PDA

Просмотр полной версии : Критерии классификации программы как SpyWare



Зайцев Олег
21.01.2005, 14:23
Предлагаю подискутировать на тему - по каким критериям считать программу SpyWare программой??
Я пытался ввести критерии - см. http://virusinfo.info/index.php?board=31;action=display;threadid=222
Т.е. критерием SpyWare я считал следующее:
1. Программа скрытно устанавливается на компьютер пользователя. Смысл данного пункта состоит в том, что инсталлятор обычной программы должен уведомить пользователя о факте установки программы (с возможностью отказа от установки), предложить выбрать каталог для установки и конфигурацию. Кроме того, после установки инсталлятор должен создать пункт в списке "Установка и удаление программ", вызов которого выполнит процесс деинсталляции. Шпионское программное обеспечение обычно устанавливается экзотическим способом (часто с использованием троянских модулей категории TrojanDownloader или ActiveX компонентов в HTML страницах) скрытно от пользователя, при это его деинсталляция в большинстве случаев невозможна. Второй путь инсталляции - скрытная установка в комплекте с какой-либо популярной программой;
2. Программа скрытно загружается в память в процессе загрузки компьютера;
3. Программа выполняет некоторые операции без указания пользователя - например, принимает или передает какую-либо информацию из Интернет;
4. Программа загружает и устанавливает свои обновления, дополнения, модули расширения или иное ПО без ведома и согласия пользователя. Данное свойство присуще многим шпионским программам и чрезвычайно опасно, т.к. загрузка и установка происходит скрытно и часто ведет к нестабильной работе системы. Более того, механизмы автоматического обновления могут быть использованы злоумышленниками для передачи на ПК пользователя троянских модулей;
5. Программа модифицирует системные настройки или вмешивается в функционирование других программ без ведома пользователя. Например, шпионский модуль может изменить уровень безопасности в настройках браузера или внести изменения в настройки сети. Классическим примером является Spy.New.Net, который устанавливает на ПК пользователя модуль newdotnet2_92.dll и регистрирует его в реестре как сервис разрешения имен сети TCP/IP. Все эти операции, естественно, производятся без ведома и согласия пользователя;
6. Программа модифицирует информацию или информационные потоки. Типовым примером являются разные расширения для программы OutlookExpress, которые при отправке письма приписывают к нему свою информацию. Второй распространенный пример - модификация загружаемых из Интернет страниц (в страницы включается рекламная информация, некоторые слова или фразы превращаются в гиперссылки и т.п.)

При этом следует внести оговорку, что действия не являются троянскими - т.е. не производится передача паролей, номеров кредитных карт ... Критерии эти придуман мной, как говорится, "от фонаря" - поэтому вероятно имеет смысл сранить наши мнения по этому поводу.

drongo
21.01.2005, 20:07
Ещё есть такой момент . Если программа , явно шпионской направленности перед установкой предлагает прочитать "соглашение" - будет ли она класифицироваться шпионской ? Ведь почти никто эти соглашения не читает . Да и сам текст может быть составлен весьма туманно ;D

Зайцев Олег
21.01.2005, 23:36
Ещё есть такой момент . Если программа , явно шпионской направленности перед установкой предлагает прочитать "соглашение" - будет ли она класифицироваться шпионской ? Ведь почти никто эти соглашения не читает . Да и сам текст может быть составлен весьма туманно ;D

Тут действительно скользкий момент. Но с другой стороны - оценивается же вред программы для системы... я как вирусолог, получивший подозрительный файл, могу и не знать о том, что при инсталляции что-то там показывалось.
Кстати, аналогично можно сказать про деинсталлятор - откуда пользователь узнает, какой из 20-30 элементов "Установки и удаления программ" соответствует невидимому процесу в памяти ? :) А это часто служит критерием, типа того, что "у программы есть деинсталлятор, поэтому ее нельзя считать SpyWare"

Xen
22.01.2005, 08:04
На самом деле критерий тут один - исходим из определения - наличие у программы недокументированных или заведомо нечетко документированных (либо документированных в труднодоступной для пользователя форме) функций по сбору и передаче информации о работе пользователя на компьютере с целью ее продажи, использования в маркетинговых исследованиях и т.д.

Есть там анинсталл или нет, оформлена программа как самостоятельная, или же как плагин к другому софту - это все детали реализации.