1. Главная
  2. Книги
  3. Неизвестен
  4. Компьютерные советы
  5. Страница 82
Выбрать главу

Существуют три основные группы деструктивных действий, которые могут осуществляться программами-закладками:

— Копирование информации пользователя компьютерной системы (паролей, криптографических ключей, кодов доступа, конфиденциальных электронных документов), находящихся в оперативной или внешней памяти этой системы либо в памяти другой компьютерной системы, подключенной к ней через локальную или глобальную компьютерную сеть".

— Изменение алгоритмов функционирования системных, прикладных и служебных программ (например, внесение изменений в программу разграничения доступа может привести к тому, что она разрешит вход в систему всем без исключения пользователям вне зависимости от правильности введенного пароля).

— Навязывание определенных режимов работы (например, блокировка записи на диск при удалении информации, при этом информация, которую требуется удалить, не уничтожается и может быть впоследствии скопирована хакером).

К первой группе программ-закладок относится программное обеспечение, предназначенное для скрытого слежения за деятельностью пользователей персональных компьютеров. Оно получило в последнее время широкое распространение. Только на территории США по состоянию на 01.01.2001 г. из 140 миллионов компьютеризированных рабочих мест, 40 миллионов были подключены к сети Интернет. На 14 миллионах рабочих мест проводился систематический мониторинг использования Интернет, электронной почты и работы пользователя в целом. (Источник — Privacy Foundation. 2001)

Особую опасность представляют мониторинговые программные продукты, которые могут быть скрытно установлены без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца конкретного персонального компьютера.

Обычно модуль контроля нажатий клавиатуры (т. н. Keylogging или Keystroke Monitoring модуль) является основной частью любой системы обеспечения наблюдаемости персональных компьютеров. Именно данный модуль позволяет перехватить любую информацию, набираемую на клавиатуре пользователем персонального компьютера (любые пароли, тексты набираемых документов, информацию о кредитных карточках, электронную переписку, адреса посещаемых сайтов в Интернет и т. д.).

Например, имеется целый ряд весьма полезных утилит, которые широко применяются большинством пользователей (как частных, так и корпоративных), не ведающих о двойной жизни их любимого софта. Дело в том, что эти программы отличаются нездоровым интересом к содержимому компьютера, на котором они установлены. Этим грешат, например, некоторые версии таких популярных программ, как CuteFTP, GetRight, GolZilla, Net Sonic, Aureate, Cydoor, DoubleQick, EverAd, OnFlow и WebSOOO и многие другие. Они очень часто содержат шпионские модули (spyware). Чаще всего шпионские модули попадают на ваш компьютер через программы типа adware, поэтому их еще называют spyware рекламного типа.

Существуют различные способы защиты от данного типа шпионского ПО. Понятно, что самый простой способ — вообще не подключаться к Интернету. Но это крайняя мера. Можно также установить на компьютере программу — firewall, и спать относительно спокойно (при условии, что сам firewall не содержит программ-закладок, что утверждать не возьмется никто). Однако такой подход не позволяет детектировать существование самих шпионских программ в вашей системе. Проблематично также, что он защитит вас от вредоносной работы уже проникших в вашу систему и хорошо замаскировавшихся шпионских модулей. Именно для того чтобы обнаружить непрошенных гостей на вашем компьютере на ранней стадии их развития и, естественно, оградить себя от их работы, предназначены специальные программы.

Для обнаружения и удаления мониторинговых программных продуктов, которые могут быть установлены без ведома пользователя ПК, в настоящее время используются программы различных типов, обеспечивающие эффективную защиту исключительно только против ИЗВЕСТНЫХ мониторинговых программ с помощью сигнатурного анализа.

Рассмотрим некоторые из них.

Lavasoft Ad-Aware 5.83

Создана шведской фирмой Lavasoft. На момент написания статьи была доступна по адресу http://www.lavasoft.nu/downloads.html

Рис. 1. Программа Ad-aware 5.83

Программа может обнаружить около 230 шпионских программ на основе собственной базы данных. Поиск производится в разных областях системы: в реестре, в памяти, на дисках.

Рис. 2. Процесс сканирования

Что касается эвристических способностей, то программа действительно способна искать «шпионов», отсутствующих в ее базе данных. Она анализирует работу оперативной памяти и отыскивает те программы (процессы), к которым система не должна была достаточно долго обращаться, учитывая характер текущей деятельности. Если такие процессы не запускались, но проявляют, тем не менее, избыточную активность, Ad-Aware предупреждает пользователя. Таким образом, удается обнаружить паразитические программы (трояны, вирусы, шпионские модули и т. п.).

~ 82 ~