Вы используете устаревший браузер!

Страница может отображаться некорректно.

СпецНаз (специальные названия)

СпецНаз (специальные названия)

Другие выпуски этой рубрики (56)
  • добавить в избранное
    Добавить в закладки

О неочевидных признаках вредоносности

Прочитали: 5434 Комментариев: 76 Рейтинг: 295

7 марта 2017

Правильно ли я понимаю, что любой троянец – это вредоносная программа в любом случае, без права на оправдание? Спрашиваю, потому что когда-то давно скачал с одного трекера программку, она платная и, как понимаю, «крякнутая». Сам же пользуюсь бесплатной версией с оф. сайта, другую же скачал на всякий случай, если будут проблемы с бесплатной версией. Скачанной с трекера программой не пользовался, тем более что антивирус при проверке находил здесь вирус троян. Так что пользоваться ею было как-то стремно, тем более что программа для удаленного доступа.

Вопрос читателя проекта «Антивирусная правДА!»

Программы бывают разные и могут одновременно относиться к вредоносным, но в то же время применяться и с пользой. Сегодня поговорим о них подробнее.

Но сначала немного разберемся в терминологии. Дело в том, что классификация вредоносного ПО достаточно условна. Многие его представители могут относиться сразу к нескольким классам и типам, менять функционал на лету. Для примера рассмотрим два основных типа вредоносного ПО – вирусы и троянцы. Вирусы сами по себе сложнее, чем троянцы: они имеют функцию саморазмножения, могут существовать в виде файла, но ориентироваться в их поиске на файлы в вашей системе нельзя. Вирусы внедряют свой код в ранее «чистые» файлы, изменяя их. Поэтому для выявления вирусов используется контроль за изменением файлов в системе (при этом контролировать только длину файла нельзя, вирус вполне может заразить файл и без изменения длины), поиск в файле с помощью характерных кусков кода или, если вирус не имеет таких кусков, поиск с помощью специальных процедур, ориентированных на поиск характерных изменений или действий.

В отличие от вируса, троянец не имеет функции саморазмножения. Это почти всегда файл. Троянец всегда распространяется с посторонней помощью: это может быть пользователь, нажавший на ссылку; программа-загрузчик, ранее проникшая на компьютер; специально написанный сайт, организующий загрузку и запуск файлов на стороне пользователя, и т. д.

Отсюда, кстати, следует интересный вывод: в отличие от ситуации с вирусами, уровень защиты от троянцев зависит от самих пользователей. От вирусов защищает отсутствие уязвимостей на компьютере и корректность его настроек, при защите от троянцев не менее важна внимательность – нельзя нажимать на все ссылки подряд.

Вышесказанное, конечно, является некоторым упрощением: существуют еще бестелесные вирусы и троянцы, вредоносное ПО, сочетающее признаки обоих типов, и т. д.

Но это не мешает нам сделать вывод: вирусы и троянцы – это тип распространения и не более того. Никакого описания вредоносных действий эти термины не содержат.

А вот шифровальщики, блокировщики, банковские троянцы, СМС-рассыльщики, загрузчики и т. д. – это уже виды вирусов и троянцев. Зачастую определенное действие начинает ассоциироваться с типом вредоносного ПО, и начинается путаница. Шифровальщики, как и банковские троянцы, по типу распространения в большинстве своем являются троянскими программами. И мы, говоря «шифровальщик», начинаем подразумевать «троянец». Однако правильнее называть эти программы «троянец-шифровальщик», «троянец-загрузчик».

Кстати, официальные названия вредоносных программ описывают и тип их распространения, и основной функционал. Например, Trojan.Encoder.858: тип распространения – троянец, функция – шифровальщик, модификация – 858.

К чему такие сложности? Почему разделяют тип распространения и функционал? Дело в том, что сам по себе функционал еще не говорит о вредоносности программы. Скажем, функция шифрования файлов вполне может использоваться для сокрытия ценной информации, возможность блокирования экрана – для работы удаленного администратора, сбор информации о нажатиях клавиатуры – для записи действий сотрудников техподдержки на случай предъявления претензий.

Программа получает статус вредоносной при наличии ряда признаков. В первую очередь это исключительно скрытная установка. Программа скрывает свои возможности в ходе установки, устанавливается тайно и т. д. Во-вторых, такая программа имеет функционал, направленный во вред пользователю, и этот функционал не описан в перечне возможностей программы.

Естественно, шифровальщики, блокировщики экрана, банковские троянцы и т. д. – вредоносные программы. Но атаковать пользователя можно и при помощи вполне легальных программ. Подбор пароля путем перебора, установка системы удаленного управления через уязвимость – и преступник получает полный доступ к компьютеру, не прибегая ни к каким троянцам.

Вот почему ряд программ относится к категории Riskware.

Riskware — вполне легальные программы, зачастую имеющие свои официальные сайты и документацию, но с их помощью злоумышленники могут причинить вред. К Riskware могут быть отнесены программы удаленного администрирования, утилиты взлома паролей, мессенджеры, работающие по протоколу IRC, программы для загрузки и отправки файлов, утилиты контроля за активностью на компьютере.

Антивирус отслеживает установку таких программ и сообщает об этом пользователю. По умолчанию установка программ данной категории антивирусом не запрещена, но если пользователь уверен, что они ему нужны не будут, он может настроить антивирус так, что они будут считаться вредоносными.

#вредоносное_ПО #троянец #настройки_Dr.Web #терминология

Антивирусная правДА! рекомендует

Современные антивирусы в настройках действий объединяют все однозначно вредоносные программы в группу инфицированных вне зависимости от способа распространения, а о необходимости наличия остальных программ предоставляют пользователю возможность решать самому.

#drweb

При этом для всех программ двойного назначения антивирус предлагает три действия:

#drweb

Для однозначно вредоносных программ действий больше:

#drweb

Действие «Перемещать в карантин» является рекомендуемым, так как наличие тела вредоносной программы позволяет не только проанализировать инцидент на компьютере пользователя, но и в случае необходимости создать утилиту расшифровки.

Для настройки действий по отношению к вредоносным программам кликните по значку #drweb в системном меню, затем в открывшемся меню последовательно нажмите на #drweb (Режим администратора) и появившийся значок #drweb (Настройки). В открывшемся окне Настройки выберите пункт Компоненты защиты и далее интересующий вас компонент.

К сожалению, подделка программ и их взлом – дело широко распространенное. Компания «Доктор Веб» напоминает, что, скачав какое-либо ПО не с официального сайта, вы вполне можете загрузить себе не Riskware, а настоящего троянца или вирус. Внимательно читайте сообщения Антивируса Dr.Web!

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: