Лицензионные соглашения у вредоносных программ

    Любое программное обеспечение — это объект интеллектуальной собственности. По сложившейся на рынке практике многие производители ПО оставляют за собой исключительные права на владение продуктом и лишь предоставляют клиентам возможность использовать одну или несколько его копий. Эти и другие юридические тонкости оговариваются в специальных документах — лицензионных соглашениях.

    Вместе с информацией о регулировании прав и обязанностей сторон в них может прописываться отказ от ответственности за возможный ущерб или упущенную выгоду конечного пользователя из-за неправильной работы программ. Кроме того, в таких документах могут содержаться требования, обязывающие пользователей предоставлять те или иные конфиденциальные данные, а также другие не менее важные условия. При этом, чтобы начать работу с приложениями, почти всегда необходимо принять эти условия, даже если они спорные. Однако мы настолько привыкли к однотипным лицензионным соглашениям у компьютерных программ, что редко читаем эти длинные и скучные документы. Почти всегда пользователи автоматически принимают все их положения, не задумываясь о возможных последствиях.

    Как это ни удивительно, но лицензионные соглашения встречаются даже у вредоносных приложений. Во-первых, вирусописатели составляют их непосредственно для пользователей троянских и других опасных программ. В этом случае их клиенты заведомо знают о назначении такого ПО. Во-вторых, соглашения могут создаваться для маскировки троянцев под безобидные приложения, чтобы обмануть потенциальных жертв или попытаться избежать проблем с законом.

    Что же вирусописатели пишут в лицензионных соглашениях и с чем предлагают согласиться пользователям?

    Создатели троянцев и сомнительного ПО не изобретают велосипед. Они сообщают ровно то же, что и разработчики «нормальных» программ. Только формулировки иногда не такие отточенные. Пункты соглашений могут отличаться в зависимости от фантазии вирусописателей, но в целом они стандартны. В них оговариваются условия предоставления сервиса, права и обязанности сторон, а в особо «правильных» текстах даже может присутствовать отказ от ответственности. Всё как у разработчиков легальных приложений.

    Рассмотрим пример одного из таких лицензионных соглашений. Оно составлено для покупателей троянца-стилера, которого злоумышленники продают на черном рынке.



    Вирусописатели постарались снять с себя всю ответственность и, как им, видимо, кажется, избежать внимания правоохранительных органов. Во-первых, в соглашении они сообщают, что вся предоставляемая ими информация якобы носит только ознакомительный характер. И это несмотря на то, что они продают вредоносную программу и не скрывают этого. Во-вторых, авторы стилера заявляют, что не призывают к нарушению законодательства и не несут ответственности за действия их клиентов. Однако создание троянца и его продажа автоматически подпадают под действие статьи 273 УК РФ («Создание, использование и распространение вредоносных компьютерных программ»). Поэтому, как бы эти (и другие) вирусописатели ни играли формулировками и отписками, избежать проблем с законом у них не выйдет.

    К слову, в аналогичном положении оказываются и специалисты по информационной безопасности — исследователи, участники различных ИТ-конференций и т. д. Создание ими концептов вредоносных программ (PoC), демонстрационных эксплойтов и прочих академических разработок также нарушает закон с точки зрения уголовного права. Даже если они были сделаны в демонстрационных, просветительских или исследовательских целях.

    Рассмотрим другой пример. Это не совсем полноценное лицензионное соглашение, а некий свод правил от разработчика программного упаковщика, продаваемого на подпольных интернет-площадках.



    Упаковщики для исполняемых файлов — вещь распространенная. Они среди прочего широко используются для защиты от недобросовестной конкуренции на рынке ПО — антиотладки и реверсинга. Однако существуют экземпляры, которые создаются для целенаправленного противодействия антивирусам. Как и «белые» упаковщики, они также защищают программы. Но программы эти уже отнюдь не безобидные, а вредоносные. Так и в рассматриваемом случае.

    Автор (или авторы) указанного упаковщика гордо сообщают о снижении эффективности детектирования антивирусами при его применении, фактически признаваясь в нарушении закона. Ведь согласно пункту 1 уже знакомой нам статьи 273 УК РФ нейтрализация средств защиты компьютерной информации является преступлением. А продаваемый ими упаковщик как раз создан для несанкционированной нейтрализации антивирусов — он скрывает от них вредоносный код.

    Разработчики пакера заявляют, что не несут ответственности за действия своих клиентов. Но маловероятно, что они не понимают, что в конечном счете их услугами воспользуются именно вирусописатели.

