Фрегат-Форум  
Старый 20.01.2007, 23:14   #1
Efendy
Местный
 
Аватар для Efendy
 
Регистрация: 01.09.2003
Сообщений: 2,069
По умолчанию

Почему ваши почтовые ящики большей частью заполнены мусором в виде спама? Ответ несколько неожидан:

в этом виноваты некоторые из вас, а некотороые особенно виноваты в мусоре почтовых ящиков многих тысяч других людей

Так вот. Есть люди, которые делают спам. Это их гнилое дело зарабатывать деньги на создании проблем огромному количеству населения. Осуждать их не буду - итак понятно кто они.

А вот теперь коснемся некоторых из вас. Так вот спам в подавляющем случае распространяют обычные пользователи интернета. Да да, вы. Ваши зомбированные компьютеры поносят интернет громадным количеством рекламмных писем только потому, что вы не знаете/вам не интересно знать/вам все равно, что на вашем компе вредоносные программы/вирусы/трояны, которые усердно трудятся на благо замусоривания всего земного шара. Компы некоторых из вас отправляют ЕЖЕСЕКУНДНО несколько писем спама! Задумайтесь об этом когда нажимаете кнопку del удаляя мусор из своего почтового ящика.

Так что пожалуйста не надо морозиться когда я отправляю сообщения, что комп заражен и т.д. Не надо отвечать "я проверил, вирусов нет". Если вы не нашли вирусы - это не значит, что их нет.

Я надеюсь вы сделаете правильные выводы
__________________
Разработчик биллинговой системы NoDeny . Этой системой будут пользоваться все провайдеры
Efendy вне форума   Ответить с цитированием
Старый 20.01.2007, 23:22   #2
DooM
Местный
 
Аватар для DooM
 
Регистрация: 15.10.2006
Адрес: Клочко 6
Сообщений: 944
Отправить сообщение для DooM с помощью ICQ Отправить сообщение для DooM с помощью AIM Отправить сообщение для DooM с помощью MSN Отправить сообщение для DooM с помощью Yahoo
По умолчанию

Что предлагаете делать?Вирусов то невидно,может вообще винду переустановить?И это всё отпраляется с моего компа в течении нескольких секунд? нечего себе, может поэтому комп стал тормозить сильнее?Возможно вирусы попадают мне на компьютер изо отсутствия Фаервола?


Да надо этим занятся щас сканирую комп на вирусы ещё раз, установлю Фаэрвол, если не поможет то переставлю винду это должно помочь 100%!
__________________
I can't, stand here and watch her dance
She got me comin' outta my pants
And i dont wanna miss my chance, to jump on her
If i could, get her outta here i would
I never seen a girl move that good
And there's something tellin' me i should
Get Low!
http://photo.l2.dp.ua/albums/userpic.../gunitbig1.gif
http://photo.l2.dp.ua/albums/userpics/10628/gunit1.gif
+++Э++В++М+++
C2D E4400 2.0Ghz@3.0Ghz\Asus P5B\Evga 8600GTS superclocked 675|2000@740|2200\2*1024Gb DDR2-800\Seagate baracuda 250Gb 16m\550watt FSP...

Все кто против Задротства и зарегистрирован Вконтакте вам сюда http://vkontakte.ru/club2799958
DooM вне форума   Ответить с цитированием
Старый 20.01.2007, 23:26   #3
Efendy
Местный
 
Аватар для Efendy
 
Регистрация: 01.09.2003
Сообщений: 2,069
По умолчанию

Во-первых нужно повышать образованность в уомпьютерной сфере. Никто программировать вас не заставляет. Просто интересуйтесь у друзей как они настраивают свой комп, как защищают,какие программы ставят и т.д

Во-вторых если комп заражен вирусами, то они могут блокировать работу антивируса. Поэтому сканировтаь надо в безопасном режиме

В-третьих нет совершенных антивирусов, некоторые вирусы некоторые антивирусы могут "пропускать"

В-четвертых необходимо всегда иметь самые свежие антивирусные базы

В-пятых фаервол очень помогает, главное правильно его настроить!
__________________
Разработчик биллинговой системы NoDeny . Этой системой будут пользоваться все провайдеры
Efendy вне форума   Ответить с цитированием
Старый 20.01.2007, 23:55   #4
Lyoshka
Местный
 
Аватар для Lyoshka
 
Регистрация: 04.07.2006
Адрес: Рабочая
Сообщений: 259
Отправить сообщение для Lyoshka с помощью ICQ
По умолчанию

Efendy
Если будут малейшие намеки на то, что мой "дроволет" заражен, огромная просьба дать мне знать как можно скорей, уж я не успокоюсь, пока не перебью всю дрянь, которая в нем завелась без моего ведома!
__________________
Любовь вечна...
Меняются только партнеры!

Чем больше я узнаю людей, тем больше я люблю животных. (С)перто
Lyoshka вне форума   Ответить с цитированием
Старый 20.01.2007, 23:59   #5
граф
Местный
 
Аватар для граф
 
Регистрация: 14.10.2006
Адрес: L3
Сообщений: 455
Отправить сообщение для граф с помощью ICQ
По умолчанию

Efendy
да и мне если можна сразу такую инфу дать
__________________
http://91.121.71.200/gifs/4110.gif
icq 368428691
граф вне форума   Ответить с цитированием
Старый 21.01.2007, 00:06   #6
Efendy
Местный
 
Аватар для Efendy
 
Регистрация: 01.09.2003
Сообщений: 2,069
По умолчанию

Ну я не все время сижу перед компом мониторя состояние. На сегодня было 3 спамовых атаки. Если комп ведет себя очень агрессивно - много потоков трафика, то блокировка идет автоматически. Если атака направленная, то тут только если я замечу. Да и вообще, среднестатистически соотношение входящего трафика к исходящему должно быть менее 1 к 8, даже 1 к 12. Это если комп не сервер и вы не отсылаете кучу тяжелых файлов. Если соотношение меньше 1/4 я бы на вашем месте задумался. У некоторых оно бывает 10 к 1 ....
__________________
Разработчик биллинговой системы NoDeny . Этой системой будут пользоваться все провайдеры
Efendy вне форума   Ответить с цитированием
Старый 21.01.2007, 01:06   #7
strateg
Модератор
 
Аватар для strateg
 
Регистрация: 25.08.2006
Адрес: Днепропетровск
Сообщений: 557
По умолчанию

Как работает сеть и что такое межсетевой экран (firewall)
« от: 19/01/2005, 20:44:49 »
--------------------------------------------------------------------------------
Перед тем как объяснять что такое firewall я хочу в самых общих чертах обяснить принцип работы сетей (Интернет - тоже сеть). Что бы было проще понять, я проведу аналогию между виртуальным "миром" сети и обычным миром.
Итак, компьютеры, объединённые в сеть, обмениваются информацией. Информация эта пересылается в виде пакетов. Представьте себе что каждый компьютер - это дом. Представьте себе, что пакеты - это маленькие человечки, которые бегают от дома к дому, передавая нужную информацию. В дальнейшем этих человечков так и будем называть - пакеты.
Как и у домов, у каждого компьютера в сети есть адрес. Адрес представляет собой строку, состоящую из 4 групп чисел от 0 до 255, разделённых точками. К примеру, 212.20.123.15
Что бы входить в дом и выходить из него, используются двери. У компьютера роль дверей играют порты. Т.е. каждый порт можно представить как дверь, через которую входят и выходят пакеты. У каждого порта есть номер. Номер может быть от 0 до 65535.

Итак, чем же занимается firewall? Firewall контролирует двери (порты) и перемещение пакетов через эти двери.

У каждой двери есть 3 состояния: открыта, закрыта и невидима. Стоит заметить, что, в отличие от настоящего мира, где виден весь дом, в виртуальном мире сети "видны" только "двери" "дома", т.е. порты компьютера, подключенного к сети.

Несколько слов о том, как происходит обмен информацией.
Вот Вы подключились к Интернету. В этот момент Ваш компьютер получил адрес. Этот адрес неизвестен никому, кроме Вашего провайдера. Для того что бы начать обмен информацией, Ваш компьютер должен послать запрос другому компьютеру (адрес которого должен быть известен), и сообщить ему свой адрес. Только после этого может начаться обмен информацией. К примеру, чтобы зайти на какую-то страницу в Интернете, вы набираете её адрес. Адрес этот не такой, как я описал вначале, и это сделано исключительно для удобства. Когда Вы закончите набирать адрес страницы, браузер переведёт его в сетевой адрес сервера, на котором находится эта страница, обратится по этому адресу, передаст адрес Вашего компьютера, и только тогда сервер сможет отправить Вам содержимое нужной страницы.

У firewall-а есть 2 основные цели. Защита от проникновения на компьютер снаружи (взлом) и защита от несанкционированной передачи данных с компьютера наружу (к примеру, предотвращение кражи паролей, номеров кредиток и т.д. троянскими программами).

Итак, что нужно для атаки на Ваш компьютер? Как минимум нужно знать его адрес. Конечно, для работы в Интернете Вы регулярно сообщаете свой адрес другим компьютерам. Однако, если Вы всегда обращаетесь только к надёжным ресурсам, хозяева которых не будут взламывать Ваш компьютер, то как желающий взломать его может узнать его адрес? Есть специальные программы, перебирающие сетевые адреса и проверяющие, есть ли по этому адресу компьютер. И тут в игру вступает firewall.

1. Защита от проникновения на компютер снаружи
Операционная система (к примеру Windows) по умолчанию держит часть портов открытыми. Открытый порт компьютера так же опасен, как и открытая дверь дома. Любой желающий может зайти и напакостить. Через открытые порты так же распространяются сетевые черви типа Sasser. Понятно, что все двери желательно закрыть. В отличие от реальной жизни, в сети порты можно не только закрыть, но и сделать невидимыми. Компьютер, у которого все порты невидимы - невидим в сети, и это лучший из возможных вариантов. Если Вас никто не видит, то никто и не будет атаковать. Т.е. одна из задач firewall - обеспечение невидимости компьютера в сети.
Однако, даже если все порты невидимы, хакер может получить адрес Вашего компьютера. К примеру, когда Вы общаетесь с кем-то по ICQ, этот человек получает адрес Вашего компьютера. Если адрес вашего компьютера всё же стал известен хакеру, то за этим последует попытка его взломать. Если на Вашем компьютере есть открытые порты, то велика вероятность того, что попытка увенчается успехом. Еще одна задача firewall - держать порты закрытыми для предотвращения взлома, а также проникновения на компьютер сетевых червей.

2. Защита от утечки информации с компьютера. В последнее время большое распространение получили троянские программы. При попадении такой программы на компьютер она может либо красть пароли и другую важную информацию, либо давать возможность управления компьютером удалённо. Человек, который посадил Вам троян, может видеть то что Вы видите на экране, знать, что Вы набираете на клавиатуре и т.д. Т.е. может делать на Вашем компьютере всё, что угодно. Правильно настроенный firewall разрешает работу с сетью только для некоторых, заведомо чистых программ (веб браузер, почтовый клиент...). Если на Вашем компьютере будет запущена неизвестная программа, в зависимости от настроек firewall может либо запретить ей доступ в сеть, либо выдать окошко с вопросом - разрешить ли этой программе работать с сетью. В этом случае важно не спешить отвечать "да", а попытаться понять, что это за программа. Так Вы можете обнаружить появление на компьютере троянских программ и предотвратить кражу информации и возможность управления Вашим компьютером.


Важно понимать!

Даже если у Вас на компьютере нет ничего важного, и Вам наплевать на то, что кто-то будет по нему лазить или сделает Вам format c:, Вам всёравно стоит поставить firewall. Ваш компьютер после взлома может быть использован для атак или взлома других компьютеров. Тем самым вы становитесь сообщником преступника. Подумайте, хочется ли Вам однажды обнаружить у себя дома сотрудников ЦРУ, потому что Ваш компьютер использовался для взлома компьютеров Пентагона
strateg вне форума   Ответить с цитированием
Старый 21.01.2007, 01:08   #8
strateg
Модератор
 
Аватар для strateg
 
Регистрация: 25.08.2006
Адрес: Днепропетровск
Сообщений: 557
По умолчанию

Борьба с эпидемией червей своими руками
--------------------------------------------------------------------------------
Для начала хочу отметить что есть 2 основных способа распространения червей.
1. Рассылка червей на почтовые ящики.
2. Распространение непосредственно от компьютера к компьютеру, используя уязвимости операционной системы.

Для начала рассмотрим как уберечься от червей, которые рассылаются на почтовые ящики.

Начнём с настроек Outlook Express.
Идём в Tools->Options->Security
В разделе Virus Protection->Select Internet Explorer security zone to use выбираем Restricted sites zone и ниже отмечаем оба чекбокса(ставим птички):
Warn me when other application...
Do not allow attachments to be saved...

Теперь нужно следовать одному простому совету Никогда(!!!) не открывайте прикреплённые файлы, присланные незнакомыми людьми, и файлы с незнакомыми или опасными расширениями (exe, vb, scr, com, bat, pif, vbs, bas, lnk, reg, vbe, wsh) даже если они присланы знакомыми!
Прикреплённые файлы всегда сначала сохраняйте на диске, после этого убедитесь, что расширение файла безопасно, и лишь после этого открывайте! В момент сохранения обратите внимание на ПОСЛЕДНЕЕ расширение файла! К примеру файл Masha.jpg.exe это не картинка, а исполняемая программа. На иконку не ориентируйтесь, так как исполняемому файлу может быть присвоена любая иконка.
Помните, Майкрософт НИКОГДА НЕ РАССЫЛАЕТ АПДЕЙТЫ НА ПОЧТОВИКИ СВОИМ ПОЛЬЗОВАТЕЛЯМ!!!

Что бы видеть реальные расширения файлов, откройте My Computer (двойной щелчок на иконке) либо Windows Explorer, зайдите в Tools->Folder Options->View и уберите птичку в строке Hide extensions for known file types. Не забудьте нажать ОК.

Всё проделанное выше снижает шансы подхватить червя. Однако, учитывая многочисленные дыры Аутлюка, 100% гарантии не даёт.

Помните, что из за различных уязвимостей Outlook Express заражение возможно даже при обычном просмотре письма содержащего червя. Т.е. заражение может произойти даже в том случае, если Вы не запускали вложение, а просто открыли письмо.

С червями, распространяющимися через почту, довольно успешно борются антивирусы, имеющие функцию проверки входящей почты. Конечно, при условии регулярного обновления вирусных баз.

Предыдущий пост был о том, как уберечься от червей, распространяющихся через почту, не прибегая к дополнительным программам. Далее я опишу как можно уменьшить шансы заражения червями, используя различные программы.

В связи с этим хочу поговорить о программке, которая, на мой взгляд, может сильно помочь. Называется она Spamihilator. Програмка пока бесплатная, и скачать её можно на сайте разработчиков http://www.spamihilator.com/
Основное предназначение програмы - это борьба со спамом. Однако, кроме этого, она имеет два встроенных фильтра, помогающих бороться с червями.
После установки программки, зайдите на сайте в раздел Plugins/Add-Ons, скачайте и установите (для установки нужно просто запустить скачанный файл) плагин Scripts Filter.
Теперь правый щелчок на иконке программы внизу справа (жёлтый конвертик с красным крестиком), выберите Settings...
Из меню слева выберите Filter Properties.
Если Вы не хотите, что бы программка фильтровала спам, справа в меню уберите птички Enable spam word filter и Enable learning filter. Так программа не тронет безопасные письма, и все они будут переданы Аутлюку.
Из меню слева выберите Plugins и уберите птички со всех плагинов кроме Scripts Filter и Attachment Filter, нажмите ОК.
Scripts Filter задерживает письма, в теле которых присутствуют скрипты, Attachment Filter задерживает письма, к которым прикреплены опасные файлы.
Теперь опасные письма будут задержаны программой и не окажутся в инбоксе Аутлюка.
Все письма, которые задерживаются программой, не удаляются сразу, а помещаются в её мусорную корзину Recycle Bin по умолчанию на месяц. Так что при желании их можно восстановить. Просмотреть удалённые письма можно двойным щелчком на иконке программки (в нижнем правом углу)

Outpost firewall 2.1+
Данный межсетевой экран имеет плагин Attachments Filter, который добавляет окончание .safe к опасным файлам, прикреплённым к письмам, таким образом предотвращая их случайный запуск.

