CHAIKA

Главная | Регистрация | Вход
Четверг, 21.11.2024, 22:49
Приветствую Вас Гость | RSS
Меню сайта
Категории раздела
Все статьи [165]
Сервисы [26]
Антивирусы [4]
Антивирусы - Удаление антивирусов [4]
Антивирусы - NOD 32 [5]
Антивирусы - KAV & KIS [4]
Браузеры [3]
Загрузка - Менеджеры загрузки [0]
Загрузка - Правила закачки [0]
Загрузка - Сервисы для хранения файлов и изображений [0]
Запись [0]
Эмуляция [0]
Защита [63]
Игры - Крэк [0]
Локальная сеть [15]
Мультимедиа [0]
Мультимедиа - Аудио [0]
Мультимедиа - Видео [0]
Мультимедиа - Графика [0]
Мультимедиа - Флэш [0]
Настройки - Инструкции [54]
Операционная система [4]
Провайдеры Твери [8]
Система - Активация [8]
Система - Восстановление [5]
Система - Контроль [0]
Система - Обслуживание [0]
Система - Оптимизация [0]
Система - Справка [1]
Flash-накопители [1]
WEB-master [14]
WINDOWS 7 [18]
Новые статьи [2]
Статистика

3.131.13.24
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа





Дай пять!получить кнопку


Главная » Статьи » Все статьи

AdWare, SpyWare, RootKit
AdWare, SpyWare, RootKit

ADWARE И SPYWARE
AdWare - это программы, воспроизводящие рекламу. В лучшем случае - программы,
которые воспроизводят рекламу в качестве платы за свое использование. Примеров AdWare множество, возьмем хотя бы FlashGet. Его незарегистрированная версия отображает в верхней части окна баннер. В таких программах реклама отображается только в рамках окна программы и
только во время ее работы. Приложения этого класса не наносят много ущерба и кроме расхода трафика, они ничем не навредят. Следующим вариантом AdWare является внешний модуль, который вызывается приложениями для отображения рекламы. Цели и задачи аналогичны - взимать неявную плату за использование программы. Классический пример весьма популярный AdWare Cydoor. Его главная библиотека именуется CD_CLINT.DLL и размещается в system32. Наконец AdWare-программы третьего и самого обширного класса скрытно прописываются на компьютере и крутят рекламу. Естественно, создатель такой программы получает на рекламе неплохую копеечку, а пользователь - сильную головную боль.
SpyWare - это шпионская программа. Ее главная цель - собирать данные о пользователях передавать их своему создателю. Разница между AdWare и SpyWare (а часто и между Spyware и трояном) весьма условна. Многие производители AV-продуктов не заморачиваются и не выделяют отдельный класс Spyware. Например, в классификации Лаборатории Касперского есть лишь AdWare и трояны. SpyWare отличаются от троянов тем, что собираемая ими информация не является критической, то есть SpyWare-программы не передают пароли или номера кредитных карт - это привилегия троянов. Главной задачей SpyWare является повышение эффективности маркетинга: собирая данные о пользователе, можно подобрать контекстную рекламу для него или
набрать статистику для решения разных маркетинговых задач.

HIJACKER
Буквальный перевод этого термина звучит как налетчик, грабитель. Типовой задачей программ,
класса Hijacker является перенастройка параметров браузера, электронной, почты или других приложений без ,разрешения и ведома пользователя. В зарубежных источниках мне встречалось определение Hijacker как утилиты, которая изменяет настройки браузера без ведома пользователя. Чаще всего Hijacker применяется , для изменения:
1. Стартовой страницы браузера (стартовая страница заменяется на адреса сайта создателей Hijacker);
2. Настройки системы поиска браузера (эти настройки хранятся в реестре; в результате этого изменения при нажатии кнопки Поиск" открывается адрес, установленный программой Hijacker);
3. Уровней и настроек безопасности браузера;
4. Реакции браузера на ошибки (мне встречался Hijacker, который заменял стандартные странички IE, описывающие ошибки типа 404, на собственные);
5. Модификации списка адресов (Избранное) браузера.
В чистом виде Hijacker встречается сравнительно редко, так как чаще всего по выполняемым действиям, программу можно отнести к AdWare/Spyware или троянам. Собственно, Hijcker преследует те же цели, что и AdWare - реклама и повышение рейтинга того или иного сайта.
Типовым примером Hijacker может служить Trojan.Win32.StartPage.ui, имеющий несжатый размер около 4 Кб, который прописывает один из заданных в его теле URL в параметр Start Page ключа Software\Microsoft\Internet Explorer\Main, а также умеет прописываться в автозапуск в ключе
Software\Microsoft\Windows\CurrentV ersion\Run реестра.

DIALER
Dialer (или порнозвонилка) - это программа, предназначенная для дозвона на некий платный сервис (поэтому и страшна она для старых старичков, все еще выходящих в интернет по модему :)). По принципу работы можно выделить несколько разновидностей Dialer:
1. Автономные звонилки . программы, предназначенные для дозвона.
2. Добавляющие соединения удаленного доступа. Звонить не умеют, вместо этого создают одно (или несколько) соединений удаленного доступа.
3. Модифицирующие соединение удаленного доступа (порнозвонилки самой зловредной разновидности, так как они модифицируют существующие соединения, записывая туда новые телефонные номера).
Кроме порнозвонилок, можно выделить еще один класс программ, я называю их порноскопами". Эти программы предназначены для соединения с неким закрытым сайтом, могут иметь встроенный прокси-сервер и прочие навороты. Как правило, такую программу тоже относят к категории Dialer или выделяют в отдельный класс PornDownloader.

ROOTKIT
RootKit - это программа, которая внедряется в систему и производит перехват API-функций или модификацию их машинного кода. В результате RootKit может влиять на поведение системы в частности, маскировать файлы на диске, процессы, ключи реестра. Кроме того, RootKit является API-шпионом, то есть он может отслеживать вызовы перехваченных им функций и протоколировать их.RootKit можно разделить на две большие категории: UserMode и KernelMode. Самым известным представителем UserMode является HackerDefender, выполненный в виде самостоятельного продукта, который может конфигурироваться пользователем при помощи ini-файла. Принцип работы
HackerDefender основан на перехвате ряда API-функций путем подмены первых пяти байт машинного кода функции на JMP, указывающей на его функцию-перехватчик. Данная методика не совсем корректна, так как , для вызова перехваченной функции ему приходится восстанавливать ее машинный код, производить вызов и заново записывать в начало функции JMP. Тем не менее, метод вполне рабочий, исходники HackerDefender открыты, и это привело к появлению множества его клонов. Из KernelMode RootKit наиболее знаменит BackDoor.Haxdoor. Он устанавливает несколько драйверов, перехватывает ряд функций в KiST, что позволяет ему достаточно эффективно маскироваться от обнаружения пользователем. Практика показывает, что разработчики вредоносных программ (вирусов, троянских программ, шпионского ПО) все чаще начинают использовать RootKit-технологии, что существенно затрудняет обнаружение и удаление созданных ими вредоносных программ. По статистике, AdWare/SpyWare чаще всего применяют методики перехвата функций в режиме пользователя.

TROJAN-SP
Как показывает их название, это шпионы в чистом виде. Приставка Trojan сигнализирует об их однозначной вредоносности. К этой категории принято относить наиболее опасные разновидности кейлоггеров, а также всевозможные троянские программы для шпионажа за пользователем. Самый типичный пример - TrojanSpy.Win32.Banker. Программы данного семейства нацелены на воровство номеров кредитных карт. Некоторые подобные звери применяют изощренные методы внедрения в системы и обходят многие Firewall’ы. Логика работы зверя" такова: драйвер перехватывает ZwCreateProcess, что позволяет ему отследить запуск процессов; в запускаемые процессы он внедряет свой перехватчик UserMode, перехватывая LdrLoadDll. Последнее позволяет ему отловить загрузку библиотек и в момент загрузки wininet.dll перехватить HttpSendRequestA (метод перехвата типовой - подмена первых пяти байт функции на JMP). Дальше все просто.
Перехват этой функции предоставляет трояну контроль над работой приложения с интернетом (конечно при условии что она работает через указанную функцию wininet.dll, но для Internet Explorer это справедливо).

HOAZ
Данная категория программ появилась сравнительно недавно. В буквальном переводе Hoax - это обман, ложь, мистификация. Соответственно, непосредственная задача Hoax- программы - обман пользователя. К примеру, известен Hoax.Win32.Renos который подменяет обои на рабочем столе (при этом блокируя меню их восстановления) и загружает на ,компьютер супер-антиспайвер,
SpywareNo, который тут же бодро кричит о том, что на ПК обнаружено штук 15 троянов и шпионов (куча кейлоггеров, троянов, флудеров, шпионов -список длинный). Для лечения нужен ключ, но на три дня дают пробный, при его получении совершается чудо: все шпионы немедленно исцеляются, и рабочий стол приводится в порядок, так что результат лечения налицо. Далее за продолжение защиты программа скромно просит всего 38 евро в год :). Этот монстр - один из
наиболее находчивых Hoax, так как более простые, типа Hoax.AvGold, просто прописываются в автозапуск и периодически пугают пользователя из всплывающих окон или трея тем, что их компьютер заражен вредоносной программой и для ее лечения нужно купить супер-пуперантивирус
AvGold (собственно, отсюда и название этого зверя).

Источник: http://antivirus.6te.net/news.php/readarticle.php?article_id=1

Категория: Все статьи | Добавил: Chaika (01.10.2009)
Просмотров: 1601 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск
Друзья сайта
  • Все для веб-мастера
  • Программы для всех
  • Мир развлечений
  • Лучшие сайты Рунета
  • Кулинарные рецепты













  • бесплатный счетчик посещений

    * *



    Copyright MyCorp © 2024 |

    Опция Просмотра Скрытых Файлов Сервера Оффлайн базы Зеркала обновлений NOD32 и Eset Smart Security Trojan.Winlock.19 удалить порноинформер Защитить Флэш-карту вирус автозапуска processinfo Conflicker Kido DDoS Autorun Инструкции по удалению продуктов Symantec Dr.Web KAV KIS Windows 7 активация оптимизация восстановление