    А вот выдержки из более проработанного лицензионного соглашения. Оно сопровождает троянца, устанавливающего на инфицированные устройства ненужное ПО и другие вредоносные приложения. Одна важная деталь: этот текст увидят далеко не все потенциальные жертвы — соглашение есть только для некоторых билдов троянца, которые распространяются через определенные партнерские сервисы.





    Что же интересного в этом соглашении? Во-первых, в нем говорится, что, устанавливая это ПО, пользователь соглашается на удаленное администрирование своего компьютера. Фактически он разрешит неизвестным личностям делать все что угодно. Это потенциальная кража конфиденциальных данных и денег, использование системы в качестве прокси-сервера, рассылка спама и т д.

    Во-вторых, пользователь дает согласие на получение обновлений приложения, которые согласно тексту соглашения могут быть чем угодно. Зная, что основная функция троянца — это установка других вредоносных программ и ненужного ПО, нетрудно догадаться, какие «обновления» тот будет инсталлировать.

    Как и в рассмотренных ранее соглашениях, в этом также содержится стандартное ограничение ответственности. Но, в отличие от большинства других текстов, здесь допускается прекращение действия ограничения, если оно противоречит законодательству страны пользователя. Однако подобные пункты лишены смысла. Если законодательство той или иной страны подразумевает наказание за создание и распространение вредоносных программ, оно по умолчанию аннулирует любые формальные отказы от ответственности.

    Из-за правового регулирования и возрастающего внимания к рынку вредоносного ПО со стороны правоохранительных органов все больше вирусописателей уделяют внимание юридическим вопросам. В результате увеличивается число троянцев и других сомнительных приложений, авторы которых снабжают их лицензионными соглашениями или похожими на них списками правил использования ПО. А сами эти соглашения все чаще содержат пункты, которые, по мнению их авторов, должны защитить от возможных обвинений в нарушении закона. Тем не менее, если та или иная программа является вредоносной, ее авторам не помогут избежать наказания ни отказ от ответственности, ни наличие каких-либо специальных условий в пользовательских соглашениях.

    Пользователям же рекомендуется внимательно читать тексты соглашений, особенно если они принадлежат малоизвестным или сомнительным программам. Это может помочь избежать потенциальных проблем — например, не оказаться жертвой мошенников, не стать невольным распространителем вредоносного ПО и сохранить свои деньги.
    Доктор Веб
    47,47
    Компания
    Поделиться публикацией

    Комментарии 35

      +1
      А конечному пользователю лицензионное соглашение запрещает пользоваться антивирусами? :)
        0
        Лично такого не видел, но видел у легального ПО на сайте инструкции по обходу антивирусов. Самый большой список был у создателей ПО, через которое потом Непетя пошел
        +9
        Только формулировки иногда не такие отточенные.

        Прости господи, зато какие они понятные! Я как-то на хабре видел статью, где автор не поленился рядом с EULA каждый абзац выразить простым понятным языком. Так вот тут можно сказать всё уже из коробки идёт:


        Поддержка осуществляется до закрытия проекта

        В обычной EULA будет пять абзацев мутных формулировок!

          +6
          Ведь согласно пункту 1 уже знакомой нам статьи 273 УК РФ нейтрализация средств защиты компьютерной информации является преступлением. А продаваемый ими упаковщик как раз создан для несанкционированной нейтрализации антивирусов — он скрывает от них вредоносный код.

          Это очень сильно натянуто. Коммерческие программы тоже используют обфускаторы для защиты своих секретов. Более того, обфускатор не "нейтрализует" антивирус и ничего с ним не делает. "Нейтрализация" — это какое-то активное воздействие.


          Должен заметить, что я не юрист, законы не обязаны соответствовать здравому смыслу, а решения российского суда — законам.

            0
            Ну тут абзац, как я вижу, касается конкретного товарища — «Автор (или авторы) указанного упаковщика...»
              +3

              Если это будет нужно, то наш суд притянет за уши что угодно. Но это слишком мелко, чтобы кого-то это заинтересовало.
              Долгое время создатели криптеров были в безопасности, поскольку их ПО проходило как защита программного кода. Но пару лет назад, если не ошибаюсь, в закон добавили расплывчатые формулировки, под которые и криптеры можно притянуть. Чтобы от них уйти, продавец должен делать вид, что якобы не понимает для чего используют его программу.

