Trójsky spyware. Špionážne trójske kone a vládny malvér našej doby

SpyWare - spyware. spyware ( alternatívne tituly- Spy, SpyWare, Spy-Ware, Spy Trojan) sa bežne označuje ako softvér, ktorý zhromažďuje a prenáša informácie o používateľovi niekomu bez jeho súhlasu. Informácie o používateľovi môžu zahŕňať jeho osobné údaje, údaje o jeho peňažných účtoch, konfiguráciu jeho počítača a operačný systém, štatistiky práce na internete a ďalšie.

Spyware sa používa na množstvo účelov, medzi tie hlavné patrí marketingový prieskum a cielená reklama. V tomto prípade informácie o konfigurácii počítača používateľa, ním používanom softvéri, navštívených stránkach, štatistike požiadaviek na vyhľadávače a štatistika slov zadávaných z klávesnice umožňuje veľmi presne určiť typ činnosti a okruh záujmov používateľov. Preto najčastejšie môžete pozorovať kopu SpyWare - Adware, t.j. "Spy" - "Modul zobrazovania reklamy". Špionážna časť zhromažďuje informácie o používateľovi a prenáša ich na server reklamnej firmy. Tam sa informácie analyzujú a ako odpoveď sa posielajú reklamné informácie, ktoré sú najvhodnejšie tohto používateľa. V najlepšom prípade sa reklamy zobrazujú v samostatných kontextových oknách, v horšom prípade sú vložené do načítaných stránok a odosielané e-mailom. e-mail. Škody spôsobené krádežou osobných údajov sú vo väčšine vyspelých krajín trestným činom.

Zozbierané informácie však možno využiť nielen na reklamné účely – napríklad získanie informácií o PC používateľa môže značne zjednodušiť hackerský útok a hacknutie počítača používateľa. A ak sa program pravidelne aktualizuje cez internet, potom je počítač veľmi zraniteľný - elementárny útok na DNS môže nahradiť adresu zdroja aktualizácie adresou hackerovho servera - takáto "aktualizácia" povedie k zavlečenie akejkoľvek osoby zvonku do počítača používateľa softvér.

Spyware sa môže dostať do počítača používateľa dvoma hlavnými spôsobmi:

1. Pri návšteve internetových stránok. Najčastejší prienik spywaru nastáva, keď používateľ navštívi hackerské a warez stránky, stránky s bezplatnou hudbou a porno stránky. Na inštaláciu spywaru sa spravidla používajú komponenty ActiveX alebo trójske kone kategórie TrojanDownloader podľa klasifikácie spoločnosti Kaspersky Lab http://www.kaspersky.ru/. Mnoho hackerských stránok môže vydať crack Program na cracknutie licencovaného softvéru (crack) obsahujúci spyware alebo TrojanDownloader na jeho stiahnutie;

2. V dôsledku inštalácie bezplatných alebo sharewarových programov. Najhoršie je, že takýchto programov je veľa, šíria sa cez internet alebo na pirátskych CD.

Neexistujú presné kritériá na pridanie programu do kategórie „SpyWare“ a tvorcovia antivírusových balíčkov veľmi často zaraďujú programy do kategórií „Adware“ (aplikácia určená na sťahovanie reklamných informácií do počítača používateľa za účelom ich následnej demonštrácie ) a „Únosca“ (utilita, ktorá mení nastavenia prehliadača bez vedomia používateľa) do kategórie „SpyWare“ a naopak.

Pre jednoznačnosť je navrhnutých niekoľko pravidiel a podmienok, podľa ktorých môže byť program klasifikovaný ako SpyWare. Klasifikácia je založená na najbežnejších programoch SpyWare:

1. Program je tajne nainštalovaný na počítači používateľa. Význam tohto odseku je, že inštalátor bežného programu musí upozorniť používateľa na skutočnosť, že program nainštaluje (s možnosťou odmietnuť inštaláciu), navrhnúť výber adresára na inštaláciu a konfiguráciu. Okrem toho musí inštalátor po inštalácii vytvoriť položku v zozname "Pridať alebo odstrániť programy", ktorej volanie vykoná proces odinštalovania a vytvorí zodpovedajúce položky v súbore registra operačného systému. Spyware sa zvyčajne inštaluje exotickým spôsobom (často pomocou modulov Trojan kategórie Trojan-Downloader) skrytým pred používateľom, pričom jeho odinštalovanie je vo väčšine prípadov nemožné. Druhý spôsob inštalácie SpyWare je skrytá inštalácia spojená s nejakým populárnym programom;

2. Program sa tajne načíta do pamäte počas procesu zavádzania počítača. Stojí za zmienku, že vývojári moderného SpyWare začali používať Rootkit B systémy Windows rootkit sa zvyčajne chápe ako program, ktorý sa zavádza do systému a zachytáva systémových funkcií(Windows API). Zachytenie a úprava nízkoúrovňových funkcií API v prvom rade umožňuje takémuto programu dostatočne kvalitne maskovať svoju prítomnosť v systéme. Okrem toho môže rootkit spravidla maskovať prítomnosť akýchkoľvek procesov opísaných v jeho konfigurácii, adresároch a súboroch na disku, kľúčoch v registri v systéme. technológie na maskovanie procesu v pamäti a súboroch na disku. Okrem toho sa stáva populárnym vytváranie „nezničiteľných“ procesov – t.j. spustenie dvoch procesov, ktoré sa po zastavení navzájom reštartujú. Takáto technológia sa používa najmä v SpyWare.WinAd;

3. Program vykonáva niektoré operácie bez určenia používateľa – napríklad prijíma alebo prenáša akékoľvek informácie z internetu;

4. Program sťahuje a inštaluje svoje aktualizácie, doplnky, doplnky alebo iný softvér bez vedomia a súhlasu používateľa. Táto vlastnosť je vlastná mnohým spywarom a je mimoriadne nebezpečná, pretože sťahovanie a inštalácia aktualizácií a doplnkových modulov je tajná a často vedie k nestabilite systému. Okrem toho môžu útočníci použiť mechanizmy automatickej aktualizácie na vloženie modulov trójskych koní do počítača používateľa;

5. Program upraví systémové nastavenia alebo narúša fungovanie iných programov bez vedomia používateľa. Spyware môže napríklad zmeniť úroveň zabezpečenia v nastaveniach prehliadača alebo vykonať zmeny v nastaveniach siete;

6. Program upravuje informácie alebo informačné toky. Typickým príkladom sú rôzne rozšírenia pre program Outlook Express, ktoré pri odosielaní listu pripisujú svoje údaje. Druhým bežným príkladom je úprava stránok stiahnutých z internetu (na stránkach sú zahrnuté reklamné informácie, niektoré slová alebo frázy sa menia na hypertextové odkazy)

Pri tejto klasifikácii si treba všimnúť najmä fakt, že program kategórie SpyWare neumožňuje diaľkovo ovládať počítač a neprenáša heslá a podobné informácie svojim tvorcom – takéto akcie sú špecifické pre inú kategóriu programov – „Trojan “ a „BackDoor“. V mnohých ohľadoch však programy v kategórii SpyWare súvisia s trójskymi koňmi.

