Spyware-компоненты и antispyware-решения
Что скрывается под термином spyware
Как защититься от программ-шпионов
К сожалению, список неприятностей, угрожающих пользователям современных компьютеров, не ограничивается лишь вирусами и червями, совокупная доля которых в общем объеме вредоносного ПО, согласно недавнему отчету X-Force, не превышает 29%. Сегодня все большее распространение получает другой вид угроз — всевозможные опасные программы, объединенные под термином spyware (от англ. spy — шпион, software — программное обеспечение). Данные программы незаметно попадают на компьютер во время работы в Интернете либо установки ПО и начинают контролировать деятельность пользователя, зачастую причиняя ему немалый вред. Они могут изменять конфигурацию ОС, контролировать интернет-деятельность и передавать информацию о предпочтениях пользователя заинтересованной стороне, время от времени открывать на экране рекламные окна, запоминать некоторую персональную информацию (включая банковские данные) и отправлять ее злоумышленнику и др.
Как свидетельствуют разнообразные аналитические и статистические данные, подавляющее большинство (8-9 из 10) корпоративных и домашних компьютеров содержат spyware-модули, которые в комплексе с вирусами, по данным недавнего исследования IDC, представляют собой самую главную угрозу в плане утечки корпоративной информации. Что уж говорить о домашних пользователях, которым обеспечивать безопасность собственных компьютеров и находящейся на них информации приходится самостоятельно! Увы, большинство домашних пользователей весьма смутно представляют себе, что такое spyware. Многие относятся к вопросу обеспечения безопасности спустя рукава — например, по данным Gartner, 45% взрослых интернет-пользователей применяют на домашних компьютерах только бесплатное антивирусное и антишпионское ПО, а 11% и вовсе никакого. При этом 68% пользователей хранят на домашних ПК профессиональные отчеты и финансовую информацию, а 74% используют домашний компьютер для банковских операций (данные National Cyber Security Alliance, касающиеся американских пользователей). Поэтому совсем неудивителен рост активности киберпреступников, имеющих в виде spyware-приложений удобный инструмент для хищения с компьютеров пользователей приватной информации и применения пользовательских компьютеров в иных целях, например для рассылки спамерской корреспонденции.
Что скрывается под термином spyware
К сожалению, долгое время не существовало однозначной трактовки понятия spyware. Спектр относимого к данной категории ПО оказывался различным с точки зрения аналитических, исследовательских и иных организаций, а также разработчиков. Последствия этого ощущаются и теперь — в частности в аналитических и статистических отчетах понятие spyware до сих пор трактуется по-разному. Логично понимать под данным термином только то программное обеспечение, которое используется непосредственно для шпионской деятельности (то есть для слежения за компьютером пользователя и сбора приватной информации без его ведома).
Однако в действительности к семейству spyware, помимо шпионских решений, сегодня относят еще и различные виды другого опасного ПО: программы дозвона, утилиты для закачивания файлов из Интернета, угонщики браузера, решения для удаленного администрирования и т.п., а также рекламные модули (adware), которые могут демонстрировать рекламные сообщения, подменять результаты поиска и любыми доступными способами продвигать рекламируемый сайт. То есть в категорию spyware попадают все те программы, которые работают без ведома пользователя и являются потенциально опасными, но к вирусам не относятся, поскольку не имеют способности к размножению. Иными словами, понятие spyware обозначает технологию, которая развернута без согласия пользователя и/или приводит к нарушению безопасности системы и конфиденциальности хранящейся в ней пользовательской информации.
Spyware-модули могут появиться на компьютере в результате атаки вируса, который внедрит, например, в систему троянца, или необдуманных действий пользователя, не прочитавшего запрос во всплывающем окне и ответившего на него утвердительно. Однако гораздо чаще spyware-модуль устанавливается в процессе инсталляции новой программы, причем далеко не всегда бесплатной — бывает, что подобные модули содержат и коммерческие приложения. Кроме того, нередко spyware-компоненты устанавливаются параллельно со скачиванием какого-нибудь софта, во время интернет-серфинга или при прочтении сообщения электронной почты в формате HTML. О процессе инсталляции такого ПО пользователь, разумеется, не извещается.
Типы spyware-приложений
Наиболее опасными среди spyware-программ, по мнению Коалиции по борьбе со шпионским и рекламным ПО (Anti-Spyware Coalition, ASC), являются приложения, которые собирают персональные данные без ведома пользователя и передают их заинтересованной стороне, а также приложения, изменяющие параметры защиты компьютера. К этой категории относится очень много разнообразного софта: троянцы, занимающиеся кражей секретных данных; программы для системного мониторинга, наблюдающие за активностью системы и фиксирующие посещаемые сайты, запускаемые программы, а иногда и вводимую информацию; cookie-spyware, запоминающие пользовательские предпочтения и нередко фиксирующие регистрационную информацию; клавиатурные шпионы, отслеживающие нажатия клавиш и движения мыши, и пр.
Степень вреда от шпионских модулей неодинакова. Например, вредоносность троянцев сомнений не вызывает, так как они несанкционированно устанавливаются на компьютер пользователя с одной-единственной целью — получить доступ к его секретным данным, замаскировавшись под какую-нибудь утилиту. А вот adware-компоненты могут вообще не красть никакой информации, а просто демонстрировать пользователю рекламные модули (то есть их можно считать относительно безвредными). Правда, это вряд ли обрадует пользователя, поскольку подобные программы затрачивают определенную долю оплачиваемого трафика и отнимают драгоценное время. Кроме того, демонстрируемая реклама может иметь нежелательное содержание, что окажется критичным, например, при работе за данным компьютером не только взрослых, но и детей. Иное дело, системные мониторы, утилиты удаленного администрирования и ряд других приложений (табл. 1), которые могут использоваться как в благих целях, так и совсем наоборот. Например, системные мониторы нередко применяются для фиксирования пользовательских предпочтений (например, в рамках какого-либо аналитического или маркетингового исследования), но вместе с тем могут сохранять и такую конфиденциальную информацию, как пароли и логины с последующей их пересылкой заинтересованному лицу. Так что грань между управлением безопасностью и нарушением безопасности в подобных программных продуктах зачастую является очень тонкой.
Как защититься от программ-шпионов
К сожалению, о наличии spyware-компонентов на своем компьютер пользователь, как правило, не догадывается, за исключением тех случаев, когда шпионский модуль слишком часто открывает рекламные окна и незапрашиваемые сайты. Дело в том, что многим заметным изменениям в работе компьютера, которыми может сопровождаться деятельность шпионских модулей, можно найти банальные объяснения, которые обычно сразу и приходят в голову. Например, уменьшившуюся скорость работы компьютера можно списать на давно не переустанавливавшуюся операционную систему, более низкую скорость загрузки сайтов — на увеличившуюся загрузку каналов провайдера и т.п. Увы, опасность от этого только возрастает.
Для профилактики заражения нужно установить и настроить подходящую программу-брандмауэр, никогда необдуманно не отвечать ни на какие запросы компьютера, скачивать ПО только с сайтов разработчиков и регулярно проверять компьютер на предмет наличия вирусов своевременно обновляемым антивирусом. И обязательно периодически, а тем более при возникновении каких-либо странных ситуаций контролировать запущенные в системе процессы. Если какой-то из запущенных процессов вызывает ваши опасения, то стоит заглянуть на сайт http://www.processlibrary.com, где можно получить исчерпывающую информацию о любом из процессов.
Однако, даже выполнив все вышеперечисленное, не следует успокаиваться, так как стопроцентной защиты названные приемы не обеспечивают. Необходимо обзавестись специальным antispyware-инструментом и регулярно тестировать систему на предмет наличия шпионских модулей. Это позволит обнаружить непрошенных гостей на ранней стадии развития и избавиться от них, пока шпионы не успели вам серьезно навредить. Возможность обнаружения spyware-модулей в той или иной мере предоставляется тремя группами программных продуктов: antispyware-приложениями, антивирусными решениями и специализированными программами для обеспечения анонимной работы на компьютере — анонимайзерами. Возможности последних ограничены лишь детектированием наиболее известных spyware-угроз, а вот в отношении специализированных antispyware-приложений и антивирусных пакетов сложно сказать, решения какой из групп обеспечивают лучший отлов шпионского софта. Если говорить в целом о вредоносных угрозах, то, конечно, пальма первенства принадлежит антивирусам, так как большая часть инфекций представлена троянами и червями, борьбой с которыми традиционно и успешно занимаются антивирусные программы. Антивирусы также умеют ловить многие другие типы опасного ПО, ныне относимого к категории spyware. Более того, они нисколько не уступают и даже опережают по данным показателям антишпионские решения, зато последние могут лучше отлавливать adware- и ряд чисто spyware-компонентов (например, кейлоггеров). Кроме того, в отличие от антивирусов, они чаще всего не просто выявляют и уничтожают шпионов, но и чистят системный реестр, а также удаляют подозрительные файлы cookies. Так что с точки зрения здравого смысла для защиты от шпионских модулей эффективнее всего использовать антивирус в связке с antispyware-утилитой (хотя бы бесплатной), не забывая при этом о регулярном обновлении обоих решений.
