Riskware: как обнаружить, удалить и предотвратить
Опасность riskware (рискованного программного обеспечения) заключается в том, что даже легитимные программы могут иметь уязвимости, которые хакеры могут использовать в своих целях. Любое программное обеспечение, которое имеет малейшую вероятность причинения ущерба со стороны злоумышленников, считается рискованным и относится к riskware. Вот тут-то и следует вас предостеречь, потому что riskware – это не всегда вредоносное ПО.
Что такое Riskware?
Зачастую riskware не разрабатываются для того, чтобы быть вредоносными. Скорее, программы имеют некоторые функциональные возможности, которые хакеры будут использовать в своих целях. Такой тип программ не является явным риском, хотя они могут представлять собой определенный риск.
Как правило, хакеры могут проникнуть в программу из-за наличия в ней уязвимостей при разработке или в результате утечки данных. Бывают также ситуации, что программа грубо злоупотребляет конфиденциальностью своих пользователей и, будучи легитимной программой, незаметно связана с другой, незаконной программой.
Как вы можете определить Riskware?
Поскольку riskware не всегда является определенной вредоносной угрозой, которую могут обнаруживать антивирусные программы, важно вручную проверять наличие потенциальных уязвимостей. Устаревшие операционные системы и приложения, которые разработчики больше не обновляют, особенно уязвимы для вредоносных пользователей и, как правило, могут считаться рискованными программами (riskware).
Кроме того, правила и условия использования вашего программного обеспечения могут быть сигналом о том, что вы имеете дело с riskware. Если взаимодействуют две программы и одна из них отключает функции другой, то программа, отключающая эти функции, может представлять собой riskware.
Наконец, убедитесь, что вы лично предоставили программе требуемые права (разрешения). Если программа имеет какое-либо разрешение, которое вы не предоставляли ей напрямую, то это может стать признаком того, что вы столкнулись с рискованным программным обеспечением (riskware). Обычно такие программы пытаются получить доступ к основным данным операционной системы, функциям подключения к Интернету и таким аппаратным средствам, как микрофоны и камеры.
Типы уязвимых программ
В качестве примеров riskware можно указать программы, которые нарушают законы, отслеживают поведение пользователей или имеют уязвимости, предоставляющие доступ для вредоносных программ.
Следующие виды программ часто ассоциируются с потенциально опасными программами (riskware):
1. Клиенты Internet Relay Chat: программы, которые позволяют обмениваться мгновенными сообщениями, а также дозвонщики, такие как Voice over Internet Protocol (VoIP), могут иметь расширенные функции, которые часто используются злоумышленниками. В худшем случае бэкдор позволит злоумышленнику применить опасный скрипт без ведома пользователя чата, что сделает его открытым для вредоносных программ.
2. ПО для удаленного доступа: также называемое Virtual Network Computing (VNC), такой тип ПО предоставляет удаленный доступ к вашему рабочему столу, программному обеспечению, утилитам и правам администратора. Хотя эти программы часто являются законными, они могут оставить пользователей открытыми перед угрозами безопасности в том случае, если программное обеспечение не будет должным образом защищено от хакеров.
3. Службы Интернет-сервера: когда злоумышленник находит другого пользователя, который предоставляет полный доступ протоколу передачи файлов со своими административными правами, то он может установить сервер. Это дает хакеру доступ ко всем файлам в то время, пока пользователь находится в Интернете. Такие практики могут быть реализованы в загрузчиках файлов, таких как веб-серверы и прокси-серверы, программах для передачи файлов через Интернет и автоустановщиках для мобильных устройств
Как удалить зараженное ПО
Вредоносное ПО пытается использовать в рискованном ПО уязвимости безопасности, которые были допущены на этапе разработки такой программы. Как правило, эти угрозы поставляются в комплекте с легитимными программами, и они запускаются после открытия такой программы. Если ваш компьютер предупреждает, что на веб-сайте или в приложении обнаружено вредоносное ПО, действуйте осторожно.
Если вы подозреваете, что riskware уже был загружен, удалите программу и запустите антивирус для обнаружения и удаления потенциальных угроз, скрывающихся в скрытых скриптах.