Zoskupenie súborov podľa klasifikácie „Kaspersky Lab“ a percentuálne zloženie spywaru je znázornené na obr. 1.

Ako vyplýva z diagramu, 38% z počtu vzoriek tvorí AdWare a SpyWare (treba podotknúť, že SpyWare nie je zaradený do klasifikácie PA – do tejto kategórie sú zaradení najškodlivejší zástupcovia AdWare). Prevažná väčšina vzoriek Trojan-Downloader v tejto kolekcii sú programy na tajné sťahovanie a inštaláciu škodlivého softvéru prezentovaného v kolekcii. Trojan-Spy je čistý spyware, ktorý prenáša dôležité informácie o používateľovi: heslá, čísla kreditné karty, text zadaný z klávesnice. V kategórii Trojan boli vybrané tieto programy: Trojan-Dialer (programy na skrytú úpravu nastavení vytáčania telefónneho čísla alebo vytáčania platiť telefóny), Trojan.StartPage (úprava úvodná stránka a možnosti vyhľadávania internet Explorer, tieto programy sú známe aj ako únoscovia),

Percentuálne zloženie spywaru bolo vykonané podľa klasifikácie "Kaspersky Lab"

Ako vyplýva z diagramu, AdWare a SpyWare tvoria 38% vzoriek. Prevažná väčšina vzoriek Trojan-Downloader v tejto kolekcii sú programy na tajné sťahovanie a inštaláciu malvéru prezentovaného v kolekcii. Trojan-Spy je čistý spyware, ktorý prenáša dôležité informácie o používateľovi: heslá, čísla kreditných kariet, text zadávaný z klávesnice. V kategórii Trojan boli vybrané nasledujúce typy programov: Trojan-Dialer (programy na skrytú úpravu parametrov vytáčania telefónneho čísla alebo vytáčania telefónnych automatov), ​​Trojan.StartPage (úprava úvodnej stránky a parametrov vyhľadávanie na internete Explorer, tieto programy sú známe aj ako Hijackers, Trojan.LowZones (ktoré upravujú nastavenia zabezpečenia Internet Explorera). Do kategórie „Iné“ patria malvér ostatné triedy - existuje asi 50 sieťových a poštových červov bežných typov, 12 exploitov pre Internet Explorer (používajú sa na spúšťanie inštalátorov SpyWare) a 70 špecializovaných trójskych koní (TrojanPSW a Trojan-Proxy). Zadné vrátka – hlavným účelom je neoprávnená, tajná kontrola počítača.

http://www.computermaster.ru/articles/secur2.html

Čo potrebujete vedieť o počítačových vírusoch

(c) Alexander Frolov, Grigory Frolov, 2002

[chránený e-mailom]; http://www.frolov.pp.ru, http://www.datarecovery.ru

Od vzniku osobných počítačov dostupných pre odbornú aj laickú verejnosť sa začala história počítačových vírusov. Ukázalo sa, že práve osobné počítače a programy distribuované na disketách sú práve tým „živným médiom“, v ktorom vznikajú a bezstarostne žijú počítačové vírusy. Mýty a legendy, ktoré vznikajú okolo schopnosti počítačových vírusov preniknúť kamkoľvek a všade, zahaľujú tieto zákerné stvorenia do hmly nepochopiteľného a neznámeho.

Bohužiaľ, aj skúsení správcovia systému (nehovoriac bežných používateľov) nie vždy presne chápu, čo sú počítačové vírusy, ako prenikajú do počítačov a počítačové siete a čo môže spôsobiť škodu. Zároveň bez pochopenia mechanizmu fungovania a šírenia vírusov nie je možné zorganizovať účinnú antivírusovú ochranu. Dokonca aj ten najlepší antivírusový program bude bezmocný, ak sa použije nesprávne.

Krátky kurz histórie počítačových vírusov

Čo je počítačový vírus?

Najvšeobecnejšia definícia počítačového vírusu môže byť uvedená ako programový kód, ktorý sa sám šíri v informačnom prostredí počítačov. Môže byť vložený do spustiteľných a príkazových súborov programov, distribuovaných cez zavádzacie sektory diskiet a pevné disky, dokumenty kancelárskych aplikácií, prostredníctvom e-mailu, webových stránok, ako aj prostredníctvom iných elektronických kanálov.

Po vstupe do počítačového systému sa vírus môže obmedziť na neškodné vizuálne alebo zvukové efekty alebo môže spôsobiť stratu alebo poškodenie údajov, ako aj únik osobných a dôverných informácií. V najhoršom prípade môže byť počítačový systém napadnutý vírusom úplne pod kontrolou útočníka.

Dnes ľudia dôverujú počítačom, že vyriešia mnoho kritických úloh. Preto zlyhanie počítačové systémy môže mať veľmi, veľmi vážne následky, až ľudské obete (predstavte si vírus v počítačových systémoch letiskových služieb). Vývojári informačných počítačových systémov a systémoví správcovia by na to nemali zabúdať.

K dnešnému dňu sú známe desiatky tisíc rôznych vírusov. Napriek takémuto množstvu existuje pomerne obmedzený počet typov vírusov, ktoré sa navzájom líšia v mechanizme distribúcie a princípe účinku. Existujú aj kombinované vírusy, ktoré možno súčasne pripísať niekoľkým rôznym typom. Budeme hovoriť o rôznych typoch vírusov, pričom budeme čo najviac dodržiavať chronologické poradie ich vzhľadu.

Súborové vírusy

Historicky sa súborové vírusy objavovali skôr ako iné typy vírusov a pôvodne boli distribuované v prostredí operačného systému MS-DOS. Vírusy prenikajú do tela programových súborov COM a EXE a menia ich tak, že pri ich spustení sa kontrola neprenesie na infikovaný program, ale na vírus. Vírus môže zapísať svoj kód na koniec, začiatok alebo stred súboru (obr. 1). Vírus môže tiež rozdeliť svoj kód na bloky tak, že ich umiestni na rôzne miesta v infikovanom programe.

