Сбор данных

Многие рекламные системы помимо доставки рекламы также собирают конфиденциальную информацию о компьютере и пользователе:

  • IP-адрес компьютера;
  • версию установленной операционной системы и интернет-браузера;
  • список часто посещаемых пользователем интернет-ресурсов;
  • поисковые запросы;
  • прочие данные, которые можно использовать при проведении последующих рекламных кампаний.

Примечание: не стоит путать Adware, занимающиеся сбором информации, с троянскими шпионскими программами. Отличие Adware состоит в том, что они осуществляют подобный сбор с согласия пользователя.

Если Adware никак не уведомляет пользователя об осуществляемом ей сборе информации, то она подпадает под поведение Trojan-Spy и относится к категории вредоносных программ.

 

· Pornware

Pornware — программы, которые так или иначе связаны с показом пользователю информации порнографического характера.

Программы категории Pornware могут быть установлены пользователем на свой компьютер сознательно, с целью поиска и получения порнографической информации. В этом случае они не являются вредоносными.

С другой стороны, те же самые программы могут быть установлены на пользовательский компьютер злоумышленниками — через использование уязвимостей операционной системы и интернет-браузера или при помощи вредоносных троянских программ классов Trojan-Downloader или Trojan-Dropper. Делается это обычно с целью «насильственной» рекламы платных порнографических сайтов и сервисов, на которые пользователь сам по себе никогда не обратил бы внимания.

· Riskware

Riskware — к этой категории относятся обычные программы (некоторые из них свободно продаются и широко используются в легальных целях), которые, тем не менее, в руках злоумышленника способны причинить вред пользователю (вызвать уничтожение, блокирование, модификацию или копирование информации, нарушить работу компьютеров или компьютерных сетей).

В списке программ категории Riskware можно обнаружить коммерческие утилиты удаленного администрирования, программы-клиенты IRC, программы дозвона, программы для загрузки («скачивания») файлов, мониторы активности компьютерных систем, утилиты для работы с паролями, а также многочисленные интернет-серверы служб FTP, Web, Proxy и Telnet.

Все эти программы не являются вредоносными сами по себе, однако обладают функционалом, которым могут воспользоваться злоумышленники для причинения вреда пользователям.

Выбор, детектировать или нет подобные программы, лежит на пользователе. По-умолчанию в антивирусных продуктах «Лаборатории Касперского» детектирование Riskware отключено.

У вас нет повода для беспокойства, если подобная программа установлена на компьютер вами или вашим сетевым администратором.

 

В реальной жизни часто встречаются вредоносные программы, которые обладают целым набором вредоносных функций и способов распространения. Возьмем для примера некую вредоносную программу, распространяющуюся по электронной почте в виде вложений и через P2P-сети в виде файлов. В дополнение к этому, «зловред» содержит функцию несанкционированного пользователем сбора адресов электронной почты с пораженных компьютеров. Таким образом, вредоносная программа может быть с равным успехом отнесена к Email-Worm, к P2P-Worm и к Trojan Mailfinder. Подобная ситуация, в конечном итоге, не вызовет ничего, кроме путаницы, т.к. различные модификации одной и той же вредоносной программы могут получить различные названия в зависимости от того, какому поведению отдаст предпочтение анализировавший код антивирусный эксперт.

Во избежание подобных проблем «Лаборатория Касперского» использует так называемые «правила поглощения», которые позволяют однозначно отнести вредоносную программу к тому или иному типу (поведению) вне зависимости от реализованной в ней функциональности.

Как работают правила поглощения? Каждому поведению экспертной оценкой присваивается определенный уровень опасности, и менее опасные поведения поглощаются более опасными. Например, если учесть, что в вышеприведенном примере самым опасным является поведение Email-Worm, то рассматриваемая вредоносная программа будет отнесена именно к этому типу.

Правила поглощения для всех имеющихся типов вредоносных программ могут быть представлены в виде следующего дерева (рис. 2).

Наименее опасные поведения расположены внизу, наиболее опасные — вверху.

В случае обнаружения у вредоносной программы нескольких поведений, ей присваивается наиболее опасное из них. Если вредоносная программа обладает несколькими равнозначными поведениями (например, Trojan-Downloader и Trojan-Dropper), то для такой программы выбирается вышестоящее (объединяющее) поведение.

Примечание: правило объединения равнозначных поведений под именем вышестоящего действует только для троянских программ, вирусов и червей и не распространяется на вредоносные утилиты.

Если вредоносная программа содержит два или более функционала с равнозначным уровнем опасности, которые могут быть отнесены к Trojan-Ransom, Trojan-ArcBomb, Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, Trojan-Dropper, Trojan-IM, Trojan-Notifier, Trojan-Proxy, Trojan-SMS, Trojan-Spy, Trojan-Mailfinder, Trojan-GameThief, Trojan-PSW или Trojan-Banker, то такая вредоносная программа относится к типу Trojan.

 

Рис. 2

Если вредоносная программа содержит два или более функционала с равнозначным уровнем опасности, которые могут быть отнесены к IM-Worm, P2P-Worm или IRC-Worm, то такая вредоносная программа относится к типу Worm.