О неочевидных признаках вредоносности
7 марта 2017
Правильно ли я понимаю, что любой троянец – это вредоносная программа в любом случае, без права на оправдание? Спрашиваю, потому что когда-то давно скачал с одного трекера программку, она платная и, как понимаю, «крякнутая». Сам же пользуюсь бесплатной версией с оф. сайта, другую же скачал на всякий случай, если будут проблемы с бесплатной версией. Скачанной с трекера программой не пользовался, тем более что антивирус при проверке находил здесь вирус троян. Так что пользоваться ею было как-то стремно, тем более что программа для удаленного доступа.
Вопрос читателя проекта «Антивирусная правДА!»
Программы бывают разные и могут одновременно относиться к вредоносным, но в то же время применяться и с пользой. Сегодня поговорим о них подробнее.
Но сначала немного разберемся в терминологии. Дело в том, что классификация вредоносного ПО достаточно условна. Многие его представители могут относиться сразу к нескольким классам и типам, менять функционал на лету. Для примера рассмотрим два основных типа вредоносного ПО – вирусы и троянцы. Вирусы сами по себе сложнее, чем троянцы: они имеют функцию саморазмножения, могут существовать в виде файла, но ориентироваться в их поиске на файлы в вашей системе нельзя. Вирусы внедряют свой код в ранее «чистые» файлы, изменяя их. Поэтому для выявления вирусов используется контроль за изменением файлов в системе (при этом контролировать только длину файла нельзя, вирус вполне может заразить файл и без изменения длины), поиск в файле с помощью характерных кусков кода или, если вирус не имеет таких кусков, поиск с помощью специальных процедур, ориентированных на поиск характерных изменений или действий.
В отличие от вируса, троянец не имеет функции саморазмножения. Это почти всегда файл. Троянец всегда распространяется с посторонней помощью: это может быть пользователь, нажавший на ссылку; программа-загрузчик, ранее проникшая на компьютер; специально написанный сайт, организующий загрузку и запуск файлов на стороне пользователя, и т. д.
Отсюда, кстати, следует интересный вывод: в отличие от ситуации с вирусами, уровень защиты от троянцев зависит от самих пользователей. От вирусов защищает отсутствие уязвимостей на компьютере и корректность его настроек, при защите от троянцев не менее важна внимательность – нельзя нажимать на все ссылки подряд.
Вышесказанное, конечно, является некоторым упрощением: существуют еще бестелесные вирусы и троянцы, вредоносное ПО, сочетающее признаки обоих типов, и т. д.
Но это не мешает нам сделать вывод: вирусы и троянцы – это тип распространения и не более того. Никакого описания вредоносных действий эти термины не содержат.
А вот шифровальщики, блокировщики, банковские троянцы, СМС-рассыльщики, загрузчики и т. д. – это уже виды вирусов и троянцев. Зачастую определенное действие начинает ассоциироваться с типом вредоносного ПО, и начинается путаница. Шифровальщики, как и банковские троянцы, по типу распространения в большинстве своем являются троянскими программами. И мы, говоря «шифровальщик», начинаем подразумевать «троянец». Однако правильнее называть эти программы «троянец-шифровальщик», «троянец-загрузчик».
Кстати, официальные названия вредоносных программ описывают и тип их распространения, и основной функционал. Например, Trojan.Encoder.858: тип распространения – троянец, функция – шифровальщик, модификация – 858.
К чему такие сложности? Почему разделяют тип распространения и функционал? Дело в том, что сам по себе функционал еще не говорит о вредоносности программы. Скажем, функция шифрования файлов вполне может использоваться для сокрытия ценной информации, возможность блокирования экрана – для работы удаленного администратора, сбор информации о нажатиях клавиатуры – для записи действий сотрудников техподдержки на случай предъявления претензий.
Программа получает статус вредоносной при наличии ряда признаков. В первую очередь это исключительно скрытная установка. Программа скрывает свои возможности в ходе установки, устанавливается тайно и т. д. Во-вторых, такая программа имеет функционал, направленный во вред пользователю, и этот функционал не описан в перечне возможностей программы.
Естественно, шифровальщики, блокировщики экрана, банковские троянцы и т. д. – вредоносные программы. Но атаковать пользователя можно и при помощи вполне легальных программ. Подбор пароля путем перебора, установка системы удаленного управления через уязвимость – и преступник получает полный доступ к компьютеру, не прибегая ни к каким троянцам.
Вот почему ряд программ относится к категории Riskware.
Riskware — вполне легальные программы, зачастую имеющие свои официальные сайты и документацию, но с их помощью злоумышленники могут причинить вред. К Riskware могут быть отнесены программы удаленного администрирования, утилиты взлома паролей, мессенджеры, работающие по протоколу IRC, программы для загрузки и отправки файлов, утилиты контроля за активностью на компьютере.
Антивирус отслеживает установку таких программ и сообщает об этом пользователю. По умолчанию установка программ данной категории антивирусом не запрещена, но если пользователь уверен, что они ему нужны не будут, он может настроить антивирус так, что они будут считаться вредоносными.
#вредоносное_ПО #троянец #настройки_Dr.Web #терминологияАнтивирусная правДА! рекомендует
Современные антивирусы в настройках действий объединяют все однозначно вредоносные программы в группу инфицированных вне зависимости от способа распространения, а о необходимости наличия остальных программ предоставляют пользователю возможность решать самому.
При этом для всех программ двойного назначения антивирус предлагает три действия:
Для однозначно вредоносных программ действий больше:
Действие «Перемещать в карантин» является рекомендуемым, так как наличие тела вредоносной программы позволяет не только проанализировать инцидент на компьютере пользователя, но и в случае необходимости создать утилиту расшифровки.
Для настройки действий по отношению к вредоносным программам кликните по значку в системном меню, затем в открывшемся меню последовательно нажмите на (Режим администратора) и появившийся значок (Настройки). В открывшемся окне Настройки выберите пункт Компоненты защиты и далее интересующий вас компонент.
К сожалению, подделка программ и их взлом – дело широко распространенное. Компания «Доктор Веб» напоминает, что, скачав какое-либо ПО не с официального сайта, вы вполне можете загрузить себе не Riskware, а настоящего троянца или вирус. Внимательно читайте сообщения Антивируса Dr.Web!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
16:40:44 2018-08-03
Toma
12:41:03 2018-07-31
vasvet
09:09:22 2018-04-04
alex-diesel
18:56:56 2018-04-03
Littlefish
00:17:30 2017-11-04
В выпуске Майнеры: и все же без антивируса никак! (426-й) рекомендовано настраивать Dr.Web так, чтобы он мог блокировать хакерские утилиты - перемещать в карантин или удалять.
duduka
15:02:38 2017-06-10
Natalya_2017
15:15:01 2017-03-30
Роза
17:58:02 2017-03-16
levkovichdo
20:47:50 2017-03-13
chicer
09:52:25 2017-03-11
Дмитpий
01:47:00 2017-03-08
Неуёмный Обыватель
01:19:07 2017-03-08
razgen
01:13:20 2017-03-08
Неуёмный Обыватель
01:02:33 2017-03-08
razgen
00:55:35 2017-03-08
Поздравляю женщин коллектива компании "Доктор Веб", а также всех женщин коллег участниц проекта «Антивирусная правДА!» с Днем 8 марта. Здоровья вам цветущего и красоты не увядающей!
solec
23:53:48 2017-03-07
razgen
23:50:32 2017-03-07
Б...а
23:45:22 2017-03-07
iAFC
22:36:41 2017-03-07
aleks_ku
22:17:40 2017-03-07
vla_va
22:02:40 2017-03-07
В...а
21:50:46 2017-03-07
Р...й
21:43:20 2017-03-07
НинаК
21:32:35 2017-03-07
ek
21:25:34 2017-03-07
kva-kva
21:15:27 2017-03-07
user
21:11:37 2017-03-07
Marsn77
21:07:24 2017-03-07
krasserr
21:00:36 2017-03-07
Геральт
20:54:10 2017-03-07
mariana
20:49:52 2017-03-07
Dvakota
20:46:37 2017-03-07
orw_mikle
20:12:47 2017-03-07
Min
19:33:17 2017-03-07
iiwanc
19:14:05 2017-03-07
Сергей
17:50:25 2017-03-07
Любитель пляжного футбола
16:49:35 2017-03-07
eaglebuk
16:30:31 2017-03-07
Шалтай Александр Болтай
16:22:23 2017-03-07
Пусть сегодня ваша душа до краев наполнится светом, теплом и радостью от искренних пожеланий, нежных цветов, приятных подарков! Пусть ласточки вьют гнезда над вашими окнами и несут в дом благополучие и взаимопонимание, а первые лучи весеннего солнца укажут на счастливую тропинку вашей судьбе!
djabax
15:47:01 2017-03-07
Любитель пляжного футбола
15:46:43 2017-03-07
Забавно было видеть свой вопрос в качестве эпиграфа к статье. :)) Немного о предыстории вопроса: скачал я взломанную платную программу, потому что слышал, что в бесплатной версии (речь идёт о Teamviewer) сеанс удалённой связи искусственно прерывается. Но, к счастью, с такой проблемой не столкнулся, и надобность в платной версии сама собой отпала.
Насколько я помню, проверка антивирусом DrWeb показывала, что в дистрибутиве присутствовал троян Startpage (дальше не помню, вроде, цифры были). Пользователи, скачавшие программу с торрент-трекера, не жаловались – всё ж на трекерах не принято удалять отрицательные отзывы – и, как я понимаю, те, кто взламывают программы, заменяют в них файлы, отвечающие за проверку лицензионного ключа, на другие. Этим другим и мог оказаться тот самый троянский файл. Но пользоваться программой с имеющимся в ней троянцем, каким бы он ни был, не очень-то и хотелось, так что дистрибутив я удалил.
На то оно и riskware, хочешь, пользуйся на свой страх и риск. :)
"Вот уж действительно всё относительно, всё-всё, всё..."
Stalkerson
15:17:18 2017-03-07
AntonIT
14:54:58 2017-03-07
kozinka.ru
14:24:18 2017-03-07
forrus
13:46:32 2017-03-07
Неуёмный Обыватель
13:28:45 2017-03-07
Вячeслaв
13:06:54 2017-03-07
Неуёмный Обыватель
13:00:02 2017-03-07
@tigra, я на месте ;) Совершал путешествие в царство Гипноса с заездом в княжество Морфея.
sania2186
12:43:51 2017-03-07
ada
12:40:56 2017-03-07