Второй тип червей - это черви, распространяющиеся через уязвимости Windows.
Помните, антивирусы не защищают от этого вида червей

Что бы защититься от этого вида червей, следует:
1. Постоянно устанавливать все критические обновления Windows.
2. Установить межсетевой экран (firewall).
Обычно все сетевые экраны по умолчанию защищают от червей, однако Вам стоит убедиться, что запрещены входящие соединения по протоколам TCP, UDP на локальные порты 135, 445.

Если у Вас установлен firewall, то следует так же сделать следующее. Создайте правило разрешающее TCP соединение с 25 портом SMTP серверов, которые Вы используете для отправки почты, и запретите TCP соединение с 25 портом на любые другие адреса. Этим вы предотвратите рассылку писем с Вашего компьютера, если всё же он будет заражён червём.

Довольно часто компьютерные черви используют для своего распространения P2P сети. Поэтому существует несколько правил гигиены при пользовании пиринговыми сетями.
1. Проверяйте ВСЕ скачанные файлы несколькими антивирусами.
2. Никогда не качайте файлы с невероятными именами типа WinAmp 6, и т.д.
3. Если существует текстовый файл с таким же именем, как и закачиваемый файл, обязательно просмотрите его содержимое, возможно там предупреждение о вирусе.
4. Проверяйте свои папки открытые для общего доступа, появление в них новых неизвестных вам файлов означает, что ваш компьютер скорее всего инфицирован одним из P2P червей.
strateg вне форума   Ответить с цитированием
Старый 21.01.2007, 01:09   #9
strateg
Модератор
 
Аватар для strateg
 
Регистрация: 25.08.2006
Адрес: Днепропетровск
Сообщений: 557
По умолчанию

Ликбез по вредоносным программам
« от: 10/11/2004, 16:34:19 »

--------------------------------------------------------------------------------
Введение

Данная статья посвящена достаточно актуальной в настоящей момент проблеме - проблеме вредоносного программного кода. Если раньше ситуация была достаточно простой - существовали прикладные программы (включая операционную систему) и вирусы, т.е. вредоносные программы, устанавливающиеся на ПК пользователя без его желания.
Однако в последнее время появилось множество программ, которые нельзя считать вирусами (т.к. они не обладают способностью к размножению), но и нельзя отнести к категории "полезных" программ, т.к. они устанавливаются на компьютер скрытным образом и выполняют некоторые задачи без ведома пользователей). В Интернет для таких программ сформировалось множество названий SpyWare, Adware, Dialer и т.п. Классификация эта достаточно спорная - производители различного антивирусного ПО относят одну и ту-же программу к разным категориям, внося некоторую путаницу.

Поэтому в своей статье я хочу сделать попытку определить некоторую классификацию программ и сформулировать критерии, по которым программу можно отнести к категории SpyWare и Adware.

Spy - программы-шпионы

Программой-шпионом (альтернативные названия - Spy, SpyWare, Spy-Ware, Spy Trojan и т.п.) принято называть программное обеспечение, собирающее и передающее кому-либо информацию о пользователе без его согласия. Информация о пользователе может включать его персональные данные, конфигурацию его компьютера и операционной системы, статистику работы в сети Интернет.

Шпионское ПО применяется для ряда целей, из которых основным являются маркетинговые исследования и целевая реклама. В этом случае информация о конфигурации компьютера пользователя, используемом им программном обеспечении, посещаемых сайтах, статистика запросов к поисковым машинам и статистика вводимых с клавиатуры слов позволяет очень точно определить род деятельности и круг интересов пользователей. Поэтому чаще всего можно наблюдать связку Spy - Adware, т.е. "Шпион" - "Модуль показа рекламы". Шпионская часть собирает информацию о пользователе и передает ее на сервер рекламной фирмы. Там информация анализируется и в ответ высылается рекламная информация, наиболее подходящая для данного пользователя. В лучшем случае реклама показывается в отдельных всплывающих окнах, в худшем - внедряется в загружаемые страницы и присылается по электронной почте. Однако собранная информация может использоваться не только для рекламных целей - например, получение информации о ПК пользователя может существенно упростить хакерскую атаку и взлом компьютера пользователя. А если программа периодически обновляет себя через Интернет, то это делает компьютер очень уязвимым - элементарная атака на DNS может подменить адрес источника обновления на адрес сервера хакера - такое "обновление" приведет к внедрению на ПК пользователя любого постороннего программного обеспечения.

