Зайцев Олег
21.01.2005, 14:23
Предлагаю подискутировать на тему - по каким критериям считать программу SpyWare программой??
Я пытался ввести критерии - см. http://virusinfo.info/index.php?board=31;action=display;threadid=222
Т.е. критерием SpyWare я считал следующее:
1. Программа скрытно устанавливается на компьютер пользователя. Смысл данного пункта состоит в том, что инсталлятор обычной программы должен уведомить пользователя о факте установки программы (с возможностью отказа от установки), предложить выбрать каталог для установки и конфигурацию. Кроме того, после установки инсталлятор должен создать пункт в списке "Установка и удаление программ", вызов которого выполнит процесс деинсталляции. Шпионское программное обеспечение обычно устанавливается экзотическим способом (часто с использованием троянских модулей категории TrojanDownloader или ActiveX компонентов в HTML страницах) скрытно от пользователя, при это его деинсталляция в большинстве случаев невозможна. Второй путь инсталляции - скрытная установка в комплекте с какой-либо популярной программой;
2. Программа скрытно загружается в память в процессе загрузки компьютера;
3. Программа выполняет некоторые операции без указания пользователя - например, принимает или передает какую-либо информацию из Интернет;
4. Программа загружает и устанавливает свои обновления, дополнения, модули расширения или иное ПО без ведома и согласия пользователя. Данное свойство присуще многим шпионским программам и чрезвычайно опасно, т.к. загрузка и установка происходит скрытно и часто ведет к нестабильной работе системы. Более того, механизмы автоматического обновления могут быть использованы злоумышленниками для передачи на ПК пользователя троянских модулей;
5. Программа модифицирует системные настройки или вмешивается в функционирование других программ без ведома пользователя. Например, шпионский модуль может изменить уровень безопасности в настройках браузера или внести изменения в настройки сети. Классическим примером является Spy.New.Net, который устанавливает на ПК пользователя модуль newdotnet2_92.dll и регистрирует его в реестре как сервис разрешения имен сети TCP/IP. Все эти операции, естественно, производятся без ведома и согласия пользователя;
6. Программа модифицирует информацию или информационные потоки. Типовым примером являются разные расширения для программы OutlookExpress, которые при отправке письма приписывают к нему свою информацию. Второй распространенный пример - модификация загружаемых из Интернет страниц (в страницы включается рекламная информация, некоторые слова или фразы превращаются в гиперссылки и т.п.)
При этом следует внести оговорку, что действия не являются троянскими - т.е. не производится передача паролей, номеров кредитных карт ... Критерии эти придуман мной, как говорится, "от фонаря" - поэтому вероятно имеет смысл сранить наши мнения по этому поводу.
Я пытался ввести критерии - см. http://virusinfo.info/index.php?board=31;action=display;threadid=222
Т.е. критерием SpyWare я считал следующее:
1. Программа скрытно устанавливается на компьютер пользователя. Смысл данного пункта состоит в том, что инсталлятор обычной программы должен уведомить пользователя о факте установки программы (с возможностью отказа от установки), предложить выбрать каталог для установки и конфигурацию. Кроме того, после установки инсталлятор должен создать пункт в списке "Установка и удаление программ", вызов которого выполнит процесс деинсталляции. Шпионское программное обеспечение обычно устанавливается экзотическим способом (часто с использованием троянских модулей категории TrojanDownloader или ActiveX компонентов в HTML страницах) скрытно от пользователя, при это его деинсталляция в большинстве случаев невозможна. Второй путь инсталляции - скрытная установка в комплекте с какой-либо популярной программой;
2. Программа скрытно загружается в память в процессе загрузки компьютера;
3. Программа выполняет некоторые операции без указания пользователя - например, принимает или передает какую-либо информацию из Интернет;
4. Программа загружает и устанавливает свои обновления, дополнения, модули расширения или иное ПО без ведома и согласия пользователя. Данное свойство присуще многим шпионским программам и чрезвычайно опасно, т.к. загрузка и установка происходит скрытно и часто ведет к нестабильной работе системы. Более того, механизмы автоматического обновления могут быть использованы злоумышленниками для передачи на ПК пользователя троянских модулей;
5. Программа модифицирует системные настройки или вмешивается в функционирование других программ без ведома пользователя. Например, шпионский модуль может изменить уровень безопасности в настройках браузера или внести изменения в настройки сети. Классическим примером является Spy.New.Net, который устанавливает на ПК пользователя модуль newdotnet2_92.dll и регистрирует его в реестре как сервис разрешения имен сети TCP/IP. Все эти операции, естественно, производятся без ведома и согласия пользователя;
6. Программа модифицирует информацию или информационные потоки. Типовым примером являются разные расширения для программы OutlookExpress, которые при отправке письма приписывают к нему свою информацию. Второй распространенный пример - модификация загружаемых из Интернет страниц (в страницы включается рекламная информация, некоторые слова или фразы превращаются в гиперссылки и т.п.)
При этом следует внести оговорку, что действия не являются троянскими - т.е. не производится передача паролей, номеров кредитных карт ... Критерии эти придуман мной, как говорится, "от фонаря" - поэтому вероятно имеет смысл сранить наши мнения по этому поводу.