              +8
              Антивирус — одна из вредоносных программ

              Посудите сами

              — Имеет высшие права в системе (ring-0)
              — Запускается до запуска остальных программ
              — Перехватывает и может изменять трафик
              — Блокирует возможность заглянуть внутрь своего трафика и компонент
              — Автоматически без согласования с пользователем качает и устанавливает любые свои модули (в которые можно добавить что угодно)
              — Вы поставили антивирус сами без принуждения и дали ему полный доступ
              — Что отправляется в лабораторию вам не известно ( это могут быть файлы — документы — пароли)
              — Отправляет на свои сервера полную информацию о вашем PC — железо — софт и пр

              Это идеальный троян для удаленного управления вашим ПК
              Который вы поставили сами и который не контролируете
              У которого полный доступ к вашим данным

              Самые большие ботнеты у разработчиков антивирусного ПО )))

                0
                Э нет батенька. Вредоносная программам, это программа, устанавливаемая без разрешения пользователя или нарушающая описанный при установке или где либо функционал (не точно, но близко, так как вредоносные программы или ставятся тайно или ставятся обманом или имеют скрытый функционал). А где вы видели, чтобы в описании антивируса не было описано его назначение? /юмор офф
                  +3
                  ок. шпионская программа

                  Устанавливается с хорошим описанием и предполагается что весь функционал у нее хороший

                  Но где гарантии что антивирусная программа не следит за вами?

                    +1
                    По нынешним временам такой гарантии вам никто не даст. Правда лично я не понимаю почему все боятся антивирусной программы и не боятся скажем программ удаленного доступа
                    И как достаточно древний сотрудник антивирусных компаний я скажу так — ваши персональные данные антивирусным компаниям совершенно не сдались. Во первых их в техподдержку и пресейл присылают самостоятельно и во множестве (посмотрите недавнюю новость, что нашли на том же вирустотале), а во вторых антивирусные компании в качестве экспертов участвуют в анализе вирусных инцидентов (в том числе серверов разных хакеров). Сами понимаете там персданных утекших…
                    Если говорить о том, что интересует антивирусные компании на ваших компьютерах, то это в основном версия используемого защитного ПО (не устарело ли) и какие вирусы у вас найдены. Не имя пользователя, ни какие иные его данные компании не интересуют. Если что — я статистику видел
                    Если вы боитесь, что утащатся ваши данные, то тут два пункта
                    — читайте лицензионное. Не все антивирусы скачивают файлы/передают файлы третьим лицам. Как правило передают данные третьим лицам бесплатные программы. Кушать хочется
                    — если вы выбрали ПО, которое может скачивать файлы — не ставьте продукты, в настройках которых нельзя отключить их отправку на анализ
                      0

                      Не все?) Может, так было изначально. Сейчас все антивирусы, что популярнее, завели себе облачные сервера и выкачивают туда, наверное, любой исполняемый файл без лицензионной подписи с допустимым весом.


                      Америка обвиняла касперского в шпионаже в пользу России и запретила своим сотрудникам использовать его.

                        +1
                        Не все. Списка нет, не делал, но Доктор Веб файлы в облако не качал. Это приписывается в лицензионном. Читать его — трудно, но рекомендуется

                        Запретили иностранные антивирусы Великобритания, Китай, Украина. Не только США. Причем Китай до кампании в США. Это скорее тренд. Причем я вижу на что меняют нормальные продукты и мне (просто как параноику от безопасности) грустно
                          +1

                          Не знаю, паранойю легко успокоить виртуалкой+брандмаузер от большинства вирусов. Было бы терпение их терпеть(pun)

                            0
                            Тут проблема, что Хабр все же место где живут причастные к безопасности. И то всякое бывает. Я недавно словил адварь просто согласившись в браузере на уведомления на одном сайте. Но для обычных пользователей это не просто дремучий лес — это магия. И поэтому то, что для профессионалов — одно из средств, для иных — обязательное средство
                        0
                        Я опасаюсь программ удалённого доступа, поэтому мучаюсь с открытым сервером VNC, хотя есть реализация от RealVNC.
                          +1
                          Вот вроде мелочь. Но в своё время ни в одном антивирусе я так и не увидел в настройках что-то вроде «Настройки передачи отчётов вендору» в котором попунктно было бы. разрешить передавать А, B, C etc. Я бы выбрал что хочу отправить и отключил то, что не хочу. После чего пакет шифруется и передаётся вендору. А у меня остаётся ключик и возможность проверить что и когда было передано. И не дай wireshark/tcpdump найдёт абсолютно что угодно лишнее…