Ryža. 1. Vírus v súbore MOUSE.COM

Po kontrole môže vírus infikovať ďalšie programy, preniknúť do pamäte RAM počítača a vykonávať ďalšie škodlivé funkcie. Potom vírus odovzdá kontrolu infikovanému programu a vykoná sa obvyklým spôsobom. Výsledkom je, že používateľ spustený program nemá podozrenie, že je "chorý".

Všimnite si, že súborové vírusy môžu infikovať nielen COM programy a EXE, ale aj iné typy programových súborov - MS-DOS overlay (OVL, OVI, OVR a iné), SYS ovládače, DLL a ľubovoľné súbory s programovým kódom. Súborové vírusy boli vyvinuté nielen pre MS-DOS, ale aj pre iné operačné systémy, ako napr Microsoft Windows, Linux, IBM OS/2. Avšak drvivá väčšina vírusov tohto typužije v prostredí MS-DOS a Microsoft Windows.

V časoch MS-DOS žili súborové vírusy šťastne až do smrti vďaka bezplatnej výmene softvéru, hier a podnikania. V tých časoch boli programové súbory relatívne malé a distribuované na disketách. Infikovaný program mohol byť tiež náhodne stiahnutý z nástenky BBS alebo z internetu. A spolu s týmito programami sa šíria aj súborové vírusy.

Moderné programy zaberajú značné množstvo a sú spravidla distribuované na CD. Výmena programov na disketách je minulosťou. Inštaláciou programu z licencovaného CD sa zvyčajne nevystavujete riziku napadnutia počítača vírusom. Ďalšia vec sú pirátske CD. Tu nemôžete za nič ručiť (hoci poznáme príklady vírusov šíriacich sa na licencovaných CD).

V dôsledku toho dnes súborové vírusy ustúpili v popularite iným typom vírusov, o ktorých si povieme neskôr.

Spúšťacie vírusy

Boot vírusy sú kontrolované vo fáze inicializácie počítača, ešte predtým, ako sa začne načítavať operačný systém. Aby ste pochopili, ako fungujú, musíte si zapamätať postupnosť inicializácie počítača a načítania operačného systému.

Ihneď po zapnutí počítača začne fungovať overovacia procedúra POST (Power On Self Test) zaznamenaná v BIOSe. Počas testu sa zisťuje konfigurácia počítača a kontroluje sa prevádzkyschopnosť jeho hlavných podsystémov. Procedúra POST potom skontroluje, či je disketa v jednotke A:. Ak je vložená disketa, dôjde k ďalšiemu načítaniu operačného systému z diskety. V opačnom prípade sa zavádzanie vykoná z pevného disku.

Pri bootovaní z diskety sa z nej číta procedúra POST zavádzací záznam(Boot Record, BR) do RAM. Tento záznam sa vždy nachádza v úplne prvom sektore diskety a ide o malý program. Okrem programu BR obsahuje dátovú štruktúru, ktorá definuje formát diskety a niektoré ďalšie charakteristiky. Procedúra POST potom prenesie kontrolu na BR. Po prijatí kontroly BR pokračuje priamo k načítaniu operačného systému.

Pri sťahovaní z pevný disk Procedúra POST načíta hlavný zavádzací záznam (MBR) a zapíše ho do pamäte RAM počítača. Táto položka obsahuje zavádzací program a tabuľku oblastí, ktorá popisuje všetky oblasti na pevnom disku. Je uložený v úplne prvom sektore pevného disku.

Po načítaní MBR sa kontrola prenesie do bootloadera, ktorý sa práve načítal z disku. Analyzuje obsah tabuľky oddielov, vyberie aktívny oddiel a načíta BR aktívneho oddielu. Tento záznam je podobný záznamu BR na systémovej diskete a vykonáva rovnaké funkcie.

Teraz o tom, ako "funguje" zavádzací vírus.

Pri infikovaní diskety alebo pevného disku počítača zavádzací vírus nahradí zavádzací záznam BR alebo MBR (obr. 2). Pôvodné záznamy BR alebo MBR zvyčajne nezmiznú (aj keď to tak nie je vždy). Vírus ich skopíruje do jedného z voľných sektorov disku.

Ryža. 2. Vírus v zavádzacom zázname

Vírus teda prevezme kontrolu ihneď po dokončení procedúry POST. Potom spravidla koná podľa štandardného algoritmu. Vírus sa skopíruje až do konca Náhodný vstup do pamäťe pri znížení jeho dostupného objemu. Potom zachytí niekoľko funkcií systému BIOS, takže prístup k nim prenesie kontrolu na vírus. Na konci procesu infekcie vírus nahrá skutočný zavádzací sektor do pamäte RAM počítača a odovzdá mu kontrolu. Ďalej sa počítač spustí ako zvyčajne, ale vírus je už v pamäti a môže ovládať činnosť všetkých programov a ovládačov.

Kombinované vírusy

Veľmi často sa vyskytujú kombinované vírusy, ktoré kombinujú vlastnosti súborových a zavádzacích vírusov.

Jedným z príkladov je vírus OneHalf na spúšťanie súborov, ktorý bol v minulosti rozšírený. Tento vírus, ktorý prenikne do počítača s operačným systémom MS-DOS, infikuje hlavný zavádzací záznam. Počas zavádzania počítača vírus postupne zašifruje sektory pevného disku, počnúc najnovšími sektormi. Keď je rezidentný modul vírusu v pamäti, monitoruje všetky prístupy k šifrovaným sektorom a dešifruje ich tak, aby všetok počítačový softvér bežal normálne. Ak sa OneHalf jednoducho odstráni z pamäte RAM a zavádzacieho sektora, nebude možné správne prečítať informácie zaznamenané v šifrovaných sektoroch disku.

Keď vírus zašifruje polovicu pevného disku, na obrazovke sa zobrazí nasledujúca správa:

Dis je jedna polovica. Pre pokračovanie stlačte ľubovolnú klávesu ...

Potom vírus čaká, kým používateľ stlačí ľubovoľný kláves a pokračuje vo svojej práci.

Vírus OneHalf používa rôzne mechanizmy na maskovanie. Je to stealth vírus a na šírenie používa polymorfné algoritmy. Detekcia a odstránenie vírusu OneHalf je pomerne náročná úloha, ktorá nie je dostupná pre všetky antivírusové programy.

Sprievodné vírusy

Ako viete, v operačných systémoch MS-DOS a Microsoft Windows rôzne verzie, existujú tri typy súborov, ktoré môže používateľ spustiť. Je to príkaz alebo dávka súbory BAT, ako aj spustiteľné súbory COM a EXE. Súčasne sa v rovnakom adresári môže nachádzať niekoľko spustiteľných súborov s rovnakým názvom, ale s inou príponou názvu.