Список представленных на рынке antispyware-утилит весьма широк — мы рассмотрим наиболее привлекательные, с нашей точки зрения, платные решения Spyware Doctor, Webroot Spy Sweeper, ZoneAlarm Anti-Spyware и CounterSpy и бесплатные Ad-Aware 2007 Free и a-squared Free. Платные решения помогут отловить уже имеющиеся в системе шпионские модули, а также предотвратить появление новых, так как они могут работать в фоновом режиме и обеспечивать защиту системы в режиме реального времени, блокируя установку нежелательных компонентов и предотвращая изменение программных настроек (табл. 2). Возможности бесплатных решений ограничены сканированием системы на предмет наличия инфекции и удалением найденных опасных компонентов либо их обезвреживанием.
Антишпионские утилиты
Spyware Doctor 5.1
Разработчик: PC Tools
Сайт программы: http://www.pctools.com/spyware-doctor/
Размер дистрибутива: 14,6 Мбайт
Работа под управлением: Windows 2000/XP/Vista
Способ распространения: shareware (функционально ограниченная демо-версия — http://www.pctools.com/mirror/sdstart.exe)
Цена: 29,95 долл.
Пакет Spyware Doctor — это одно из наиболее эффективных решений для защиты от разнообразных шпионских программ. Последняя версия умеет идентифицировать любые типы шпионских компонентов (включая руткиты), число которых постоянно увеличивается благодаря еженедельному обновлению базы сигнатур. Пакет отличается очень простым и понятным интерфейсом, автоматически конфигурируется на обеспечение оптимальной защиты и имеет русскоязычную локализацию, что повышает его привлекательность для российской аудитории.
Spyware Doctor предлагает три варианта сканирования: Full Scan, Intelli-Scan и Custom Scan. В режиме Full Scan, который является самым эффективным, но требует гораздо больше времени, проводится полное сканирование системы со всеми установленными на компьютере носителями. При сканировании в режиме Intelli-Scan осуществляется сканирование работающих программ, файлов автозагрузки и ряда директорий, где чаще всего можно обнаружить вредоносные компоненты. В режиме Custom Scan сканирование ограничивается указанными пользователем папками и конкретными типами шпионских компонентов. Возможно проведение сканирования по расписанию. Найденные угрозы идентифицируются по уровню опасности, и для каждой выдается краткое описание. Детектированные spyware-компоненты удаляются либо помещаются в карантин. В последнем случае возможно восстановление удаленного spyware-модуля, если он необходим для работы какой-то полезной программы (Real Player, Kazaa и т.п.).
В программе также предусмотрена надежная защита от попадания spyware-компонентов на компьютер, а также возможно их автоматическое блокирование в случае, если система уже заражена. Инструмент File Guard, например, отслеживает вредоносные файлы и блокирует запуск опасных приложений и доступ к ним (включая копирование и перемещение), а модуль Startup Guard предотвращает проникновение нежелательных программ в список автозагрузки. Встроенный модуль защиты браузера Browser Guard просматривает и удаляет нежелательные дополнения и контролирует любые изменения его настроек. Модуль Cookie Guard следит за web-браузером и автоматически блокирует потенциально опасные cookie-файлы. Process Guard препятствует выполнению скрытых вредоносных процессов, а модуль Network Guard блокирует несанкционированные изменения в настройках сетевых подключений. Функция Immunizer обеспечивает так называемую иммунизацию системы к любым новым вредоносным объектам ActiveX, учитываемым в последующих обновлениях баз данных. Кроме того, возможно создание правил для блокирования конкретных доменов и cookie-файлов.