                          Не жалко же хорошему продукту помочь… Вот только без подобного пункта доверия никакого и не осталось. И совершенно не удивительно, что многие пользователи считают главным вирусом — антивирус.
                            0
                            У меня где-то был список того, что мы собираем, я поищу. Но вот чисто для интереса (все же думают, что антивирусы шпионят) — как вы думаете, что мы (антивирусы) собираем с компьютеров и что из этого списка вы бы не хотели передавать. Сразу скажу, что персональные данные нам не нужны и они не собираются. Точнее так. Они у нас есть для частных пользователей, так как они запрашиваются при регистрации. Но с компьютеров не собираются
                              0
                              Добрый день! Здесь мы как раз прописали какие и где персданные пользователей мы собираем.
                              company.drweb.ru/data_protection/personal_data
                        0
                        Давно заметил такую тенденцию у своих друзей, что их ноуты с антивирусами очень сильно тормозят систему. Поэтому я им всем удаляю любые антивирусники, и даю 2 простых совета:
                        1. не скачивай софт хрен пойми откуда (только официальный), а лучше вообще ничего не качать и не запускать что на .exe заканчивается. Сам я стараюсь предустановить им весь нужный софт, в котором я уверен на 100%
                        2. не вставлять свои флешки в чужие компы, хотя я и ставлю софт для проверки флешек

                        Сам лично антивирусниками давно не пользуюсь, и считаю что если вас надо кому-то поломать, обязательно поломают даже с антивирусником.
                        +2
                        «Ведь согласно пункту 1 уже знакомой нам статьи 273 УК РФ нейтрализация средств защиты компьютерной информации является преступлением. А продаваемый ими упаковщик как раз создан для несанкционированной нейтрализации антивирусов»

                        вообще-то антивирус остаётся включён, и самозащита его тоже не отключается при написании криптера. А то, что антивирус не умеет детектировать накрытый криптором код уже известной малвари — проблема исключительно АВ-разработчика.
                          0
                          Ждем квантового превосходства для дешифровки упакованного /смайл офф
                          Если серьезно, то есть проблемы. Начнем с количества. Уникального вредоносного ПО создается не так много. Крутых вирусописателей порядка десятка. А в день приходит на анализ до миллиона файлов. Это все в основном перешифрованное.Теоретически с ним можно разбираться (далеко не все зашифровано без уязвимостей), но это время. Время которое будет работать троян на пользователях. Поэтому для быстроты выпуска обновлений выпускают сигнатуры перешифрованного образца (создаваемые в том числе с помощью машинного обучения)
                          А второе это тоже количество. Если мы будем возиться с анализом, то это завтра будет уже никому не нужно. Если сигнатура выйдет завтра — завтра этот троян уже в атаках может и участвовать не будет — будет новый перешифрованный образец
                            +1

                            Сигнатуры это, конечно, хорошо и в чем-то эффективно, но ровно до завтрашнего дня, когда злоумышленник еще раз перешифрует файл другим обфускатором.


                            Статические сигнатуры — это прошлый век. Это умеют все антивирусы, разница лишь в базах.
                            А вот определять вирус по его действиям, по динамическим сигнатурам обфускатора, в оперативной памяти, по обращению к неблагонадежным хостингам и тп — это уже нормальный уровень аниивируса и есть уже не первый день, но не у всех.


                            Антивирусы редко работают на опережение угрозы, их защита — просто работа по базам. Любое творческое изменение вируса+криптование = новая угроза

                              0
                              Второй абзац это превентивная защита или поведенческий анализатор вкупе с правилами машинного обучения и ограничениями доступа. Именно анализ по действиям. Но это тоже не панацея увы. Так как для того же анализа по действиям требуется время для сбора статистики. В случае шифровальщика суть менее десятка файлов. И тут уж на кого повезет из файлов. Точно также не золотая пуля и ограничения доступа
                              Но все вместе это кирпичики безопасности. Сигнатуры — это скорость реакции на новые угрозы, ограничения доступа — запрет доступа к контрольным центрам, новейший поведенческий анализ и традиционный эвристик — защита от новых угроз
                              И кстати у Доктор Веба есть фирменная фишка — поиск в зашифрованных файлах. Типа поиска по почерку. Почему я об этом вспомнил — это в составе антивирусных баз, которые не только сигнатуры.
                                0

                                Все верно, спасибо. Но давайте рассуждать здраво. Я сейчас возьму поза- или прошлогодний вирус из числа не особо злобных, зашифрую его обфускатором без сигнатур и запущу. Сколько из антивирей его обнаружат? Только если он стучится в интернет, иначе — 0. Некоторые антивири очень ленивые и блокируют любое подобное действие, для файлов без подписи. Из известных мне и популярных 0-2.
                                Поэтому, вся эта эвристика, поведенческий и тп работают только на очень страшных и изученных вирусах, как черви, локеры или любых, кто использующих устаревшие эксплоиты и типичные для вирусов возможности ходы.