Keď používateľ spustí program a potom na výzvu operačného systému zadá jeho názov, zvyčajne nešpecifikuje príponu súboru. Aký súbor sa spustí, ak je v adresári viacero programov s rovnakým názvom, ale s rôznymi príponami?

Ukazuje sa, že v tomto prípade sa spustí súbor COM. Ak je v aktuálnom adresári alebo v adresároch uvedených v premenná prostredia PATH, existujú teda iba súbory EXE a BAT EXE súbor.

Keď satelitný vírus infikuje súbor EXE alebo BAT, vytvorí ďalší súbor v rovnakom adresári s rovnakým názvom, ale s príponou COM. Vírus sa zapíše do tohto súboru COM. Pri spustení programu teda ako prvý dostane kontrolu satelitný vírus, ktorý potom môže spustiť tento program, ale už pod jeho kontrolou.

Vírusy v dávkových súboroch

Existuje niekoľko vírusov schopných infikovať dávkové súbory BAT. Na to používajú veľmi sofistikovanú metódu. Zvážime to pomocou vírusu BAT.Batman ako príkladu. Pri infikovaní dávkový súbor na začiatok sa vkladá tento text:

@ECHO OFF REM [...] kópia %0 b.com>nul b.com del b.com rem [...]

V hranatých zátvorkách [...] je tu schematicky znázornené umiestnenie bajtov, čo sú inštrukcie procesora alebo dáta vírusu. Príkaz @ECHO OFF zakáže zobrazovanie názvov vykonávaných príkazov. Riadok, ktorý začína príkazom REM, je komentár a nie je nijako interpretovaný.

Príkaz copy %0 b.com>nul skopíruje infikovaný dávkový súbor do súboru B.COM. Tento súbor sa potom spustí a odstráni z disku pomocou príkazu del b.com.

Najzaujímavejšie je, že súbor B.COM vytvorený vírusom sa zhoduje na jeden bajt s infikovaným dávkovým súborom. Ukazuje sa, že ak interpretujete prvé dva riadky infikovaného súboru BAT ako program, bude pozostávať z príkazov CPU, ktoré v skutočnosti nič nerobia. CPU vykoná tieto príkazy a potom začne vykonávať skutočný kód vírusu napísaný po vyhlásení komentára REM. Po získaní kontroly vírus zachytí prerušenia OS a aktivuje sa.

V procese šírenia vírus sleduje zapisovanie údajov do súborov. Ak prvý riadok zapísaný do súboru obsahuje príkaz @echo, vírus si myslí, že sa zapisuje dávkový súbor a infikuje ho.

Šifrovacie a polymorfné vírusy

Na sťaženie detekcie niektoré vírusy šifrujú svoj kód. Zakaždým, keď vírus infikuje nový program, zašifruje svoj vlastný kód pomocou nového kľúča. Výsledkom je, že dve inštancie takéhoto vírusu sa môžu navzájom výrazne líšiť, dokonca môžu mať rôzne dĺžky. Šifrovanie kódu vírusu značne komplikuje proces jeho skúmania. Normálne programy nebudú schopné takýto vírus rozobrať.

Prirodzene, vírus je schopný fungovať iba vtedy, ak je spustiteľný kód dešifrovaný. Keď sa infikovaný program spustí (alebo začne načítavať z infikovaného BR) a vírus prevezme kontrolu, musí dešifrovať jeho kód.

Na sťaženie detekcie vírusu sa používa nielen šifrovanie rôzne kľúče, ale aj rôzne postupy šifrovania. Dva prípady takýchto vírusov nemajú jedinú zodpovedajúcu kódovú sekvenciu. Takéto vírusy, ktoré dokážu úplne zmeniť svoj kód, sa nazývajú polymorfné vírusy.

Stealth vírusy

Stealth vírusy sa snažia skryť svoju prítomnosť v počítači. Majú rezidentný modul trvalo umiestnený v pamäti RAM počítača. Tento modul sa inštaluje pri spustení infikovaného programu alebo pri zavádzaní z disku infikovaného zavádzacím vírusom.

Rezidentný modul vírusu zachytáva hovory do diskového podsystému počítača. Ak operačný systém alebo iný program prečíta infikovaný súbor programu, vírus nahradí skutočný, neinfikovaný súbor programu. Na tento účel môže rezidentný modul vírusu dočasne odstrániť vírus z infikovaného súboru. Po ukončení práce so súborom sa opäť infikuje.

Boot stealth vírusy fungujú rovnakým spôsobom. Keď program načíta dáta z boot sektora, skutočný boot sektor je nahradený infikovaným sektorom.

Kamufláž vírusu stealth funguje iba vtedy, ak má vírus v pamäti RAM počítača rezidentný modul. Ak je počítač nabootovaný z čistej, neinfikovanej systémovej diskety, vírus nemá šancu získať kontrolu, a preto mechanizmus stealth nefunguje.

Makropríkazové vírusy

Doteraz sme hovorili o vírusoch, ktoré žijú v spustiteľných súboroch programov a zavádzacie sektory disky. Široká distribúcia kancelárskeho balíka Microsoft Office spôsobilo lavínu nových typov vírusov, ktoré sa šírili nie pomocou programov, ale pomocou súborov dokumentov.

Na prvý pohľad sa to môže zdať nemožné – v skutočnosti, kde sa môžu vírusy skrývať v textových dokumentoch programu Microsoft Word alebo v bunkách v tabuľkách programu Microsoft Excel?

V skutočnosti však môžu súbory dokumentov balíka Microsoft Office obsahovať malé programy na spracovanie týchto dokumentov napísané v programovacom jazyku Visual Basic for Applications. Týka sa to nielen dokumentov Wordu a Excelu, ale aj databáz Accessu a prezentačných súborov Power Point. Takéto programy sa vytvárajú pomocou makier, takže vírusy, ktoré žijú v kancelárskych dokumentoch, sa nazývajú makrá.

Ako sa šíria makropríkazové vírusy?

Spolu so súbormi dokumentov. Používatelia zdieľajú súbory prostredníctvom diskiet, sieťových adresárov súborových serverov podnikového intranetu, e-mailu a iných kanálov. Ak chcete infikovať počítač vírusom makropríkazu, jednoducho otvorte súbor dokumentu v príslušnom súbore kancelárska aplikácia- a je hotovo!

Vírusy s makro príkazmi sú teraz veľmi bežné, čo je do značnej miery spôsobené popularitou balíka Microsoft Office. Dokážu narobiť toľko škody, a v niektorých prípadoch aj viac ako „obyčajné“ vírusy, ktoré infikujú spustiteľné súbory a zavádzacie sektory diskov a diskiet. Najväčšie nebezpečenstvo makropríkazových vírusov podľa nášho názoru spočíva v tom, že môžu modifikovať infikované dokumenty a zostať tak dlho nepovšimnuté.

