Повесть о разведчиках Зайцев Олег (z-oleg.com/secur) Спецвыпуск: Хакер, номер #060, стр. 060-054-1 Классификация и принципы работы компьютерных шпионов В последние пару лет от AdWare, SpyWare, Dialer и аналогичных программ, мягко говоря, не стало житья. Если обстановка не изменится, по своим масштабам эта проблема приблизится к проблеме спама. Врага нужно знать в лицо, поэтому в этой статье поговорим о наиболее распространенных программах. AdWare и SpyWare AdWare - это программы, воспроизводящие рекламу. В лучшем случае - программы, которые воспроизводят рекламу в качестве платы за свое использование. Примеров AdWare множество, возьмем хотя бы FlashGet. Его незарегистрированная версия отображает в верхней части окна баннер. В таких программах реклама отображается только в рамках окна программы и только во время ее работы. Приложения этого класса не наносят много ущерба, и, кроме расхода трафика, они ничем не навредят. Следующим вариантом AdWare является внешний модуль, который вызывается приложениями для отображения рекламы. Цели и задачи аналогичны - взимать неявную плату за использование программы. Классический пример – весьма популярный AdWare.Cydoor. Его главная библиотека именуется CD_CLINT.DLL и размещается в system32. Наконец, AdWare-программы третьего и самого обширного класса скрытно прописываются на компьютере и крутят рекламу. Естественно, создатель такой программы получает на рекламе неплохую копеечку, а пользователь - сильную головную боль. SpyWare - это шпионская программа. Ее главная цель - собирать данные о пользователе и передавать их своему создателю. Разница между AdWare и SpyWare (а часто и между Spyware и трояном) весьма условна. Многие производители AV-продуктов не заморачиваются и не выделяют отдельный класс Spyware. Например, в классификации "Лаборатории Касперского" есть лишь AdWare и трояны. SpyWare отличаются от троянов тем, что собираемая ими информация не является критической, то есть SpyWare-программы не передают пароли или номера кредитных карт - это "привилегия" троянов. Главной задачей SpyWare является повышение эффективности маркетинга: собирая данные о пользователе, можно подобрать контекстную рекламу для него или набрать статистику для решения разных маркетинговых задач. Поговорим подробнее о типовом SpyWare на примере 180Solutions. Его инсталлятор запускается в скрытном виде (без видимых для пользователя окон, хотя процесс не маскируется) и начинает "тайный" обмен с ads.180solutions.com (64.94.137.51) и ping.180solutions.com 64.94.137.57. Повисев некоторое время в памяти, процесс наглеет, и фиксируется массированная закачка информации из интернета, которая идет с 209.164.32.205, 216.74.27.26, 64.94.137.62. Анализ пакетов показал, что закачиваются исполняемые файлы. Исследование системы после завершения загрузки показывает, что в ключе Run появился еще один параметр с именем elqb, предназначенный для запуска elqb.exe, появившегося в папке Windows. После перезагрузки зараженного ПК он выясняет адрес config.180solutions.com через DNS и начинает обмен с ним (причем напрямую, настройки прокси в IE он игнорирует). Обмен происходит интереснее: по методу POST на сервер передается блок данных приличного размера, содержащий, в частности, параметр с именем "MT", содержащий уникальный номер, присвоенный пораженному компьютеру. Кроме того, шпион передает версию операционки, имя исполняемого файла прописанного по умолчанию браузера и его версию. Ответ на этот запрос еще интереснее, и он представляет собой скрипт, управляющий шпионом. В скрипте описывается, откуда следует качать новые версии (URL, размеры файлов и их цифровые подписи); длинные списки доменов, для которых не нужно "шпионить"; также информация о том, куда нужно внедрять перехватчик: |