Как предотвратить Riskware
Полное предотвращение рискованных программ требует осторожности при работе с любой используемой вами программой. В целом всегда практикуйте безопасные компьютерные привычки, такие как посещение надежных веб-сайтов, для активной защиты от вредоносных программ:
Безопасные компьютерные привычки и надлежащая антивирусная защита – это лучший способ защитить себя от riskware в вашей системе. Будьте внимательны при предоставлении прав программам и избегайте предоставления ненужных прав. Если вы подозреваете наличие вредоносного ПО на вашем устройстве, то тщательно проверьте все установленные программы и приложения, удалив все программы, установку и запуск которых вы не разрешили.
Потенциально опасные программы (Riskware)
Потенциально опасные программы не предназначены изначально для того, чтобы наносить вред, но могут использоваться злонамеренно. Для их обозначения распространен также термин «riskware». В англоязычном интернет-пространстве потенциально опасные программы часто путают с шпионскими программами и adware, однако уместно трактовать это понятие шире, включая в него утилиты удаленного администрирования, загрузчики, прокси-серверы и другие типы приложений.
Потенциально опасные программы не способны самостоятельно размножаться или заражать файлы, не имеют недокументированных возможностей. Они осуществляют только ту функцию, которая заложена в них разработчиком. Это может быть показ рекламных роликов или картинок, перенаправление пользователя на определенные сайты, осуществление вызовов на какие-либо номера и т.д. При этом явный вред для системы или владельца компьютера не наступает, но риск ущерба присутствует.
Классификация потенциально опасных программ (riskware)
Можно выделить ряд видов потенциально опасных программ.
Вред от потенциально опасных программ
Потенциально опасные программы могут быть нацелены на компьютерные устройства любых пользователей. Их внедрение грозит разными последствиями: от замедленной работы системы до полного контроля компьютера извне. Попадание riskware в машины коммерческих структур и других организаций грозит сбоями в работе, повышением риска заражения вредоносными программами, потерей данных, нарушением производственных процессов. Компьютеры пользователей могут стать источником рассылки спама и сетевых атак.
Источники потенциально опасных программ
Загрузить потенциально опасное программное обеспечение можно как со вполне легальных сайтов, так и с ресурсов сомнительного содержания. В ряде случаев для этого даже не нужно выполнять никаких специальных действий: например, рекламная программа может быть частью дистрибутива нужного приложения. Формально пользователь имеет возможность отказаться от ее установки, но соответствующая функция часто скрывается в неочевидных местах. Впрочем, присутствие потенциально опасных приложений обычно легко заметить: всплывающая реклама, изменение домашних страниц браузеров, самопроизвольный запуск интернет-обозревателя, появление лишних панелей инструментов, увеличение интернет-трафика, медленная работа машины привлекают внимание и мешают работать.
Риски потенциально опасных программ
Условно опасные программы не являются вредоносными и не содержат деструктивный код, поэтому антивирусные программы не всегда реагируют на них. Большинство антивирусов обладает необходимыми возможностями или отдельными базами сигнатур для определения таких программ, но эти функции, как правило, не включены по умолчанию; активировать их можно в настройках. Существуют и специализированные утилиты для борьбы с рекламными или шпионскими приложениями. Регулярно следует проверять свой ПК, ноутбук, планшет или смартфон с помощью антивирусной программы с такой опцией и выполнять предлагаемые действия по очистке системы. Полезно также внимательно относиться к подозрительным или аномальным событиям на компьютере.
Что такое Not-a-virus
Что делать, если антивирус обнаружил not-a-virus: какие они бывают и с чем их едят.
Иногда Kaspersky Internet Security вдруг выводит желтое окошко и пишет, что на вашем компьютере обнаружен not-a-virus. Немудрено смутиться: если это не-вирус, то зачем антивирусная программа мне об этом сообщает?
На самом деле это действительно не вирус (говоря технически точнее, «не вредоносная программа»), но сообщать о нем все равно нужно. Давайте разберемся, что такое Not-a-virus, какие они бывают и что с ними делать.
В Kaspersky Internet Security словом Not-a-virus называются по большому счету два типа программ — adware и riskware. Оба эти типа не зловредны сами по себе, поэтому вирусами их не назовешь. Однако пользователю неплохо бы знать об их существовании, поскольку эти программы могут делать что-то, что ему может не понравиться.
Что такое Adware
Adware — это рекламные приложения. Они могут показывать вам рекламу, менять поисковую выдачу, подсовывая одни сайты взамен других, собирать о вас данные, чтобы в дальнейшем подстраивать контекстную рекламу под ваши интересы, или делать все это сразу.
Вроде бы ничего зловредного, но и ничего приятного тоже. Особенно весело становится тогда, когда подобных программ на компьютер пробирается десяток-другой и они начинают конкурировать друг с другом за ресурсы.
При этом adware — это легитимные программы, которые попадают на компьютер формально с согласия пользователя. Просто при установке какой-то другой программы пользователь, например, не углядел заранее проставленную галочку — и тем самым согласился на установку adware. Бывают и другие хитрости, но их объединяет одно: если читать все очень внимательно, от установки «адвары» можно отказаться.
Если же рекламная программа никак не уведомляет пользователя о том, что она пытается установиться на компьютер, то Kaspersky Internet Security считает такую программу зловредным трояном. Тогда сообщение будет уже не в желтой, а в красной рамочке, и работа такой программы будет немедленно заблокирована. Кстати, тут можно подробнее почитать о том, что означают цвета окошек уведомлений в наших продуктах.
Что такое Riskware
Riskware — немного другое дело. В этот тип попадают разнообразные программы, которые изначально созданы для чего-то полезного и могут использоваться на компьютере по назначению. Но зачастую их устанавливают — без ведома пользователя, разумеется — злоумышленники в недобрых целях. Полный список типов программ, которые мы относим к riskware, можно посмотреть тут.
Например, к riskware относятся программы для удаленного управления компьютером (Remote Admin). Если вы сами установили такую программу и знаете, что делаете, то никакого вреда она не принесет. Однако плохие парни нередко используют программы такого рода как часть зловредного комплекса, — и в этом случае пользователю полезно знать о том, что на его компьютере неожиданно завелось что-то подобное.
Другой пример — утилиты для загрузки файлов. Многие из них действительно повышают удобство загрузки файлы. Но некоторые работают на грани фола, вместе с полезным файлом норовя загрузить еще пачку других программ, показав предупреждение о том, что загружен будет не только искомый файл, например, серым шрифтом на сером фоне.
Из прочих распространенных видов riskware стоит упомянуть тулбары, которые, кстати, также могут относиться и к adware — в зависимости от функциональности и степени навязчивости. Бывают и другие расширения для браузера, которые также могут относиться к riskware.
Еще в категорию riskware попадают майнеры — программы для добычи биткоинов. Разумеется, если вы сами сознательно поставили на свой компьютер майнер, то все хорошо. Но вполне может быть так, что кто-то сделал это без вашего ведома — и теперь расходует ресурсы вашего компьютера для собственного обогащения.
По умолчанию Kaspersky Internet Security не выводит уведомления об обнаружении riskware. Однако в настройках можно зайти в раздел «Угрозы и исключения» и включить пункт «Обнаруживать другие программы, которые могут быть использованы злоумышленником для нанесения вреда компьютеру или данным пользователя» — тогда Kaspersky Internet Security будет уведомлять и о riskware тоже.
Но только уведомлять: по умолчанию антивирус не блокирует и не удаляет riskware, чтобы не мешать легитимному использованию таких приложений. Собственно, и слова «riskware» вы в этих уведомлениях не увидите — там будет конкретика: майнер это, программа для удаленного администрирования, загрузчик или еще что-то.
Если же riskware начнет загружать какие-нибудь зловредные компоненты, она может быть переклассифицирована в трояны и заблокирована вне зависимости от того, проставлена галка «другие программы» или нет.
Обнаружены adware или riskware. Что делать?
Kaspersky Internet Security выводит уведомления об обнаружении такого рода программ, чтобы вы знали, что они есть на вашем компьютере. Возможно, вы поставили их осознанно — как мы уже говорили, среди riskware-приложений бывают очень даже полезные. В таком случае можно не беспокоиться.
С другой стороны, возможно, очередной not-a-virus пробрался на компьютер незамеченным. И в этом случае вам лучше знать, что эта программа относится либо к riskware, либо к adware. Поэтому пользователю предлагается выбрать, что делать с программой. Если вы ее не ставили — то лучше удалить.
Антивирусники не знают что делать с riskware
Linux для хакера
Так называемые «условно опасные» программы стали «яблоком раздора» для антивирусных компаний и разработчиков ПО. Последние недовольны, когда их продукция детектируется как riskware или вирус. В крайних случаях оппонентам приходится отстаивать свои интересы в суде. Однако, как показывает практика, ни одно из действующих законодательств пока не в состоянии разрешить этот нелегкий спор.
Условно (или потенциально) опасные программы (riskware) являются головной болью для антивирусных компаний, считает генеральный директор «Лаборатории Касперского» Наталья Касперская. Это программы, которые не классифицируятся как вирусы, но могут, тем не менее, нанести ущерб пользователю. Сами по себе они не являются вредоносными и не содержат в себе деструктивный код. При этом в «Лаборатории Касперского» предлагают различать три категории подобных программ: Adware, Pornware и собственно Riskware.
Adware (рекламное ПО) объединяет программы показа рекламы на компьютерах пользователей. Нередко они входят в состав официально поставляемых продуктов, производители которого предоставляют условно бесплатные версии своего ПО. Такие программы, как известно, просматривают cookies и линки пользователя и в результате досаждают ему рекламой, контент которой, по их мнению, соответствует его вкусам и предпочтениям. В отдельных случаях Adware попадает на компьютер в результате несанкционированной установки ПО (заражение троянцем) или приходит по почте. Нередко антивирусные вендоры детектирует эти программы как шпионские
По словам Натальи Касперской, львиная доля потенциально опасных программ приходится на третью категорию – riskware-программное обеспечение, которое при некоторых условиях может стать рискованным для пользователя (FTP, IRC, MIrc, proxy, утилиты удаленного администрирования). В ряде случаев подобные программы попадают в руки хакеров, что позволяет им эффективно ими пользоваться в своих целях и заниматься рассылкой троянов.
Виды шпионского ПО
Категория Adware, Pornware и Riskware включает легально разработанные программы, которые в определенных случаях могут представлять особую опасность для пользователей компьютеров (действуя так же, как шпионское программное обеспечение Trojan). Хотя многие из таких программ, вероятно, разработаны и распространяются легальными компаниями, они могут иметь функции, которые используются некоторыми создателями вредоносных программ во вредоносных или незаконных целях.
Что такое Adware?
Adware — это программы, которые предназначены для показа рекламы на вашем компьютере, перенаправления запросов поиска на рекламные веб-сайты и сбора маркетинговой информации о вас (например, какого рода сайты вы посещаете), чтобы реклама соответствовала вашим интересам.
Adware-программы, которые собирают данные с вашего согласия, не следует путать с троянскими программами-шпионами, которые собирают информацию без вашего разрешения и ведома. Если Adware-программа не уведомляет о сборе информации, она считается вредоносной, например, вредоносная программа троянец-шпион (Trojan-Spy).
Что нужно знать о программах Adware
За исключением показа рекламы и сбора данных такие программы, как правило, не проявляют своего присутствия в системе. Обычно у такой программы отсутствует значок на панели задач, и в меню программ она тоже отсутствует.
Adware-программы могут попасть на ваш компьютер двумя основными путями:
Посещение зараженного веб-сайта может привести к несанкционированной установке Adware-программы на ваш компьютер. В этих целях часто используются хакерские технологии. Например, для проникновения на компьютер может использоваться уязвимость браузера и троянская программа, предназначенная для незаметной установки Adware. Действующие таким образом Adware-программы часто называют Browser Hijackers.
Как защититься от Adware-программ
Часто Adware-программы не имеют процедуры удаления и могут использовать технологии, подобные тем, что используют вирусы для проникновения на компьютер и незаметного запуска. Однако, так как Adware-программы могут присутствовать на вашем компьютере на законных основаниях, антивирусные решения не всегда могут определить степень опасности конкретной Adware-программы.
Существует много причин, чтобы подозревать, что Adware-программа, обнаруженная антивирусом, представляет собой угрозу. Например, если вы не давали согласия на установку программы и не знаете о ее происхождении или вы прочитали описание этой программы и у вас появились сомнения в том, что она безопасна. В таких случаях антивирусное программное обеспечение поможет избавиться от такой Adware-программы.
Отказ от обнаружения Adware-программ
В том случае если Adware-программа обнаружена антивирусом, но вы уверены в том, что это разрешенная вами программа, можно принять решение о том, что эта программа не нанесет вреда вашим устройствам или данным. Продукты «Лаборатории Касперского» позволяют отключить детектирование таких программ. Кроме того, конкретные программы можно добавить в список исключений, чтобы антивирусное ядро не отмечало их как вредоносные.