Шпионское программное обеспечение может попасть на компьютер пользователя двумя основными путями:



В ходе посещения сайтов Интернет. Наиболее часто проникновение шпионского ПО происходит про посещении пользователем хакерских и warez сайтов, сайтов с бесплатной музыкой и порносайтов. Как правило, для установки шпионского ПО применяются ActiveX компоненты или троянские программы категории TrojanDownloader по классификации лаборатории Касперского. Многие хакерские сайты могут выдать "крек", содержащий шпионскую программу или TrojanDownloader для ее загрузки;

В результате установки бесплатных или условно-бесплатных программ. Самое неприятное состоит в том, что подобных программ существует великое множество, они распространяются через Интернет или на пиратских компакт-дисках. Классический пример - кодек DivX, содержащий утилиту для скрытной загрузки и установки Spy.Gator. Большинство программ, содержащих Spy-компоненты, не уведомляют об этом пользователя. Еще один пример - один мой знакомый нашел в Интернет бесплатную экранную заставку "Матрица", скачал ее с достаточно солидного сайта и установил - кроме заставки у меня на компьютере появилась утилита для вывода прогноз погоды, которая прописала себя в автозагрузку и при запуске полезла в Интернет. Компьютер пришлось чистить от этой программы, но мораль проста - заставка нигде при установке не сообщала о том, что установит это постороннее ПО;


Точных критериев для занесения программы в категорию "Spy" не существует, и очень часто создатели антивирусных пакетов относят программы категорий "Adware", "Hijacker" и "BHO" к категории "Spy" и наоборот.

Для определенности я ввел для себя ряд правил и условий, при соблюдении которых программу можно классифицировать как Spy (замечу, это моя классификация, но в ее основу я положил собранный мной материал и результаты анализа более 2000 вредоносных программ):



Программа скрытно устанавливается на компьютер пользователя. Смысл данного пункта состоит в том, что инсталлятор обычной программы должен уведомить пользователя о факте установки программы (с возможностью отказа от установки), предложить выбрать каталог для установки и конфигурацию. Кроме того, после установки инсталлятор должен создать пункт в списке "Установка и удаление программ", вызов которого выполнит процесс деинсталляции. Шпионское программное обеспечение обычно устанавливается экзотическим способом (часто с использованием троянских модулей категории TrojanDownloader или ActiveX компонентов в HTML страницах) скрытно от пользователя, при это его деинсталляция в большинстве случаев невозможна. Второй путь инсталляции - скрытная установка в комплекте с какой-либо популярной программой;

Программа скрытно загружается в память в процессе загрузки компьютера;

Программа выполняет некоторые операции без указания пользователя - например, принимает или передает какую-либо информацию из Интернет;

Программа загружает и устанавливает свои обновления, дополнения, модули расширения или иное ПО без ведома и согласия пользователя. Данное свойство присуще многим шпионским программам и чрезвычайно опасно, т.к. загрузка и установка происходит скрытно и часто ведет к нестабильной работе системы. Более того, механизмы автоматического обновления могут быть использованы злоумышленниками для передачи на ПК пользователя троянских модулей;

Программа модифицирует системные настройки или вмешивается в функционирование других программ без ведома пользователя. Например, шпионский модуль может изменить уровень безопасности в настройках браузера или внести изменения в настройки сети. Классическим примером является Spy.New.Net, который устанавливает на ПК пользователя модуль newdotnet2_92.dll и регистрирует его в реестре как сервис разрешения имен сети TCP/IP. Все эти операции, естественно, производятся без ведома и согласия пользователя;

Программа модифицирует информацию или информационные потоки. Типовым примером являются разные расширения для программы OutlookExpress, которые при отправке письма приписывают к нему свою информацию. Второй распространенный пример - модификация загружаемых из Интернет страниц (в страницы включается рекламная информация, некоторые слова или фразы превращаются в гиперссылки и т.п.)


В данной классификации следует особо отметить тот факт, что программа категории Spy не позволяет удаленно управлять компьютером и не передает логины / пароли и аналогичную им информацию своим создателям - подобные действия специфичны другой категории программ - "Trojan" и "BackDoor". Однако по многим параметрам программы категории Spy являются родственниками троянских программ.

