Riskware


К классу программ Riskware относятся легальные программы (некоторые из них свободно продаются и широко используются в легальных целях), которые, тем не менее, в руках злоумышленника способны причинить вред пользователю и его данным.

В списке программ класса Riskware можно обнаружить легальные утилиты удаленного администрирования, программы-клиенты IRC, звонилки-дайлеры, скачиватели-даунлоадеры, мониторы любой активности, утилиты для работы с паролями, а также многочисленные интернет-серверы служб FTP, Web, Proxy и Telnet.

Все эти программы не являются вредоносными сами по себе, однако обладают функционалом, которым могут воспользоваться злоумышленники для причинения вреда пользователям.

Возьмем, например, программу удаленного администрирования WinVNC. Данная программа позволяет получать доступ к интерфейсу удаленного компьютера и используется для удаленного управления и наблюдения за удаленной машиной. Вот как описывается ее функционал на официальном веб-сайте производителя программы:

VNC stands for Virtual Network Computing. It is remote control software which allows you to view and interact with one computer (the "server") using a simple program (the "viewer") on another computer anywhere on the Internet. The two computers don't even have to be the same type, so for example you can use VNC to view an office Linux machine on your Windows PC at home. VNC is freely and publicly available and is in widespread active use by millions throughout industry, academia and privately.
Таким образом, данная программа является легальной, свободно распространяемой и необходимой в работе добропорядочных системных администраторов или других технических специалистов.

Однако в руках злоумышленников эта программа способна причинить вред пользователю и его данным — нашей антивирусной лабораторией зафиксированы случаи скрытной установки WinVNC с целью получения полного удаленного доступа к чужому компьютеру.

В качестве другого примера возьмем утилиту mIRC. Это легальная программа, являющаяся клиентом IRC-cети:

mIRC is a shareware IRC client for Windows. It is developed and copyrighted by Khaled Mardam-Bey. mIRC is a highly configurable IRC client with all the goodies other clients on UNIX, Macintosh and even on windows offer, combined with a *nice* and clean user interface. mIRC offers full color text lines, DCC File Send and Get capabilities, programmable aliases, a remote commands and events handler, place sensitive popup menu's, a great Switchbar, World Wide Web and sound support, and... a lot more. mIRC is shareware but not crippled in any way...
Расширенным функционалом утилиты mIRC могут воспользоваться злоумышленники — наша антивирусная лаборатория регулярно обнаруживает троянские программы (в частности, бэкдоры), использующие функции mIRC в своей работе.

Так, любой IRC-бэкдор способен без ведома пользователя дописать в файл конфигурации mIRC собственные скрипты и успешно выполнить свои деструктивные функции на пораженной машине. При этом пользователь mIRC не будет даже подозревать о функционировании на его компьютере вредоносной троянской программы.

Зачастую вредоносные программы самостоятельно устанавливают на пользовательский компьютер клиент mIRC для последующего использования его в собственных целях. В качестве места размещения mIRC в этом случае, как правило, выступает папка Windows и ее подпапки. Обнаружение mIRC в этих папках практически однозначно свидетельствует о факте заражения компьютера какими-то вредоносными программами.