боротися з даним варіантом програми-шпигуна. За даним принципом працюють багато відомих фірм виробники антивірусного програмного забезпечення.
Але є й інша група програм-шпигунів, яка найбільш небезпечна для будь-яких автоматизованих систем - це НЕВІДОМІ програми-шпигуни. Вони поділяються на програми п'яти типів:
1. Програми-шпигуни, що розробляються під егідою урядових організацій (як приклад - продукт Magic Lantern, проект під назвою Cyber ??Knight, США).
2. Програми-шпигуни, які можуть створюватися розробниками різних операційних систем і включатися ними до складу ядра операційної системи.
. Програми-шпигуни, які розроблені в обмеженій кількості (часто тільки в одній або кількох копіях) для вирішення конкретного завдання, пов'язаної з викраденням критичної інформації з комп'ютера користувача (наприклад, програми, застосовувані хакерами-професіоналами). Дані програми можуть являти собою трохи видозмінені відкриті вихідні коди програм-шпигунів, взяті з мережі Інтернет і скомпільовані самим хакером, що дозволяє змінити сигнатуру програми-шпигуна.
. Комерційні, особливо, корпоративні програмні продукти, які дуже рідко вносяться до сигнатурні бази, а якщо і вносяться, то тільки з політичних мотивів (як приклад - програмні продукти таких відомих фірм, як WinWhatWhere Corporation, SpectorSoft Corporation, ExploreAnywhere Software LLC, Omniquad Ltd. та ін.).
. Програми-шпигуни, що представляють собою keylogging модулі включаються до складу програм-вірусів. До внесення сигнатурних даних у вірусну базу дані модулі є невідомими. Приклад - всесвітньо відомі віруси, накоїти багато бід в останні роки, мають у своєму складі модуль перехоплення натискань клавіатури і відправки отриманої інформації в мережу Інтернет, наприклад -
o W32.Dumaru.Y@mm
o W32.Yaha.AB@mm
o W32.Bugbear.B@mm
o W32.HLLW.Fizzer@mm
o W32.Badtrans.B@mm
Інформація про програми-шпигунів першого і третього типу, як правило (якщо не відбувається витоків інформації), ніде не опубліковується, і, відповідно, їх код не може бути внесений до сигнатурні бази, тому вони не можуть виявлятися ніякими програмними продуктами, що використовують сигнатурний аналіз.
Інформація про програми-шпигунів другого типу ніде не опубліковується, даний код працює на рівні ядра операційної системи і, відповідно, вони не можуть виявлятися ніякими додатками.
Інформація про програми-шпигунів четвертого типу вноситься до сигнатурні бази дуже рідко, так як це суперечить законодавству багатьох країн світу. Але навіть якщо і внести такі програми в сигнатурні бази, то деактивувати, а, тим більше, видалити їх найчастіше неможливо без руйнування операційної системи. Вони не мають своїх процесів, а ховаються у вигляді потоків в системні процеси, вони можуть працювати тільки з пам'яттю комп'ютера і не працювати з жорстким диском, вони мають режими контролю цілісності і самовідновлення після збоїв.
Інформація про програми-шпигунів п'ятого типу вноситься до сигнатурні бази через кілька годин або днів після початку відповідної вірусної атаки. А за цей час конфіденційна інформація користувача персонального комп'ютера вже може бути вкрадена і відіслана в мережу Internet на заздалегідь підготовлений електронну адресу.
Що ж може протиставити користувач персонального комп'ютера програмам-шпигунам?
Рішення даної проблеми можливе тільки у використанні комплексу програмних продуктів:
· Програмний продукт N1 - це продукт, який використовує евристичні механізми захисту проти програм-шпигунів, створені фахівцями, які мають більший досвід боротьби з програмами-шпигунами. Він надає захист безперервно і не використовує ніякі сигнатурні бази.
· Програмний продукт N2 - це Антивірусний програмний продукт, що використовує постійно оновлювані сигнатурні бази.
· Програмний продукт N3 - це персональний Firewall, контролюючий вихід в мережу Інтернет з персонального комп'ютера на підставі політик, які встановлює сам користувач.
Така послідовність обрана неспроста.
Антивірусний програмний продукт встигає відреагувати на проникнення вірусу з keylogging модулем, коли вже здійснено перехоплення інформації, тому що вірусна база ще не встигла поповнитися новою інформацією, а, відповідно, і оновитися на комп'ютері користувача.
Персональний Firewall ставить багато питань, на які навіть дуже добре підготовлений користувач може відповісти некоректно, тим самим неправильно його сконфігурованої. Наприклад, деякі комерцій...