Многие бесплатные или условно-бесплатные программы перестают отображать рекламу после их регистрации или приобретения. Однако, в некоторых программах используются сторонние Adware-утилиты. Иногда такие утилиты остаются установленными на компьютере пользователя и после регистрации или приобретения программы. В некоторых случаях удаление Adware-компонента может привести к нарушению функционирования программы.
Что такое Pornware?
Pornware — это программы, отображающие на устройстве порнографический контент. Кроме программ, намеренно устанавливаемых некоторыми пользователями на свои компьютеры и мобильные устройства для поиска и отображения порнографического контента, категория Pornware также включает программы, установленные со злонамеренной целью без уведомления пользователя об их присутствии. Обычно целью установки таких программ является рекламирование платных порнографических веб-сайтов и сервисов.
Что нужно знать о Pornware
Вирусописатели могут использовать неисправленные уязвимости в популярных приложениях и операционных системах для установки Pornware-программ на ваш компьютер, планшет или смартфон. Кроме того, заражение устройств Pornware-программами возможно с помощью троянских программ, таких как Trojan-Downloader и Trojan-Dropper. Некоторые примеры Pornware-программ:
Как защититься от Pornware-программ
Так как Pornware-программы могут сознательно загружаться пользователями, антивирусные решения не всегда могут определить, опасна ли конкретная Pornware-программа для устройства пользователя. Продукты «Лаборатории Касперского» позволяют пользователю выбирать, надо ли обнаруживать Pornware-программы или нет и как на них реагировать.
Обнаружение и удаление Pornware-программ
Существует много причин, чтобы подозревать обнаруженную Pornware-программу в том, что она представляет собой угрозу. Например, пользователь не устанавливал программу и не знает о ее происхождении, или он прочитал описание программы и теперь сомневается в ее безвредности. При необходимости антивирусное программное обеспечение поможет пользователю избавиться от Pornware-программы.
Что такое Riskware?
К категории Riskware относят легальные программы, которые могут причинить вред компьютеру, если используются злоумышленниками для удаления, блокирования, изменения или копирования данных, а также для нарушения работы компьютеров и сетей. В категорию Riskware входят следующие виды программ, которые широко используются в легальных целях:
По своему назначению это не вредоносные программы, но некоторые их функции могут быть использованы во вредоносных целях.
Что надо знать о Riskware
При таком большом количестве легальных программ, которые злоумышленники могут использовать в незаконных целях, нелегко решить, какие из программ представляют угрозу. Например, программы удаленного администрирования часто используются системными администраторами и службами поддержки клиентов для диагностики и устранения неполадок, возникающих на компьютерах пользователей. Однако если такая программа установлена на вашем компьютере злоумышленником (без вашего ведома), он получит удаленный доступ к вашему компьютеру. Полностью контролируя ваш компьютер, злоумышленник сможет использовать его практически в любых нужных ему целях.
«Лабораторией Касперского» зарегистрированы случаи секретной установки легальных программ удаленного администрирования, таких как WinVNC, для получения несанкционированного полного удаленного доступа к компьютеру.
В качестве другого примера можно взять утилиту mIRC — легальную сетевую программу-клиент IRC, которая может использоваться злоумышленниками в незаконных целях. Регулярно обнаруживаются троянские программы, использующие функции mIRC для выполнения вредоносных действий без ведома пользователя. Часто вредоносные программы устанавливают программу-клиент mIRC для последующего вредоносного использования. В таких случаях mIRC обычно сохраняется в папке Windows и вложенных в нее папках. Поэтому обнаружение mIRC в этих папках почти всегда указывает на заражение компьютера вредоносной программой.
Обнаружение и удаление Riskware-программ
Так как Riskware-программы могут присутствовать на компьютере на законных основаниях, антивирусы не всегда могут определить степень опасности конкретной Riskware-программы.
Существует много причин, чтобы подозревать обнаруженную антивирусной программой Riskware-программу в том, что она представляет собой угрозу. Например, если вы не давали согласия на установку программы и не знаете о ее происхождении, или вы прочитали описание этой программы и у вас появились сомнения в ее безопасности. В таких случаях антивирусное программное обеспечение поможет избавиться от такой Riskware-программы.
Отказ от обнаружения Riskware-программ
Если при обнаружении Riskware-программ вы уверены в том, что это разрешенные вами программы, можно принять решение о том, что такие Riskware-программы не вредны для ваших устройств или данных. Кроме того, конкретные программы можно добавить в список исключений, чтобы антивирус не отмечал эти Riskware-программы как вредоносные.