Od detstva sme počúvali, že tí dobrí sú skauti, pracujú pre našich. A tí zlí sú špióni, to sú cudzinci - tí chlapi v čiernych okuliaroch, v maskáčoch zapínaných na všetkých gombíkoch a s balíkom dolárov vo vrecku. Prišlo dvadsiate prvé storočie a teraz to už vôbec nie sú pogumované pršiplášte, ktoré sa nazývajú mackintosh, hoci sú v nich stále zapnutí špióni ... Stretnite sa dnes v aréne: spyware od „dobra“ a „zla“ (ako pozrieť, čo?) strany sily.

Skauti: malvér pre potreby vlády

V lete 2012 zamestnanci antivírusové laboratórium Kaspersky objavil malvér s názvom Morcut. Bol aplikovaný na skupinu nezávislých novinárov z Maroka, ktorí informovali o udalostiach počas Arabskej jari, ich počítače boli zámerne infikované prostredníctvom e-mailovej služby.

V klasifikácii iných antivírusových spoločností je malvér označený ako Crisis (Symantec) a DaVinci (Dr.Web). Počas vyšetrovania vedeného Dr.Webom sa zistilo, že Morcut je súčasťou systému diaľkové ovládanie DaVinci, ktorý vyvinul a predáva Hacking Team.

Da Vinci

Systém DaVinci je vývojárom umiestnený ako SORM (systém technické prostriedky na zabezpečenie funkcií operatívno-pátracej činnosti) pre využitie štátnymi orgánmi a orgánmi činnými v trestnom konaní. Okrem Hacking Teamu vyvíja podobné SORM množstvo ďalších spoločností. Spravidla ide o komplex programov pozostávajúci z riadiaceho servera a klient-agenta. Agent je nenápadne nainštalovaný v počítači a má nasledujúce funkcie:

  • vyhľadávanie a vytváranie zoznamu súborov, ktoré spĺňajú zadané kritériá;
  • odosielanie ľubovoľných súborov vrátane elektronické dokumenty, na vzdialený server;
  • zachytávanie hesiel z e-mailových služieb a sociálnych sietí;
  • zhromažďovanie údajov o navštívených internetových zdrojoch;
  • zachytenie toku údajov elektronických hlasových komunikačných systémov (Skype);
  • zachytenie dát okamžitých správ (ICQ);
  • zber kontaktných informácií mobilné telefóny pripojený k počítaču;
  • nahrávanie zvukových a obrazových informácií (ak je pripojená webová kamera a mikrofón).

Podľa Wall Street Journal množstvo európskych spoločností dodávalo SORM založený na open source softvéri s takouto funkcionalitou do krajín Blízkeho východu, ktorých vlády ich využívali na boj proti opozične zmýšľajúcim segmentom obyvateľstva.


Mimovládna organizácia Privacy International (Veľká Británia), zaoberajúca sa zisťovaním faktov o porušovaní ľudských práv, neustále monitoruje medzinárodný trh SORM a vedie zoznam spoločností, ktoré vyvíjajú riešenia v tejto oblasti. Zoznam je zostavený na základe analýzy spoločností zúčastňujúcich sa na špecializovanej konferencii ISS World (Intelligence Support Systems - systémy na zabezpečenie zberu informácií). Na tomto podujatí, ktoré sa koná pravidelne niekoľkokrát do roka, sa stretávajú potenciálni kupci a developeri SORM. Tu sú niektoré spoločnosti vyvíjajúce malvér pod zámienkou SORM.

FinFisher (finfisher.com), divízia Gamma International (Spojené kráľovstvo)

Podľa niektorých správ sa po odstúpení Husního Mubaraka po udalostiach v roku 2011 v Egypte našli dokumenty (pozri obr. 3, 4), ktoré naznačujú, že FinFisher poskytoval služby na sledovanie egyptských občanov pomocou komplexu FinSpy. Fakt nákupu päťmesačnej licencie Mubarakovmu režimu v Egypte za 287-tisíc eur firma tvrdošijne popiera. FinSpy je schopný zachytiť hovory Skype, kradnite heslá a nahrávajte zvukové a obrazové informácie. FinSpy sa na počítačoch používateľov inštaluje nasledujúcim spôsobom: e-mailom sa odošle správa s odkazom na škodlivú stránku. Keď používateľ otvorí odkaz, zobrazí sa výzva na aktualizáciu softvéru. V skutočnosti sa namiesto aktualizácie nainštaluje malvér. Spôsob distribúcie FinSpy prostredníctvom e-mailu bol zaznamenaný v lete 2012 v súvislosti s prodemokratickými aktivistami v Bahrajne.



Hacking Team (hackingteam.it), Taliansko

Vývojár systému diaľkového ovládania DaVinci, ktorý je umiestnený ako sledovací nástroj určený na použitie vládami a orgánmi činnými v trestnom konaní rôznych štátov. Funkcionalita DaVinci je podobná FinSpy – ide o odpočúvanie cez Skype, e-maily, heslá, dáta okamžitých správ (ICQ), ako aj nahrávanie zvukových a obrazových informácií. Klientska časť DaVinci je schopná fungovať aj v prostredí operačných systémov Rodiny Windows(verzie XP, Vista, Seven), a v prostredí operačných systémov rodiny Mac OS (verzie Snow Leopard, Lion). Cena systému DaVinci je vraj asi 200-tisíc eur, obsahuje povinnosť neustále aktualizovať a udržiavať produkt, kým sa nedosiahne konečný cieľ útoku (získanie potrebných informácií).

Area SpA (area.it), Taliansko

V novembri 2011 sa zistilo, že zamestnanci tejto spoločnosti nainštalovali monitorovací systém pre sýrsku vládu, ktorý je schopný zachytiť, skenovať a ukladať takmer všetky e-mailové správy v krajine. Mesiac po odhalení tejto skutočnosti EÚ zakázala vývoz technického sledovacieho zariadenia do Sýrie a jeho údržbu. Systém bol nasadený na základe dohody so sýrskou telekomunikačnou spoločnosťou STE (Syrian Telecommunications Establishment), ktorá je hlavným operátorom pevná komunikácia v Sýrii. Na inštaláciu bol použitý spôsob, ktorý bol účinný, ak bol prístup do telekomunikačných sietí (špeciálne služby štátu a presadzovania práva mať takýto prístup), - nahrádzanie informácií. Napríklad pri vyhľadávaní informácií na google.com používateľ dostal odkazy vedúce na škodlivú stránku a bol infikovaný pod zámienkou inštalácie komponentov prehliadača potrebných na správne zobrazenie obsahu stránky.

Amesys (amesys.fr), divízia spoločnosti Bull SA, Francúzsko

Novinári z Wall Street Journal v jednom z internetových monitorovacích centier, ktoré nechali Kaddáfího priaznivci v Tripolise (Líbya), objavili použitie sledovacieho systému Amesys. Podľa ich svedectiev dokázali líbyjské úrady čítať e-maily, získavať heslá, čítať okamžité správy a mapovať spojenia medzi ľuďmi. Dokumenty zverejnené na zdroji WikiLeaks ukázali, že systém nasadený Amesysom umožnil monitorovať disidentov a opozičníkov aj v zahraničí, napríklad žijúcich v Spojenom kráľovstve.

špiónov

Trójske kone použité pri kybernetických útokoch v roku 2013 väčšinou neboli ničím výnimočným. Ak bol rok 2012 pre Kaspersky Lab rokom PR na tému hi-tech kybernetických zbraní, tak v roku 2013 sa objavil nový trend – používanie rozšíreného malvéru v cielených útokoch, na rozdiel od tých, ktoré jasne napísal tím profesionálov na konkrétne účely. . A stále častejšie ojedinelé znaky poukazujú na možných útočníkov, ako sú Čína a Severná Kórea. Môžeme teda hovoriť o takzvaných „západných“ a „ázijských školách“ písania trójskych koní používaných na útoky triedy APT. Čo je charakteristické pre „západnú školu“?

  1. Investujú sa značné finančné prostriedky.
  2. Škodlivý kód je digitálne podpísaný legitímnymi spoločnosťami, certifikáty preň sú zvyčajne ukradnuté z napadnutých serverov, čo si vyžaduje určitú prípravnú prácu, ľudské zdroje a v konečnom dôsledku bod číslo 1. Podpis vám umožňuje jednoducho nainštalovať ovládače na prepnutie do režimu jadra, čo je možné implementovať funkcie rootkitu av niektorých prípadoch obísť ochranu antivírusovými nástrojmi.
  3. Zero-day zraniteľnosti sú hojne využívané na skryté spustenie a eskaláciu privilégií v systéme, takéto zraniteľnosti stoja veľa, preto pozri opäť bod 1.

Od roku 2010 bol objavený nasledujúci malvér s chytľavým označením „kybernetická zbraň“ (pozri obr. 2), v tomto článku nebudeme popisovať ich exploity úplne – už sme to urobili – ale jednoducho si prejdeme ich najzaujímavejšie Vlastnosti.

Stuxnet

Na všeobecnom pozadí vyniká tým, že je zatiaľ jediným zástupcom malvéru, ktorý môže fyzicky poškodiť niektoré podnikové objekty. Takže vlastne len to možno pripísať triede kybernetických zbraní. Zaujímavé na ňom boli aj štyri zero-day zraniteľnosti, šírené na USB nie cez triviálny autorun.inf, ale cez skratku MS10-046 obsluhujúcu zraniteľnosť. Pri automatickom načítavaní z flash disku prostredníctvom škodlivého zástupcu sa spustil komponent rootkit, po ktorom sa škodlivé komponenty Stuxnet umiestnené na usb flash, stal sa neviditeľným. Mal funkcie červa, ako je Conficker (MS08-067), ako aj spôsob šírenia cez sieť prostredníctvom zraniteľnosti tlačového subsystému (MS10-061). Ovládače boli podpísané ukradnutými certifikátmi.

duqu

Používa sa ako prepravný kontajner wordový dokument(spustené v dôsledku zraniteľnosti v manipulácii s písmom MS11-087, zero-day), odoslané e-mailom. Ovládače, ako napríklad ovládače Stuxnet, boli podpísané, a preto sa niektorí antivírusoví analytici stále snažia ospravedlniť spojenie medzi Stuxnet a Duqu.

plameň

Zaujímavosťou je, že podpis komponentov patrí Microsoftu, vznikol výberom kolízie MD5. Neskutočne veľká veľkosť zdroja, cca 20 MB, použitie veľkého množstva kódu tretích strán. Existuje modul, ktorý využíva Bluetooth na zachytávanie informácií mobilné zariadenia.

Gauss

Má modulárnu štruktúru, moduly majú interné názvy známych matematikov ako Gödel, Gauss, Lagrange. Využitie vymeniteľné médiá na uloženie zhromaždených informácií skrytý súbor(to umožňuje únik informácií cez ochranný obvod, kde nie je internet, na flash disku). Obsahuje zásuvné moduly určené na krádež a sledovanie údajov odosielaných používateľmi niekoľkých libanonských bánk – Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank a Credit Libanais.

MiniFlame

Projekt súvisiaci s Flame. Počas analýzy príkazové a riadiace servery Flame zistil, že sú štyri odlišné typy klienti („malvér“) s kódovým označením SP, SPE, FL a IP. MiniFlame zodpovedá názvu SPE, resp. Flame, - FL. Škodlivý softvér s názvami SP a IP sa vo voľnej prírode nikdy nenašiel.

Sputnik

Schopný kradnúť dáta z mobilných zariadení, zbierať informácie z sieťové vybavenie(Cisco) a súbory z jednotiek USB (vrátane predchádzajúcich odstránené súbory, ktorý používa vlastnú technológiu obnovy súborov), kradnúť poštové databázy z lokálneho úložiska Outlooku alebo zo vzdialeného servera POP/IMAP a extrahovať súbory z lokálnych FTP serverov v sieti.

minivojvoda

Napísané v assembleri, čo je v našej dobe už prekvapujúce (vidíte, verbalizovali niekoho zo starej školy). Adresy C&C sú prevzaté zo služby Twitter. Ak Twitter nefungoval, vyhľadávanie Google sa použilo na nájdenie zašifrovaných odkazov na nové riadiace servery.

Čínske kybernetické skupiny sa snažia držať krok s pokrokom a napríklad trójsky kôň ako Winnti, používaný na útoky na spoločnosti s online počítačovými hrami, obsahuje podpísané ovládače.

Ázijskí školskí špióni

  • Júl 2012 – Madi;
  • august 2012 – Shamoon;
  • November 2012 - Narilam.

Všetky sú napísané v Delphi (lameware :)), kód nežiari špeciálnou vyrobiteľnosťou, o zero-day a podpisoch niet čo povedať. Využívajú sa verejné technológie a metódy. Ale napriek tomu - fungujú! Mimochodom, trójske kone s deštruktívnymi funkciami po útokoch APT sú opäť v móde, Shamoon a Narilam sú len jednými z nich. Boli použité na paralyzovanie práce jednotlivých organizácií ničením informácií na počítačoch.

Otázky terminológie

Staré pojmy ako „vírus“, „červ“ a „trójsky kôň“ už úplne nezodpovedajú realite. Je obzvlášť poľutovaniahodné, že internetoví novinári sú hlboko fialoví o tom, ako sa vírus líši od trójskeho koňa, a človek, ktorý sa viac či menej orientuje v téme, je odseknutý frázami ako „vírus stuxnet“, „vírus kido“ alebo „carberp“. vírus". Zopakujme si základné pojmy:

  • vírus - má funkciu samošírenia, infikuje spustiteľné súbory;
  • trojan - nemá funkciu samošírenia;
  • červ - má funkciu vlastného šírenia, v klasickom zmysle - prostredníctvom využívania zraniteľností služieb OS dostupných cez sieť (červ Morris), o niečo neskôr - prostredníctvom mydla a flash diskov;
  • rootkit - využíva funkcie skrývania príznakov svojej prítomnosti v systéme.

V praxi mnohé vzorky malvéru kombinujú niekoľko z týchto charakteristík. V súčasnosti je čas klasifikovať malvér podľa niektorých ďalších kritérií. Skúsme na to prísť. Po prvé, akýkoľvek malvér našej doby je predovšetkým komerčný projekt. Rozdiel je len v počiatočných financiách a konečných cieľoch. Bežne možno rozlíšiť tieto skupiny:

  • lameware je nový pojem, ktorý znamená malvér napísaný začiatočníkmi alebo amatérmi v tejto oblasti (v každodennom živote - lamermi). Často používajte Delphi. Vývoj si spravidla nevyžaduje žiadne finančné investície, ale príjem v relatívnom vyjadrení je malý. Hlavnou motiváciou pre písanie lameware je pobaviť váš CSF;
  • kvalitný komerčný malvér – malvér so „svetovým“ názvom, ktorý má niekoľko generácií a vedie svoju históriu už niekoľko rokov;
  • APT - spyware, ktorého distribúcia a funkčnosť sa vyznačuje bodovým zameraním na konkrétne ciele - firmy, organizácie.

Záver

Internetizácia, informatizácia a iná globalizácia uľahčili ľuďom život. Aj ty, aj ja, aj tí, čo kedysi museli skákať s padákom, prehrýzť sa ostnatým drôtom, odpočúvať, špehovať, podkopávať a podplácať. Veľkú časť práce týchto silných chlapov dnes robia talentovaní programátori za milióny dolárov, ktoré sú na pomery zodpovedajúcich rozpočtov smiešne. Áno, mimochodom, život sa uľahčil aj zločineckým osobnostiam, ktoré kedysi museli behať s koltom za poštovými dostavníkmi. Buďte pozorní a opatrní!

v skutočnosti liečiť vírusy, to nie je veľmi zložitá operácia, aby ste za túto prácu zaplatili špecialistom veľa peňazí. Počítač môžete chrániť pred vírusmi alebo v prípade infekcie vrátiť počítač do „zdravého“ stavu odstránením škodlivého softvéru, výberom dobrého antivírusového programu a dodržiavaním určitých pravidiel. Vezmite si aspoň dve najdôležitejšie: Po prvé, pravidelne aktualizujte antivírusové databázy. Druhým je úplné skenovanie počítača na prítomnosť vírusov raz za mesiac.

Takže si myslím, že je jasné, že odstránenie škodlivého softvéru sa vykonáva pomocou antivírusov. Sú platené a bezplatné, o bezplatných metódach som hovoril v nasledujúcom článku:

A teraz o tom, čo je to škodlivý program alebo iným spôsobom vírus?

Počítačový vírus alebo malvér- ide o program, ktorého hlavným účelom je: poškodenie počítača, poškodenie používateľských údajov, odcudzenie alebo vymazanie osobných údajov, zníženie výkonu počítača a mnohé ďalšie.

Randiť malvér môžu byť rozdelené do niekoľkých typov podľa ich vplyvu na počítač.

  • klasické vírusy.
  • Trójske kone.
  • Špióni.
  • Rootkity.
  • adware.

Pozrime sa bližšie na jednotlivé typy malvéru.

Klasické vírusy sú škodlivé programy, ktoré môžu infikovať počítač napríklad cez internet. A podstata takýchto vírusov spočíva v sebareplikácii. Takéto vírusy sa skopírujú, skopírujú súbory a priečinky, ktoré sú na infikovanom počítači. Robia to preto, aby infikovali údaje, takže v budúcnosti by ich obnovenie nebolo možné. Tento vírus sa pokúša poškodiť všetky dáta v počítači tým, že vloží svoj kód do všetkých súborov, od systémových súborov až po osobné údaje používateľa. Najčastejšie je spása na takto infikovanom počítači.

Trojan je vážny typ vírusu. Trójske kone sú napísané útočníkmi na konkrétny účel, napríklad na krádež informácií z počítačov alebo na krádež hesiel atď.

Trójsky kôň je rozdelený na dve časti. Prvá časť, nazývaná Server, je uložená útočníkom a druhá, Klientska, je distribuovaná do všetkých možných kútov internetu a na iné miesta. Ak sa klientska časť škodlivého programu dostane do počítača, tento počítač sa nakazí a trójsky kôň začne na svojom serveri odosielať útočníkovi rôzne informácie v prestrojení.

Trójsky kôň môže na žiadosť servera (narušiteľa) vykonávať na počítači rôzne operácie, kradnúť heslá, infikovať dokumenty a súbory škodlivým kódom.

špiónov sú trochu podobné trójskym koňom. Majú však hlavný rozdiel a spočíva v tom, že špióni nepoškodzujú systém a používateľské súbory. Spyware pokojne sa usadiť na počítači a špehovať. Môžu ukradnúť heslá alebo dokonca uložiť úplne všetko, čo zadáte z klávesnice.

Spyware je najinteligentnejší typ vírusu a môže dokonca odosielať súbory z infikovaného počítača. Špión vie veľa informácií o infikovanom počítači: aký systém je nainštalovaný, aký antivírus používate, aký prehliadač používate na internete, aké programy sú nainštalované v počítači atď. Spyware je jedným z najnebezpečnejších malwarov.

rootkity Samy o sebe nie sú vírusmi. Ale rootkity sú programy, ktorých účelom je skryť existenciu iných vírusov v počítači. Napríklad počítač bol infikovaný špionážnym vírusom v rovnakom čase ako rootkit. A rootkit sa pokúsi skryť pred vaším antivírusom a operačným systémom špióna. Prítomnosť rootkitov v počítači teda nie je o nič menej nebezpečná, pretože môžu fungovať celkom dobre a skryť veľa vírusov (spyware, trójske kone) pred očami nášho antivírusu na dlhú dobu!

Adware je ďalší typ malvéru. Je to menej nebezpečný program a jeho podstatou je prehrávať reklamy na počítači rôznymi spôsobmi na rôznych miestach. Adware nespôsobuje žiadne škody a neinfikuje ani nepoškodzuje súbory. Ale musíte sa chrániť aj pred týmto typom vírusu.

Toto sú typy malvér existujú. Na ochranu počítača pred vírusmi potrebujeme dobrý antivírus. Hovoril som o tom v inom článku a teraz budeme pokračovať v téme opisu vírusov a schém ochrany pre náš počítač.

Predtým nemali vírusy žiadny konkrétny účel, boli napísané pre zaujímavosť a vývojár si nestanovil konkrétny cieľ. Vírusy sú teraz najkomplexnejšími algoritmami, ktorých podstatou je najčastejšie krádež peňazí a dát. Trójske kone sú najčastejšie určené len na krádež hesiel a iných dôležitých údajov.

Mimochodom, to, či bol váš počítač napadnutý vírusmi, sa dá rozlíšiť podľa niektorých funkcií:

  • Programy nefungujú správne alebo prestanú fungovať úplne.
  • Počítač sa začal spomaľovať, pracovať pomaly.
  • Niektoré súbory sa poškodia, odmietnu ich otvoriť.

Veľmi často sa tieto príznaky môžu stať príznakom infekcie počítačovým vírusom ale našťastie nie vždy.

Treba poznamenať, že najčastejšie môže infikovať jeden konkrétny vírus Rôzne druhy súbory. Preto aj po vyliečení počítača zo silného vírusového útoku bude formátovanie oddielu najsprávnejšie.

Aby ste sa ochránili pred vírusmi, ako som povedal vyššie, pomôžu vám antivírusové programy. Dnes majú antivírusové programy funkcie, ktoré postačujú na to, aby odrážali takmer všetky škodlivé programy, ktoré sú distribuované na internete. Ale na maximum ochrana pred vírusom dôležitú úlohu zohráva správne zvolený a nakonfigurovaný antivírusový program pre plný „bojový“ výkon. Odporúčam vám prečítať si článok o. Ale ak nemáte čas, potom vám tu vymenujem najlepšie antivírusové programy. K dnešnému dňu sú to tieto:

  • Kaspersky
  • Avast
  • Dr Web
  • NOD32

Myslím, že je z čoho vyberať.

Veľa šťastia a vynikajúcej ochrany pred vírusmi.

Malvér, trójske kone a hrozby

Väčšina počítačov je pripojená k sieti (internet, lokálna sieť), čo zjednodušuje distribúciu škodlivých programov (podľa ruských štandardov sa takéto programy nazývajú „deštruktívne softvér"ale pretože tento koncept nie je bežné, preskúmanie bude používať pojem „škodlivé programy“; na anglický jazyk nazývajú sa malvér). Tieto programy zahŕňajú trójske kone (známe aj ako trójske kone), vírusy, červy, spyware, adware, rootkity a rôzne iné typy.

Ďalším plusom je, že MBAM len zriedka spôsobuje konflikty s inými nástrojmi proti malvéru.

Bezplatný Trojan Scanner SUPERAntiSpyware

. Okrem spywaru tento program skenuje a odstraňuje ďalšie typy hrozieb, ako sú dialery, keyloggery, červy, rootkity atď.

Program má tri typy kontroly: rýchlu, úplnú alebo vlastnú kontrolu systému. Pred skenovaním program ponúka kontrolu aktualizácií, aby vás okamžite ochránil pred najnovšími hrozbami. SAS má vlastnú čiernu listinu. Toto je zoznam 100 príkladov rôznych knižníc DLL a EXE, ktoré by nemali byť v počítači. Keď kliknete na niektorú z položiek v zozname, dostanete Celý popis vyhrážky.

Jeden z dôležité vlastnosti programy - ide o prítomnosť ochrany Hi-Jack, ktorá neumožňuje iným aplikáciám ukončiť program (s výnimkou Správcu úloh).

Žiaľ, bezplatná verzia tohto programu nepodporuje ochranu v reálnom čase, plánované kontroly a množstvo ďalších funkcií.

Viac programov

Ďalšie bezplatné skenery trójskych koní, ktoré nie sú zahrnuté v recenzii:

  • Rising PC Doctor (už nie je k dispozícii, na internete stále nájdete staré verzie) - Trojan a spyware skener. Ponúka príležitosť automatická ochrana z množstva trójskych koní. Ďalej ponúka tieto nástroje: správu spustenia, manažéra procesov, správcu služieb, File Shredder (program na mazanie súborov, bez možnosti ich obnovy) a iné.
  • FreeFixer – prehľadá váš systém a pomôže vám odstrániť trójske kone a iný malvér. Od používateľa sa však vyžaduje, aby správne interpretoval výsledky programu. Pri rozhodovaní o odstránení dôležitých systémových súborov musíte byť obzvlášť opatrní, pretože to môže poškodiť váš systém. Existujú však fóra, kde sa môžete poradiť v prípade pochybností o rozhodnutí (odkazy na fóra sú na stránke).
  • Ashampoo Anti-Malware (Bohužiaľ sa stal skúšobnou verziou. Je možné, že staršie verzie sa dajú stále nájsť na internete) - pôvodne bol tento produkt len ​​komerčný. Bezplatná verzia poskytuje ochranu v reálnom čase a ponúka aj rôzne optimalizačné nástroje.

Stručný sprievodca (odkazy na stiahnutie Trojan Scanner)

Emsisoft Anti-Malware

Skenuje a odstraňuje trójske kone, červy, vírusy, spyware, sledovače, dialery atď. Jednoduché použitie.
IN bezplatná verzia výrazne obmedzené. Nedostupné: automatická aktualizácia, ochrana súborov v reálnom čase, plánovaná kontrola atď.
Bohužiaľ sa z toho stal súdny proces. Možno sa na internete stále dajú nájsť staršie verzie
www.emsisoft(.)com

PC nástroje ThreatFire

Proaktívna ochrana pred známymi a neznámymi trójskymi koňmi, vírusmi, červami, spywarom, rootkitmi a iným škodlivým softvérom.
Automatická aktualizácia nie je k dispozícii, ak ste sa odhlásili z komunity ThreatFire. Verzia 4.10 sa od novembra 2011 nezmenila.


Načítava...
Hore