Рассказав о программах категории Spy я хочу акцентировать внимание на неявном слежении за пользователем. Предположим, что у пользователя установлена безобидная программа, загружающая рекламные баннеры один раз в час. Анализируя протоколы рекламного сервера можно выяснить, как часто и как долго пользователь работает в Интернет, в какое время, через какого провайдера. Эта информация будет доступна даже при условии, что программа будет только загружать данные, не передавая никакой информации. Более того, каждая версия программы может загружать рекламу по уникальному адресу - можно узнать, какая именно версия программы у него установлена.
strateg вне форума   Ответить с цитированием
Старый 21.01.2007, 01:11   #10
strateg
Модератор
 
Аватар для strateg
 
Регистрация: 25.08.2006
Адрес: Днепропетровск
Сообщений: 557
По умолчанию

Adware - модули

Adware (синонимы AdvWare, Ad-Ware и т.п.) - это приложение, предназначенное для загрузки на ПК пользователя информации рекламного характера для последующей демонстрации этой информации пользователю. Соответственно термином "Adware-программа" называют программное обеспечение, которое в качестве оплаты за свое использование показывает пользователю рекламу. Соответственно "Adware-модуль" - это некая программная единица, реализующее Adware-механизмы (разрабатывается она, как правило, программистами компании, занимающейся рекламой, а не разработчиком приложения).

Базовое назначение Adware - это неявная форма оплаты за использование программного обеспечения, осуществляющаяся за счет показа пользователю Adware-программы рекламной информации (соответственно рекламодатели платят за показ их рекламы рекламному агентству, рекламное агентство - разработчику Adware программы). Adware механизм приложения может быть реализован в трех основных разновидностях:



Независимое приложение. Это приложение, которое может работать независимо от установившего его программного обеспечения. Типовой пример - Spy.Gator. Как очевидно из префикса в названии приведенного в качестве примера Gator, большинство таких "приложений" по моей классификации попадает именно в категорию "Spy";

Модуль расширения для браузера. Аналогично п.п. 1, отличается только тем, что расширение браузера сложнее обнаружить (подробнее с.м. раздел BHO);

Библиотека или ActiveX компонент, загружаемый установившим его приложением и работающий в рамках его контекста и окон (или некий программный код, являющийся частью приложения). Именно эту разновидность можно отнести к категории "Adware" при соблюдении описанных ниже условий.


Для отнесения к категории "Adware" (замечу - по моей классификации) программа должна соблюдать ряд правил:



При инсталляции на ПК программа должна предупредить пользователя о том, что является Adware приложением с разъяснением того, что понимается под "Adware". При этом инсталлятор должен предусматривать возможность отказа от установки приложения (а еще лучше - предлагать варианты установки - бесплатный Adware вариант или платный ShareWare вариант). Типовым примером "правильной" программы является менеджер закачек FlashGet, который честно предлагает два варианта установки - Adware или ShareWare;

Adware модуль должен быть или библиотекой, загружаемой Adware программой, или неразрывной частью Adware-программы. При этом загрузка Adware-модуля должна естественно происходить при запуске приложения, выгрузка и прекращение работы - при выгрузке приложения из памяти;

Adware-модуль должен воспроизводить рекламную информацию только в контексте вызывавшего его приложения. Недопустимо создание дополнительных окон, запуск сторонних приложений, открытие неких web страниц;

Adware-модуль не должен выполнять действий, присущих программам категории Spy;

Adware-модуль должен деинсталлироваться вместе с установившим его приложением;


Как легко заметить, как Adware приложению в моей классификации предъявляются серьезные требования и практически ни один Adware-модуль не удовлетворяет всем перечисленным требованиям и автоматически попадает или в категорию "Spy", или в категорию "Trojan".

TrojanDownloader - программы для несанкционированной загрузки и установки программного обеспечения

Программы из категории TrojanDownloader (понятие TrojanDownloader введено лабораторией Касперского) неоднократно упоминались, поэтому следует дать определение для данной категории программ. TrojanDownloader - это программа (модуль, ActiveX, библиотека …), основным назначением которой является скрытная несанкционированная загрузка программного обеспечения из Интернет. Наиболее известным источником TrojanDownloader являются хакерские сайты. Сам по себе TrojanDownloader не несет прямой угрозы для компьютера - он опасен именно тем, что производит неконтролируемую загрузку программного обеспечения. TrojanDownloader применяются в основном для загрузки вирусов, троянских и шпионских программ. Наиболее известными (по моей статистике) являются TrojanDownloader.IstBar, TrojanDownloader.Win32.Dyfuca, TrojanDownloader.Win32.Swizzor и ряд других. TrojanDownloader.IstBar поставил своеобразный рекорд по количеству различных модификаций и своей вредоносности - его появление на компьютере приводит к резкому росту трафика и появлению на ПК множества посторонних программ.

Все программы категории TrojanDownloader можно условно подразделить на две категории:



Универсальные TrojanDownloader - могут загружать любой программный код с любого сервера;

Специализированные - предназначены для загрузки строго определенных типов троянских или шпионских программ. Примером может служить знаменитый Gain_tricler, загружающий программы пакета Gator.



Dialer

Программы категории Dialer (он-же на жаргоне системщиков называется "порнозвонилка", я в шутку окрестил эту категорию "порноскоп") достаточно широко распространены и предназначены для решения ряда задач, связанных с дозвонкой до заданного сервера и установления с ним модемной связи. Применяются данные программы в основном создателями порносайтов, но страдают от них все - многие программы категории Dialer используют весьма изощренные способы установки (с использованием ActiveX, TrojanDownloader и т.п.), причем установка может быть инициирована при посещении практически любого сайта.
Организацию модемного соединения с сервером владельца Dialer может производить несколькими способами:



Dialer может производить набор номера и установление соединения своими средствами;

Dialer может создать новое соединение удаленного доступа;

Dialer может изменить существующие соединения удаленного доступа;


В первых двух случаях Dialer, как правило, всячески привлекает внимание пользователя к себе и созданным им соединением - копирует себя во все доступные места (в папку Program Files, Windows, Windows\System, папку "Пуск" и т.п.), создает ярлыки, регистрирует себя в автозапуске.

Часто кроме решения основной задачи программы типа Dialer выполняют задачи, свойственные программам других категорий (adware, Spy, TrojanDownloader). Некоторые Dialer устанавливают себя на автозапуск, внедряются в другие приложения - например, мне известен Dialer, регистрирующий себя как расширение языка Basic и запускающийся при открытии любого приложения Microsoft Office, использующего скрипты.

Некоторые программы типа Dialer можно смело относить к троянским программам (а многие производители антивирусов считают Dialer троянской программой - на сайте производителей Norton Antivirus про Dialer говорится "троянская программа, предназначенная для …"), в классификации лаборатории Касперского есть специальная категория Trojan.Dialer.

Кроме утилит дозвонки к категории Dialer часто относят специализированные утилиты для просмотра порносайтов. Ведут они себя аналогично Dialer, только вместо модемного соединения соединяются с закрытими сайтами по Интернет.

BHO - Browser Helper Object

BHO (альтернативные названия - Browser Helper Object, Browser Plugin, Browser Bar, IE Bar, OE Bar и т.п., в классификации лаборатории Касперского есть категория Toolbar) - это расширение браузера или программы электронной почты, как правило выполненное в виде дополнительной панели управления. У BHO есть ряд достаточно опасных особенностей:



BHO не являются процессам системы - они работают в контексте браузера и не могут быть обнаружены в диспетчере задач;

BHO запускаются вместе с браузером и могут контролировать события, связанные с работой пользователя в Интернет (по сути, BHO для этого и предназначены);

BHO обмениваются с сетью, используя API интеграции с браузером. Поэтому, с точки зрения персональных FireWall обмен с Интернет ведет браузер. Как следствие, обнаружить такой обмен и воспрепятствовать ему очень сложно. Ситуация отягощается тем, что многие BHO, входящие в категорию "Spy", передают информацию после запроса пользователя - это делает практически невозможным обнаружение постороннего обмена с Интернет, т.к. он идет на фоне полезного трафика;

Ошибки в работе BHO могут дестабилизировать работу браузера и приводить к трудно диагностируемым сбоям в его работе;
strateg вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +2, время: 12:26.