/XP

Бесплатная, но, тем не менее, очень полезная для домашних пользователей программа Spybot - Search & Destroy поможет найти и удалить из системы разнообразные типы spyware-компонентов, а возможность регулярного ее онлайн-обновления гарантирует, что программа всегда будет иметь полный список известных модулей adware, программ-наборонабирателей и прочего шпионского софта.

Основная задача Spybot - Search & Destroy - просканировать жесткий диск и системный реестр, найти и удалить при согласии пользователя разнообразные spyware-модули. В случае adware-программ, которые при удалении соответствующих модулей теряют работоспособность, она сможет подменить spyware-компоненты, собирающие информацию, пустыми модулями, которые позволят программе работать, но лишат ее возможности незаконного сбора информации. Дополнительно Spybot - Search & Destroy позволяет удалять на компьютере следы Интернет-серфинга и любой прочей деятельности: очищать кэш, удалять cookies (имеется поддержка браузеров Opera, IE и Netscape), очищать списки недавно открывавшихся файлов, запускавшихся программ и пр.

3. Anti-keylogger™

Работа под управлением: Windows 2000/XP

Что может системный администратор или простой пользователь персонального компьютера противопоставить программам-шпионам?

Во-первых, это современные антивирусные продукты. Но анти-вирусные продукты не способны защитить персональный компьютер от проникновения вирусов, сигнатуры которых не включены в так называемую "сигнатурную базу". А так как современные вирусы очень часто содержат keylogging модуль, то довольно часто перехват и кража конфиденциальной информации keylogging модулем происходит, так как сигнатурная база анти-вирусного продукта либо еще не пополнена сигнатурой данного вируса либо пользователь своевременно ее не обновил.

Во-вторых, это современные персональные firewall (файрволы). Но персональные файрволы задают слишком много вопросов пользователю персонального компьютера, отвечая на которые даже опытный пользователь может ошибиться и неправильно настроить файрвол. Многие коммерческие мониторинговые программы пользуются этим и скрываются внутри процессов таких программ, как браузеры, почтовые клиенты и т.д., которым пользователь персонального компьютера практически всегда разрешает выход в Интернет. И в результате информация украдена и отослана на электронный адрес, заранее приготовленный злоумышленником.

В отличие от подобных программ: Anti-keylogger™ работает непрерывно в фоновом режиме, не задавая пользователю ненужных вопросов. Таким образом, исключается вероятность ошибиться при ответе на поставленный вопрос.

Anti-keylogger™ блокирует работу практически всех программ, осуществляющих перехват нажатий клавиш на клавиатуре персонального компьютера, и при этом, не использует никакие сигнатурные базы. В Anti-keylogger™ применены абсолютно новые решения и алгоритмы, которые позволяют отличить процесс перехвата информации шпионской программой от деятельности других программных приложений, установленных на персональном компьютере.

Anti-keylogger™ разработан для применения на персональных компьютерах, работающих под управлением операционной системы Microsoft® Windows® 2000/XP и обеспечивает надежную защиту от кейлоггинговых программ (программных кейлоггеров), известных и неизвестных - и тех, что используются в настоящее время, и тех, что только разрабатываются во всем мире.

Anti-keylogger™ способен бороться с различными видами кейлоггинговых программ, которые могут входить в состав коммерческих, бесплатных и условно-бесплатных программных продуктов, а также содержаться в "Троянских" программах и разнообразных вирусах. Благодаря программе Anti-keylogger™ программы-шпионы не смогут перехватить и украсть вашу информацию, а также ваши пароли, логины, ПИНы (персональные идентификационные номера) и т.п. Поскольку Anti-keylogger™ не использует сигнатурные базы, то он может успешно защищать от неизвестных кейлоггеров!

Основные особенности. Программный продукт Anti-keylogger™ имеет особенности, которые выгодно отличают его от других подобных продуктов: не использует сигнатурной базы; полная поддержка Unicode; поддержка мультипроцессорных и многопоточных архитектур; работа в Windows® 2000/XP; прозрачная защита "на лету"; немедленная и постоянная защита; защита от перехвата информации, помещенной в буфер обмена (Clipboard); защита от перехвата нажатий клавиш; защита от перехвата текста из окон; легкость установки и настройки; бесплатные обновления и пожизненная поддержка; интерфейс на многих языках мира. Защита от кейлоггинга включается непосредственно в момент загрузки операционной системы - еще до того, как пользователь входит в систему. Все работающие keylogging модули таким образом автоматически блокируются. Anti-keylogger™ специально разработан для того, чтобы помочь пользователю решить ряд вопросов в жизни и бизнесе: предотвратить кражу конфиденциальной информации; предотвратить мошенничество при банковских операциях в Сети; обеспечить безопасность электронной почты, мгновенных сообщений и чата; предотвратить утечку конфиденциальной и частной информации;защитить пароли, логины, ПИНы; проводить политику правильного пользования компьютерами и Интернет; блокировать шпионские программы, используемые конкурентами; хранить тайну частной жизни; и многое другое.

Преимущества

В отличие от большинства существующих анти-шпионских программ, Anti-keylogger™ поможет Вам сохранить и защитить информацию:

быстрее, потому что не придется ждать обновления сигнатурной базы (как, например, с анти-вирусом или другой программой), в то время как кейлоггер продолжает красть вашу информацию.

эффективнее, потому что программа постоянно работает в фоновом режиме и не задает ненужных вопросов, тем самым исключая вероятность ошибок при принятии решения.

дешевле, потому что вам не придется ежегодно платить за обновления сигнатурной базы, как пришлось бы платить за обновления анти-вирусных и анти-шпионских программ многих других производителей.

Заключение

После рассмотрения механизмов работы программ - шпионов, методов их внедрения, изучения принципов работы некоторых шпионских и анти - шпионских программ можно сделать следующие выводы, общие для всех пользователей ПК:

. По мере своего развития средства нападения и защиты становятся все более изощренными, и одной из главных проблем оказывается отставание во времени между появлением новой угрозы и выработкой контрмер против нее.

. Очевидно, что жертвой программы-шпиона может стать любая система, подключенная к Internet и использующая браузер или электронную почту. Признаки заражения бывают видны невооруженным глазом или скрыты от наблюдения - в зависимости от того, с какой формой шпионского программного обеспечения вы столкнулись. Тем не менее, есть несколько простых симптомов, которые не должны ускользать от внимания пользователя или системного администратора. Существуют и различные инструменты, для обнаружения шпионских программ.

. К признакам присутствия программы-шпиона можно отнести непонятную активность жесткого диска, повышенную загрузку центрального процессора, программные конфликты, которых ранее не наблюдалось, медленный отклик или отказ системы. К сожалению, те же самые признаки могут быть вызваны другими проблемами, и сделать на их основании определенные выводы не так-то просто.

. Как правило, следует с подозрением относиться к чрезмерному количеству спама и всплывающих рекламных окон: их причиной может быть программа-шпион. Кроме того, если ваш браузер открывает Web-сайты, к которым вы определенно не обращались, добавляет новые ссылки и параметры настройки, то весьма возможно, что виновата в этом программа-шпион. Лучший способ ее обнаружить и удалить состоит в использовании специальных инструментов.

. Средства борьбы с программами-шпионами совершенствуются с каждым днем. Сегодня многие антивирусные продукты имеют функции обнаружения и удаления программ-шпионов (Приложения 2 и 3).

. Поскольку обнаружение и удаление программ-шпионов представляет собой новое направление, следует тщательно изучать возможности конкретных продуктов. К примеру, они по-разному обрабатывают шпионское и рекламное программное обеспечение, не всегда располагают возможностями его удаления (Приложение 1).

. Персональные сетевые экраны (FireWall) теперь защищают от угроз более умело, чем раньше. Некоторые из них включают в себя эвристические функции, которые могут блокировать злонамеренный код прежде, чем он достигнет вашей системы. Особое внимание следует обращать на возможность фильтрации входящего и исходящего трафика по IP-адресам, адресам URL, портам, протоколам, приложениям и строкам сигнатур.

. Функции, при которых все требования пользователя к борьбе с программами-шпионами "покрывались" бы единым антивирусным продуктом все еще находятся в стадии разработки. Самую серьезную защиту обеспечивают специализированные продукты, но ситуация может измениться в самом ближайшем будущем.

. Полномасштабно защититься от шпионских программ довольно сложно, но самые простые методы защиты типичны и давно известны: на компьютере всегда должен быть установлен качественный лицензионный антивирус с обновлёнными антивирусными базами, нельзя переходить по подозрительным ссылкам, посещать "потенциально опасные" Web-сайты и запускать программы, полученные из непроверенных источников. Ну и, конечно, нельзя пускать за свой копьютер людей, которые могут скачать установить на него шпионские программы.

Список литературы

. Анин Б.Ю. Защита компьютерной информации.-СПб.: БХВ-Петербург,2000.- 384 с.

. Андрианов В. И Шпионские штучки и устройства для защиты объектов и информации. - СПб., 2001.

. Лысов А.В., Остапенко А.Н.. Энциклопедия промышленного шпионажа.- СПб., 2003.

. #"786654.files/image010.jpg">

Приложение 3. Эффективность выявления и обнаружения вредоносного ПО за счет применения эвристического детектирования, %