                                  0
                                  «а чего вы хотите за одну тысячу рублей»

                                  Уточнение. Только не просто перешифровать, а после этого проверить на сервисе с запущенными популярными антивирусами. И только после этого в продакшен. Именно так все работает увы. Сами понимаете как это сказывается на уровне обнаружения.
                                  К чему это я. В подавляющем числе случаев антивирус после установки не настраивается. Не настраиваются ограничения доступа, не настраиваются действия по отношению к вредоносным программам. Зато после установки антивирус отключается тем или или иным способом. А настроенный антивирус это совсем не то, что антивирус по умолчанию на серверах вирусосоздателей
                                    0

                                    Это как же он отключается? Только самим пользователем или уже прошедшим РАТ.
                                    Разница между настройками не очень большая. Некоторые антивири в режиме паранойи просто остро реагируют на файлы без подписи или рвущиеся в интернет, на подозрительные действия с реестром и автозагрузкой.
                                    Есть сервисы с настроенными антивирями, которые не просто сканят, но и запускают твой файл. Правда, стоимость услуг там зашкаливает и просто ради интереса, там не проверишь

                                      –1
                                      Пользователями отключаются. Ага

                                      Хотите тайну? Все нормальные антивирусы запускают файлы. Ну не совсем запускают. Внутри ядра эмулируют исполнение. Для получения сигнатур обфусцированных или полиморфных программ.

                                      А удаленные песочницы есть, да. У кого встроенные, у кого отдельным сервисом
                                        +1

                                        В том-то и дело, что лишь эмулируют, да не совсем эффективно. Сейчас крипторы давно имеют противодействие подобным системам, иначе они не котируются. Запуск в песочнице еще более-менее эффективен, однако при желании, можно просто запретить запуск в песочнице или вирт машинах и это программно очень легко. (Правда, обычно все ленятся это делать).
                                        Поэтому запуск на живой машине всегда будет показателем.

                                          0
                                          обход песочницы к сожалению прост — задержка с началом вредоносной деятельности с последующей закачкой вредоносного содержимого с серверов злоумышленников. Это по сути стандарт для мобильных

                                          Проблема в том, что антивирусы одними воспринимаются как зло, собирающие данные, другими как панацея, позволяющая при правильном выборе защитить на все 100. А антивирус не то и не другое. Это система (сложная, да) позволяющая выполнить достаточно узкий круг задач. Но мифологизированная до упора. Я в свое время мифов более десятка насчитал для интереса
                                0

                                Абсолютно верно. Другое дело, что для того, чтобы поднять песочницу/виртуальное окружение нужно время и мощности. Если поднимать это на каждый файл, будет жаловаться пользователь, мол, тормозит всё.


                                Поэтому гонка пока всегда выигрывается писателем вредоноса. Антивирус лишь реагирует на новые варианты старой малвари в большинстве случаев.

                                  0
                                  Тут надо понимать назначение антивируса. В обыденном представлении антивирус обязан ловить 100% угроз в момент попытки проникновения (так думают увы порядка 19 из 20). На самом же деле избежать заражения можно и иными способами (да хоть терминальным доступом). Или постоянно бекапиться. Антивирус же нужен для лечения того, что пропустили иные уровни защиты. Тут ему замены нет
                            0
                            Интересно, а в чём проблема вирусописателям написать (и так часто делают, мне друг рассказывал, он видел) что данное ПО только для личного пользования, да и даже в этом случае нельзя использовать его для нарушения закона?
                            Какая тут ответственность и за что привлечь? С адекватной точки зрения, понятно что ни автор, ни покупатель не хотят следовать тому, что написано, но ведь закону нужно иное.
                            Или будут натягивать законы, по которым обладание ножом — уже умышленная подготовка у поножовщине? Тогда грамотный адвокат развалит дело на раз или даже меньше.
                              0

                              Какой закон запрещает продавать в ознакомительных целях?

                                0
                                Новый вирус @ В шапке прописано что запрещено дизасемблировать и анализировать исходный код

                                Шах и мат, разработчики антивирусов!
                                  0
                                  Ну ребят, вы дремучий лес. В последний период все вирусописатели пишут другие соглашения. В частности они пользуются понятием «Кража файла с закртого файл-хранилища»: Т.Е. adware писатель создаёт прототип для демонстрации уязвимости рабочих протоколов на закрытом файло-хранилище, но происходит КРАЖА прототипа. В результате получается — я не виноват что выковал рукоять, клинок кто-то сам приделал.( И чаще всего эти вирусы пишутся внутри «кое каких» организациях с правами к протатипированию таких опасных штук )

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое