Популярно о шпионских модулях и антишпионских приложениях
Что понимают под термином spyware
Как защититься от программ-шпионов
Еще совсем недавно в качестве основных угроз для компьютера любого пользователя называли только вирусы, спам и хакерские атаки. Сегодня к этому списку специалисты причисляют и шпионские модули, или spyware. Дело в том, что подавляющее большинство корпоративных и домашних компьютеров содержат шпионские модули, что вызывает серьезные опасения у ИТ-профессионалов они выдвигают проблему обнаружения и удаления spyware-компонентов с корпоративных компьютеров на первое место. Согласно последнему отчету National Cyber Security Alliance, всего в мире заражено 80% компьютеров. И это еще не самая большая цифра например, по мнению специалистов Webroot Software, на 87% компьютеров присутствует хотя бы одна форма нежелательного ПО в виде троянской программы, программы из группы «системных мониторов», cookie-spyware или adware. А исследователи Atlanta-based ISP Earthlink пришли к заключению, что spyware-компоненты присутствуют на 90% ПК. Для сравнения: еще год назад, по оценкам компании IDC, шпионские модули в той или иной форме содержали 67% всех компьютеров, и уже тогда IDC отметила, что spyware четвертая по степени опасности угроза для корпоративных сетей.
Что понимают под термином spyware
сожалению, достаточно четкого определения понятия spyware сегодня не существует. Согласно последним документам Anti-Spyware Coalition, под spyware подразумевается любая технология, которая помогает в сборе информации о человеке или организации без их согласия. А корпорация Center for Democracy and Technology определяет spyware несколько иначе как технологию, которая развернута без согласия пользователя и/или приводит к нарушению безопасности системы и конфиденциальности хранящейся в ней пользовательской информации. Иными словами, шпионским модулем можно назвать любую программу, которая, будучи установлена на компьютер пользователя, тайно собирает о его владельце любую информацию и передает ее заинтересованным сторонам, в качестве которых могут выступать маркетологи, рекламодатели, аналитики, разработчики софта и др.
Причиной появления spyware-модулей на компьютерах пользователей может стать банальный вирус, который установит, например, троянца, или неверные действия пользователя, утвердительно ответившего на вопрос в одном из возникших во время его путешествия по Интернету окон. Однако гораздо чаще spyware-модуль появляется в результате установки новой программы, причем совсем необязательно бесплатной иногда подобные модули содержат и коммерческие приложения. Кроме того, нередко spyware-компоненты устанавливаются при скачивании софта или во время путешествия по сайтам.
Стоит заметить, что, несмотря на выработку коалицией Anti-Spyware в прошедшем году ряда руководящих принципов с целью блокирования распространения шпионских компонентов, заметных положительных результатов пока не наблюдается. И причин тому много. Во-первых, продавцам ПО очень непросто выявлять spyware-модули в силу размытости самого понятия spyware. Если руководствоваться принятым определением, то к шпионским модулям придется отнести и немало вполне безопасного софта. Так, служба поиска тематически сходных Web-страниц Alexa, интегрированная в Internet Explorer, определяется антишпионскими программами как spyware-приложение. Значительные сложности возникают также при разграничении spyware-компонентов и вполне приемлемых adware-приложений. Во-вторых, к категории шпионских модулей можно отнести самый разноплановый софт, начиная с троянцев и заканчивая программами из группы Internet-spyware, занимающимися сбором статистической информации о качестве связи, способе подключения, скорости модема и т.п., что еще больше усложняет ситуацию, поскольку бороться с разными типами spyware-инфекций гораздо сложнее. И в-третьих, в разработку spyware-компонентов сегодня вложено слишком много денег, а следовательно, очень большое число компаний заинтересовано в функционировании такого рода приложений.
О серьезности проблемы, равно как и об обеспокоенности ИТ-специалистов, свидетельствуют самые разные факты. Стремительно увеличивается количество исследований и социологических опросов на данную тему, в которых ИТ-профессионалы подтверждают, что значительная часть компаний имеет очень слабую защиту от spyware-компонентов. Растет активность международной организации Anti-Spyware Coalition, сплотившей свыше 30 ведущих продавцов ПО, включая Microsoft, которая не только входит в коалицию, но и выпустила свой вариант антишпионского ПО AntiSpyware. Приложения категории antispyware начали признаваться специалистами в области компьютерной безопасности, и впервые в прошедшем году лучшие из них были отмечены в соответствующей номинации на Information Security/SearchSecurity.com. Заметен определенный интерес и на государственном уровне например, в США вопрос об ответственности за внедрение spyware-модулей на компьютеры пользователей рассматривается сегодня в 27 штатах.
Типы spyware-приложений
ак уже было отмечено, выделяют довольно много типов spyware-программ. Наиболее опасными среди них, по мнению Anti-Spyware Coalition, являются троянцы (trojan), занимающиеся хищением секретных данных; программы для системного мониторинга (system monitor), наблюдающие за активностью системы и фиксирующие посещаемые сайты, запускаемые программы, а иногда и вводимую информацию; cookie-spyware, запоминающие пользовательские предпочтения и нередко фиксирующие регистрационную информацию; рекламное ПО adware с наличием spyware-модулей; клавиатурные шпионы keylogger, отслеживающие нажатия клавиш и движения мыши. Вредоносность первых и последних не вызовет сомнения ни у одного пользователя, а что касается всех остальных, то они могут:
- причинять пользователю явный вред в случае сохранения системным монитором пользовательских паролей и логинов в log-файле и пересылки их заинтересованному лицу;
- причинять пользователю неявный вред в случае показа adware-приложениями рекламных модулей, которые могут составлять определенную долю оплачиваемого трафика;
- не вредить вообще никак, поскольку spyware-приложения могут собирать информацию и в благих целях, например для проведения каких-то маркетинговых или аналитических исследований относительно предпочтений пользователей.
Степень инфицированности компьютеров разными типами spyware-программ различна. Согласно отчету Webroot Software, наиболее распространены adware-приложения, содержащие встроенные spyware-модули, присутствующие на 53% компьютеров. Наименее распространены троянцы, которыми поражено 7% компьютеров. При этом лидером spyware-приложений по распространенности эксперты называют программу CoolWebSearch. Она перехватывает контроль над браузером и тем самым снижает степень его безопасности, заменяет результаты поиска и может запоминать посещаемые сайты и похищать разнообразные параметры настройки программы Internet Explorer. Далее в топ-рейтинге фигурируют:
- Gator (также известная под именем GAIN) показывает пользователю баннерную рекламу в зависимости от его Интернет-предпочтений;
- 180search Assistant открывает в отдельном окне браузера web-страницу рекламодателя, которая связана с ключевым словом или с открытым сайтом;
- ISTbar/AUpdate представляет собой панель инструментов, предназначенную для поиска порнографических сайтов; параллельно данный модуль фиксирует пользовательские Интернет-предпочтения в данной области;
- Transponder (vx2) отслеживает содержимое посещаемых сайтов и показывает пользователю контекстную рекламу;
- Internet Optimizer подменяет сообщения об ошибках во время серфинга в Интернете и перенаправляет пользователя на сервер http://www.internet-optimizer.com;
- BlazeFind изменяет результаты поиска, часто перенаправляет на сайт http://www.blazefind.com и может изменить ряд параметров настройки Internet Explorer;
- Hot as Hell и TIBS Dialer spyware-приложения, перехватывающие звонок модема и соединяющие его с платным номером, чаще всего принадлежащим порносайтам, где идет повременная оплата;
- Advanced Keylogger клавиатурный шпион, который записывает все набранные с клавиатуры символы.
Уже только на основе данного списка становится очевидным, что защита от spyware-компонентов сегодня действительно должна стать существенной частью защиты компьютерной системы.
Как защититься от программ-шпионов
наличии spyware-компонентов на своем компьютер пользователь зачастую может и не догадываться, если, конечно, шпионский модуль не открывает слишком часто рекламные окна и не пересылает его к незапрашиваемым сайтам. Дело в том, что многим заметным невооруженным глазом изменениям в работе компьютера, которыми может сопровождаться деятельность шпионских модулей, пользователь легко находит банальное объяснение. Например, уменьшившуюся скорость работы компьютера можно списать на давно не переустанавливавшуюся операционную систему, более низкую скорость загрузки сайтов на увеличившуюся загрузку каналов провайдера и т.п. Увы, опасность от этого только возрастает.
Конечно же, лучше постараться предотвратить заражение, чем потом избавляться от незваного гостя. Однако практически нереально избежать заражения, если вы не установите соответствующее профессиональное программное обеспечение, так как бесплатные модули могут только выявлять наличие spyware-приложений и удалять их, но не блокировать их установку.
Для профилактики заражения как минимум нужно установить и настроить подходящую программу-брандмауэр, никогда необдуманно не отвечать ни на какие запросы компьютера, скачивать ПО только с сайтов разработчиков и регулярно проверять компьютер на предмет вирусов своевременно обновляемым программой-антивирусом. Как максимум нужно установить профессиональную antispyware-утилиту, которая будет наблюдать за всеми подозрительными действиями на компьютере, блокировать установку нежелательных компонентов и предотвращать изменения программных настроек.
Необходимо периодически (а тем более при возникновении каких-либо странных ситуаций) контролировать запущенные в системе процессы. Лучше всего сразу же после установки ОС и основного используемого софта зафиксировать состояние вкладки «Процессы» в окне «Диспетчера задач». Можно, например, для наглядности сделать обычный скриншот, который при возникновении внештатной ситуации можно будет сравнить с перечнем загруженных на данный момент процессов. Конечно, нельзя исключить возможность того, что в постоянно используемом вами ПО уже есть spyware-компоненты, но это все же неплохой ориентир. Только имейте в виду, что любое устанавливаемое ПО может вносить свои коррективы, поэтому после установки новой программы не помешает проверить, что изменилось в списке процессов без ее загрузки и после оной. Кстати, если установленная программа явно не загружена и не работает в фоновом режиме, а среди процессов появился дополнительный, стоит присмотреться к данному процессу повнимательнее. Очень простой способ выяснить все о незнакомом и вызывающем ваши опасения процессе заглянуть на сайт http://www.processlibrary.com, где можно получить исчерпывающую информацию.
Учитывая, что все перечисленные приемы 100-процентной защиты не обеспечивают, а область распространения spyware-компонентов растет быстрыми темпами, следует обзавестись специальным antispyware-инструментом и регулярно тестировать систему на предмет наличия шпионских модулей. Это позволит обнаружить непрошеных гостей на ранней стадии их развития и в итоге избавиться от них, пока они не успели вам серьезно навредить. Установив понравившуюся antispyware-программу, не стоит забывать о проведении ее регулярных обновлений, иначе программа не сможет идентифицировать появившиеся уже после ее выпуска шпионские коды.
На рынке представлено немало anti-spyware-утилит. Если говорить о корпоративных профессиональных приложениях, то лучшими можно считать пакеты Ad-Aware SE Enterprise Edition (компания Lavasoft, http://www.lavasoft.com), eTrust PestPatrol Anti-Spyware (компания CA, http://www.ca.com) и McAfee AntiSpyware Enterprise (компания McAfee, http://www.mcafee.com), названные лучшими продуктами 2006 года и получившие соответственно золото, серебро и бронзу в рейтинге THREAT MONITOR на Information Security/SearchSecurity.com.
Если говорить о домашних пользователях, а также о мелких и средних предприятиях, то тут несомненными лидерами являются пакеты Ad-Aware SE Personal Edition, Spyware Doctor, Webroot Spy Sweeper и Spybot Search & Destroy, которые, кстати, лидируют по числу скачиваний на http://www.download.com не только в своей категории, но и по сравнению со всеми другими приложениями, обогнав даже ICQ. Остановимся на основных характеристиках названных программ.
Самые скачиваемые приложения
на http://www.download.com/
Ad-Aware SE
Разработчик: Lavasoft
Сайт программы: http://www.lavasoftusa.com/
Размер дистрибутива: 2,72 Мбайт
Способ распространения: shareware (по адресу: http://www.download.com/3405-8022-5153545.html?part=dl-ad-aware&subj=dl&tag=top5 доступна бесплатная версия программы Ad-Aware SE Personal Edition)
Цена: годовая лицензия Ad-Aware SE Plus Edition 26,95 долл.; стоимость других типов коммерческих версий определяется выбранным вариантом лицензирования
Работа под управлением: Windows 98/Me/NT/2000/XP
Самое популярное приложение для поиска шпионского софта Ad-Aware SE обеспечивает надежную защиту персональных данных. В нем удачно сочетаются возможности извлечения и удаления spyware-компонентов и предотвращения их установки на компьютер.
Программа сканирует оперативную память, системный реестр, активные процессы, жесткие и компакт-диски на наличие шпионских модулей, неразрешенных ключей автозагрузки в реестре и подозрительных, с ее точки зрения, файлов cookies. Используемый здесь механизм поиска очень удобен, так как пользователю предоставляется возможность настройки процесса сканирования можно провести глубокое или быстрое сканирование, указать конкретные папки для проверки, включить или, наоборот, выключить сканирование реестра, активных системных процессов, архивов и т.п. По окончании сканирования будет выдан подробный отчет, в котором каждый найденный шпионский модуль будет сопровождаться информацией об имени разработчика, физическом расположении объекта, степенью риска и пр. Найденные spyware-компоненты, а также подозрительные, по мнению программы, объекты могут быть сразу удалены или отправлены в карантин для наблюдения.
Встроенный монитор Ad-Watch работает в фоновом режиме и обеспечивает защиту системы в режиме реального времени, блокируя программные модули, которые пытаются инсталлироваться или как-то модифицировать систему. С его помощью можно заблокировать раздел автозапуска в реестре, возможные и реальные попытки перехвата браузера, подозрительные процессы и cookies, всплывающие окна, а также использовать технологию CSI (Code Sequence Identification) для защиты от новых и пока неизвестных вариантов опасного кода.
Менеджер процессов Process-Watch отвечает за просмотр, сканирование, анализ и прерывание запущенных процессов и всех связанных с ними программных модулей. Возможны проверка запущенных процессов на наличие известных программе опасных кодов и завершение их при необходимости.
Консоль Ad-Axis позволяет организовать управление программой по расписанию: строго по времени может автоматически запускаться процесс сканирования и обновления сигнатур, по электронной почте могут автоматически отправляться отчеты, а администраторы могут удаленно контролировать данные процессы.
Программа представлена в четырех редакциях: бесплатной (Ad-Aware SE Personal Edition) и платных (Ad-Aware SE Plus Edition, Ad-Aware SE Professional Edition и Ad-Aware Enterprise Edition). В бесплатной версии отсутствует защита компьютера в реальном времени, которая реализована в модулях Ad-Watch и Process-Watch (последний доступен только в версии Professional). Версия Enterprise отличается, помимо прочего, наличием модуля Ad-Axis Management Console, контролирующего запуск Ad-Aware в корпоративных сетях.
Spyware Doctor 3.5
Разработчик: PC Tools
Сайт программы: http://www.pctools.com/spyware-doctor/
Размер дистрибутива: 6,168 Мбайт
Способ распространения: shareware (демонстрационную версию программы после регистрации можно скачать по адресу: http://www.pctools.com/spyware-doctor/download/)
Цена: 29,95 долл.
Работа под управлением: Windows 98/Me/NT/2000/XP
Столь же популярная, как и Ad-Aware SE, программа Spyware Doctor распознает все известные spyware-модули (рекламные модули, трояны, клавиатурные шпионы и пр.) и позволяет как удалять имеющиеся на компьютере шпионские компоненты, так и предотвращать их появление в режиме реального времени. Программа сканирует диски, память, системный реестр и обладает очень большой и еженедельно обновляемой базой сигнатур, в которой имеется информация о более чем 40 тыс. шпионских компонентах.
Spyware Doctor очень удобна в работе, отличается полностью управляемым и настраиваемым пользователем режимом сканирования, а широкий диапазон инструментов просмотра данных позволяет всегда быть в курсе событий и при желании контролировать любые изменения. Можно, например, выяснить, была ли изменена домашняя страница браузера, добавлялись ли новые элементы в список Favorites и т.п. В программе предусмотрена надежная защита от spyware-компонентов например, инструмент Process Guard препятствует выполнению процессов, запускающихся при активизации известных шпионских модулей, а модуль Startup Guard предотвращает проникновение нежелательных программ в список автозагрузки. Встроенный планировщик позволяет максимально автоматизировать процесс сканирования и проводить его по расписанию и согласно с настройками.
Помимо стандартных для программ этого класса функций, в Spyware Doctor имеется немало особенностей. Например, модуль Keylogger Guard не позволяет клавиатурным шпионам фиксировать и запоминать нажатия клавиш. Встроенный модуль защиты браузера Browser Guard просматривает и удаляет нежелательные дополнения и контролирует любые изменения его настроек. Функция Immunizer обеспечивает так называемую иммунизацию браузера против всех известных инфекций и угроз ActiveX, препятствуя установке соответствующих программных компонентов. Модуль Popup Blocker блокирует открытие раздражающих popup-окон (данная возможность предусмотрена только для браузера Internet Explorer), а специальный антифишинговый модуль при работе программы в фоновом режиме может защитить от фишинг-атак.
Webroot Spy Sweeper 4.5
Разработчик: Webroot Software
Сайт программы: http://www.webroot.com/
Размер дистрибутива: 8,2 Мбайт
Способ распространения: shareware (14-дневная демонстрационная версия доступна по адресу: http://www.webroot.com/consumer/downloads/)
Цена: 29,95 долл.
Работа под управлением: Windows 98 SE/Me/2000/XP
Признанная во всем мире и имеющая немало наград программа Webroot Spy Sweeper предназначена для выявления и удаления троянцев, клавиатурных шпионов, программ, подменяющих результаты Интернет-поиска, и прочего шпионского софта. Она умеет вычислять не только известные шпионские модули, но и благодаря технологии FlexDef идентифицировать и устранять неизвестные spyware-компоненты, еще не внесенные в ее базу. Для поддержки актуальности информации базы предусмотрено ее регулярное обновление через Интернет.
Программа отличается удобством работы и поможет организовать процесс контроля в максимально комфортной для пользователя форме. Она позволяет полностью настраивать режим сканирования: определять проверяемые логические диски, включать или отключать проверку памяти, системного реестра, cookies и т.п., при желании данные настройки можно защитить паролем. Возможна работа по расписанию. Так в ряде случаев разумно ввести ограниченный вариант проверки компьютера при старте или при выключении системы. Результатом работы Webroot Spy Sweeper является отчет об обнаруженных spyware-компонентах или о подозрительных объектах, которые затем удаляются пользователем. При желании можно заблаговременно указать программе, какие найденные ею опасные модули должны удаляться автоматически, а какие должны быть оставлены на усмотрение пользователя. Для предотвращения ошибок удаление осуществляется в два этапа, на первом из которых удаляемые модули на самом деле не удаляются, а просто переносятся в особый раздел программы аналог Windows-корзины, из которого могут быть восстановлены. При этом можно установить период, по истечении которого данные модули будут автоматически удалены. Это полезно, если вы сомневаетесь в том, нужно ли удалять тот или иной компонент, и хотите удостовериться в работоспособности системы при его отсутствии.
Помимо сканирования системы на spyware-компоненты, в Webroot Spy Sweeper предусмотрены определенные возможности предотвращения появления незваных гостей на компьютере, для чего программа должна постоянно работать в фоновом режиме. Настройка защиты браузера Internet Explorer, заключающаяся в установке серии правил отслеживания возможных изменений в его окружении, позволяет защитить параметры его настройки от изменений, а блокирование списка нежелательных сайтов предотвратить попадание на опасные web-страницы. Настройка защиты системы поможет защититься от программ, которые пытаются самостоятельно установить себя на компьютере, и блокировать попытки проникновения нежелательных программ в список автозагрузки.
Spybot Search & Destroy 1.4
Разработчик: PepiMK Software
Сайт программы: http://spybot.safer-networking.de/ru/
Размер дистрибутива: 4,8 Мбайт
Способ распространения: freeware (программу можно скачать по адресу: http://spybot.dalnet.com.fr/spybotsd14.exe)
Цена: бесплатно
Работа под управлением: Windows 95/98/Me/NT/2000/XP
Бесплатная, но очень полезная для домашних пользователей программа Spybot Search & Destroy поможет им найти и удалить из системы разнообразные типы spyware-компонентов, а возможность регулярного ее онлайн-обновления гарантирует, что программа всегда будет иметь полный список известных модулей adware, программ-наборонабирателей и прочего шпионского софта.
Основная задача программы просканировать жесткий диск и системный реестр, найти и удалить при согласии пользователя разнообразные spyware-модули. В случае adware-программ, которые при удалении соответствующих модулей теряют работоспособность, она сможет подменить spyware-компоненты, собирающие информацию, пустыми модулями, которые позволят программе работать, но лишат ее возможности незаконного сбора информации. Дополнительно Spybot Search & Destroy позволяет удалять на компьютере следы Интернет-серфинга и любой прочей деятельности: очищать кэш, удалять cookies (имеется поддержка браузеров Opera, IE и Netscape), очищать списки недавно открывавшихся файлов, запускавшихся программ и пр.