Альтернативные классификации детектируемых объектов

Киберкриминал пребывает в непрекращающемся развитии, постоянно появляются новые угрозы, быстро развиваются наиболее доходные мошеннические схемы получения доходов.

По этой причине часто возникает необходимость выделить из всего многообразия детектируемых объектов одно или другое подмножество, характеризующее наиболее яркие и опасные тенденции развития вредоносных программ.

В классификации “Лаборатории Касперского”, описанной выше, черви и вирусы разделяются по способу распространения, остальные вредоносные программы — по совершаемым ими действиям. Но часто для того, чтобы выделить тот или иной тренд развития вредоносных программ, этих признаков бывает недостаточно, и тогда используются другие признаки классификации, позволяющие выделить необходимые поведения из многообразия детектируемых объектов. Фактически, это иной взгляд на классификацию — взгляд под другим углом.

Для удобства обозначения наиболее ярких, устоявшихся, опасных трендов последнего времени многие участники антивирусного рынка используют следующие категории:

Введем определения для каждой из этих категорий.

Crimeware

Crimeware — категория вредоносных программ, разработанных специально для автоматизации совершения финансовых преступлений.

Подобная автоматизация весьма многогранна. Это могут быть программы, отслеживающие появление на экране окна подключения к банковской системе с целью последующего перехвата вводимой в это окно секретной информации; это могут быть программы, копирующие содержимое буфера обмена в момент подключения к системам электронного платежа. В последнем случае расчет злоумышленника весьма прост — пользователь чаще всего не вводит свой пароль вручную в окно подключения к системе, а копирует его через буфер обмена из другого места, куда пароль был сохранен заранее.

Фантазия злоумышленников безгранична и новые подходы получения доступа к счетам пользователей постоянно становятся все более изощренными.

В качестве примеров семейств вредоносных программ категории Crimeware можно привести Trojan-Spy.Win32.Goldun, Trojan-Spy.Win32.Webmoner, всех представителей поведения Trojan-Banker и многие другие.

Наибольшее число представителей категории Crimeware, безусловно, относятся к Trojan-Banker и Trojan-Spy, но согласно правилам поглощения, функциональностью для автоматизации совершения финансовых преступлений могут обладать представители вышестоящих поведений, а именно Trojan, Backdoor, Virus, IM-Worm, P2P-Worm, IRC-Worm, Worm, Email-Worm, Net-Worm, хотя и значительно реже, чем представители Trojan-Banker и Trojan-Spy.

Программы Crimeware относятся к вредоносным программам.

Spyware

Spyware — категория вредоносных программ, применяемых для несанкционированного пользователем слежения за его действиями и несанкционированного им сбора данных.

Это могут быть программы, записывающие все нажатые пользователем клавиши в лог-файл для последующей передачи сохраненной информации злоумышленнику; это могут быть программы, собирающие без ведома пользователя адреса электронной почты на его компьютере для последующей передачи их спамерам и т.д.

В качестве примеров семейств вредоносных программ категории Spyware можно привести Trojan-Spy.Win32.Keylogger, Trojan-PSW.Win32.PdPinch и многие другие. Также к Spyware относятся другие представители Trojan-Spy и Trojan-PSW, а также все представители Trojan-GameThief, Trojan-IM, Trojan-Mailfinder, Trojan-Banker, Trojan-Notifier.

Trojan-Banker, несмотря на то, что он относится к Crimeware, также относится и к Spyware в силу того, что представители этого поведения собирают данные о пользователе. В данном случае мы имеем типичное пересечение подмножеств Crimeware и Spyware.

Trojan-Notifier также относится к Spyware, т.к. согласно определениям под эту категорию подпадают “…программы, применяемые для несанкционированного пользователем слежения за его действиями…”, а Trojan-Notifier скрытно сообщают “хозяину” о подключении компьютера-жертвы к сети.

Согласно правилам поглощения, к Spyware могут относиться представители вышестоящих над упомянутыми поведений, а именно Trojan, Backdoor, Virus, IM-Worm, P2P-Worm, IRC-Worm, Worm, Email-Worm, Net-Worm.

В отличие от многих антивирусных компаний, “Лаборатория Касперского” не включает в Spyware программы, которые относятся согласно классификации “Лаборатории Касперского” к Adware и используются, например, для сбора данных с целью проведения маркетинговых исследований. Согласно позиции “Лаборатории Касперского”, подобные вредоносные программы не являются шпионскими, т.к. собирают данные о пользователе с его ведома и разрешения. Проблема заключается в невнимательном чтении пользователем лицензионного соглашения, где, зачастую “между строк”, прописано согласие пользователя на сбор данных. Безусловно, лицензионные соглашения в подобных программах намеренно составляются так, чтобы их было сложнее прочитать, но, тем не менее, формально пользователь был предупрежден.

Любые вредоносные программы, занимающиеся шпионской деятельностью, однозначно классифицируются “Лабораторией Касперского” как вредоносные (не PUPs) и относятся к Malware. Adware же относятся к PUPs.

Программы Spyware являются подмножеством Malware — вредоносными программами.

Ransomware

Ransomware — категория вредоносных программ, блокирующих данные или работоспособность компьютера-жертвы. Подобное поведение не санкционировано пользователем компьютера и используется вредоносной программой с целью дальнейшего требования выкупа у пользователя.

В качестве примеров семейств, относящихся к Ransomware, можно привести Trojan-Ransom.Win32.Gpcode и Trojan-Ransom.Win32.Krotten. Gpcode использует шифрование файлов, выбирая в качестве мишеней наиболее “ценные” данные — документы, базы данных и др., после чего “подкладывает” пострадавшим файл с указанием координат, где “помогут” восстановить данные. Krotten использует несколько иной подход, заключающийся в изменении системного реестра таким образом, чтобы с компьютером было невозможно работать. Восстановление работоспособности возможно после уплаты “выкупа”.

К данной категории вредоносных программ в первую очередь относятся представители поведения Trojan-Ransom, но согласно правилам поглощения, к категории Ransomware могут относиться представители вышестоящих поведений, а именно Trojan, Backdoor, Virus, IM-Worm, P2P-Worm, IRC-Worm, Worm, Email-Worm, Net-Worm.

Программы Ransomware являются подмножеством Malware — вредоносными программами.

Bot-clients

Bot-clients — категория вредоносных программ, предназначенных для объединения пораженных компьютеров в бот-сети (“зомби-сети”) и позволяющих осуществлять удаленное централизованное управление всем множеством пораженных компьютеров для совершения злонамеренных действий без ведома пользователя. В качестве примера такого рода злонамеренных действий можно привести DDoS-атаки, осуществляемые против выбранной владельцем такой сети жертвы.

К категории Bot-clients в первую очередь относятся представители поведения Backdoor, но согласно правилам поглощения могут относиться и представители вышестоящих поведений, а именно Virus, IM-Worm, P2P-Worm, IRC-Worm, Worm, Email-Worm и Net-Worm. Причем черви достаточно часто имеют в своем составе функционал, позволяющий объединять зараженные компьютеры в бот-сети.

Программы Bot-clients являются подмножеством Malware — вредоносными программами.