Классификация детектируемых объектов
.pdfклассификации, позволяющие выделить необходимые поведения из многообразия детектируемых объектов. Фактически, это иной взгляд на классификацию — взгляд под другим углом.
Для удобства обозначения наиболее ярких, устоявшихся, опасных трендов последнего времени многие участники антивирусного рынка используют следующие категории:
Crimeware
Spyware
Ransomware
Botnets
Введем определения для каждой из этих категорий.
Crimeware
Crimeware — категория вредоносных программ, разработанных специально для автоматизации совершения финансовых преступлений.
Подобная автоматизация весьма многогранна. Это могут быть программы, отслеживающие появление на экране окна подключения к банковской системе с целью последующего перехвата вводимой в это окно секретной информации; это могут быть программы, копирующие содержимое буфера обмена в момент подключения к системам электронного платежа. В последнем случае расчет злоумышленника весьма прост — пользователь чаще всего не вводит свой пароль вручную в окно подключения к системе, а копирует его через буфер обмена из другого места, куда пароль был сохранен заранее.
Фантазия злоумышленников безгранична и новые подходы получения доступа к счетам пользователей постоянно становятся все более изощренными.
В качестве примеров семейств вредоносных программ категории Crimeware можно привести
Trojan-Spy.Win32.Goldun, Trojan-Spy.Win32.Webmoner, всех представителей поведения Trojan-
Banker и многие другие.
Наибольшее число представителей категории Crimeware, безусловно, относятся к Trojan-
Banker и Trojan-Spy, но согласно правилам поглощения, функциональностью для автоматизации совершения финансовых преступлений могут обладать представители вышестоящих поведений, а
именно Trojan, Backdoor, Virus, IM-Worm, P2P-Worm, IRC-Worm, Worm, Email-Worm, Net-Worm,
хотя и значительно реже, чем представители Trojan-Banker и Trojan-Spy.
Программы Crimeware относятся к вредоносным программам.
Spyware
Spyware — категория вредоносных программ, применяемых для несанкционированного пользователем слежения за его действиями и несанкционированного им сбора данных.
Это могут быть программы, записывающие все нажатые пользователем клавиши в лог-файл для последующей передачи сохраненной информации злоумышленнику; это могут быть программы, собирающие без ведома пользователя адреса электронной почты на его компьютере для последующей передачи их спамерам и т.д.
В качестве примеров семейств вредоносных программ категории Spyware можно привести
Trojan-Spy.Win32.Keylogger, Trojan-PSW.Win32.PdPinch и многие другие. Также к Spyware
относятся другие представители Trojan-Spy и Trojan-PSW, а также все представители TrojanGameThief, Trojan-IM, Trojan-Mailfinder, Trojan-Banker, Trojan-Notifier.
Trojan-Banker, несмотря на то, что он относится к Crimeware, также относится и к Spyware в
силу того, что представители этого поведения собирают данные о пользователе. В данном случае мы имеем типичное пересечение подмножеств Crimeware и Spyware.
Trojan-Notifier также относится к Spyware, т.к. согласно определениям под эту категорию подпадают «...программы, применяемые для несанкционированного пользователем слежения за его действиями...», а Trojan-Notifier скрытно сообщают «хозяину» о подключении компьютера-
жертвы к сети.
Согласно правилам поглощения, к Spyware могут относиться представители вышестоящих над упомянутыми поведений, а именно Trojan, Backdoor, Virus, IM-Worm, P2P-Worm, IRC-Worm, Worm, Email-Worm, Net-Worm.
Программы Spyware являются подмножеством Malware — вредоносными программами.
Ransomware
Ransomware — категория вредоносных программ, блокирующих данные или работоспособность компьютера-жертвы. Подобное поведение не санкционировано пользователем компьютера и используется вредоносной программой с целью дальнейшего требования выкупа у пользователя.
В качестве примеров семейств, относящихся к Ransomware, можно привести Trojan-
Ransom.Win32.Gpcode и Trojan-Ransom.Win32.Krotten. Gpcode использует шифрование файлов,
выбирая в качестве мишеней наиболее «ценные» данные — документы, базы данных и др., после чего «подкладывает» пострадавшим файл с указанием координат, где «помогут» восстановить данные. Krotten использует несколько иной подход, заключающийся в изменении системного
реестра таким образом, чтобы с компьютером было невозможно работать. Восстановление работоспособности возможно после уплаты «выкупа».
К данной категории вредоносных программ в первую очередь относятся представители поведения Trojan-Ransom, но согласно правилам поглощения, к категории Ransomware могут относиться представители вышестоящих поведений, а именно Trojan, Backdoor, Virus, IM-Worm, P2P-Worm, IRC-Worm, Worm, Email-Worm, Net-Worm.
Программы Ransomware являются подмножеством Malware — вредоносными программами.
Bot-clients
Bot-clients — категория вредоносных программ, предназначенных для объединения пораженных компьютеров в бот-сети («зомби-сети») и позволяющих осуществлять удаленное централизованное управление всем множеством пораженных компьютеров для совершения злонамеренных действий без ведома пользователя. В качестве примера такого рода злонамеренных действий можно привести DDoS-атаки, осуществляемые против выбранной владельцем такой сети жертвы.
К категории Bot-clients в первую очередь относятся представители поведения Backdoor, но согласно правилам поглощения могут относиться и представители вышестоящих поведений, а
именно Virus, IM-Worm, P2P-Worm, IRC-Worm, Worm, Email-Worm и Net-Worm. Причем черви достаточно часто имеют в своем составе функционал, позволяющий объединять зараженные компьютеры в бот-сети.
Программы Bot-clients являются подмножеством Malware — вредоносными программами