Webroot Spy Sweeper 5.5.7.122
Разработчик: Webroot Software
Сайт программы: http://www.webroot.com/
Размер дистрибутива: 14,37 Мбайт
Работа под управлением: Windows 2K/XP/2003/Vista
Способ распространения: shareware (функционально ограниченная демо-версия — http://www.webroot.com/shoppingcart/tryme.php?bjpc=64021&vcode=DT03A)
Цена: 29,95 долл.
Webroot Spy Sweeper — эффективный и надежный инструмент для выявления, блокирования и удаления основных типов шпионских программ, включая руткиты. Программа поставляется с большой сигнатурной базой, актуальность информации в которой поддерживается посредством регулярных (в среднем раз в неделю) обновлений через Интернет, которые могут выполняться в автоматическом режиме. Она имеет дружественный интерфейс, отличается удобством работы, предоставляет широкие возможности для организации процесса сканирования и может работать по расписанию. Возможна различная настройка параметров работы для нескольких пользователей (при работе на одном компьютере) в соответствии с их требованиями к безопасности. Однако процесс сканирования в Webroot Spy Sweeper осуществляется несколько медленнее, чем в аналогичных решениях, а требования к ресурсам выше.
Программа предлагает три варианта сканирования: Full Sweep, Quick Sweep и Custom Sweep. В режиме Full Sweep выполняется полное сканирование системы со всеми установленными на компьютере носителями. Для сканирования в режимах Quick Sweep и Custom Sweep требуется заметно меньше времени, но и проверка при этом проводится выборочно. При быстром сканировании анализируются только области, где обычно находятся вредоносные компоненты. При сканировании в режиме Custom Sweep пользователь самостоятельно задает параметры поиска, указывая сканируемые диски и папки, типы выявляемых spyware-компонентов и расширения файлов, которые следует анализировать при проверке. Найденные опасные модули классифицируются в соответствии с их типом и уровнем риска, причем по каждой из опасных инфекций можно получить справку. Затем они либо удаляются, либо помещаются в карантин, из которого при необходимости могут быть восстановлены. После удаления конкретного типа шпионского приложения Spy Sweeper иммунизирует систему от повторных появлений подобного рода шпионского софта.
В Webroot Spy Sweeper также предусмотрены возможности для предотвращения появления шпионских модулей, для чего программа должна постоянно работать в фоновом режиме. Настройка защиты браузера Internet Explorer позволяет защитить параметры его настройки от изменений — предотвратить изменение начальной страницы и списка закладок, установку дополнительных панелей инструментов, перехват браузера и т.п. Модуль защиты сети предотвращает изменение сетевых параметров настройки. Модуль Startup контролирует список автоматически запускаемых при загрузке Windows-приложений и не дает нежелательным программам проникнуть в список автозагрузки. Модуль защиты системы обеспечивает непрерывный контроль за основными системными параметрами и блокирует попытки инсталляции шпионских программ и злоумышленных объектов ActiveX, а также обеспечивает перехват данных кейлоггерами.
ZoneAlarm Anti-Spyware 7.0
Разработчик: Zone Labs
Сайт программы: http://www.zonealarm.com/store/content/catalog/products/sku_list_zaas.jsp
Размер дистрибутива: 14,4 Мбайт
Работа под управлением: Windows 2000/XP
Способ распространения: shareware (15-дневная демо-версия — http://download.zonealarm.com/bin/free/1043_zl/zaasSetup_70_462_000_en.exe)
Цена: 19,95 долл.
ZoneAlarm Anti-Spyware — надежное и проверенное временем решение для защиты от хакеров и широкого спектра шпионских программ. В пакете удачно совмещены функции антишпионской программы с фаерволом, благодаря чему обеспечивается не только традиционная защита от spyware-модулей, но и защита компьютера от внешних проникновений, причем не только при стационарном соединении, но и при беспроводной связи. Данное решение регулярно автоматически обновляется, отличается хорошо продуманным, лаконичным интерфейсом и удобно в применении, хотя и потребует некоторого времени на освоение. Правда, оповещения его несколько навязчивы и отвлекают от работы, что, впрочем, несложно устранить, переключившись в режим Game Mode, в котором большинство тревог безопасности (то есть те, что имеют невысокий уровень опасности) будут отключены.
ZoneAlarm Anti-Spyware предлагает три варианта сканирования: Intelligent Quick, Full и Deep. По умолчанию используется быстрое сканирование в режиме Intelligent Quick, при котором просматриваются лишь наиболее критичные с точки зрения угроз папки и файлы, а сама программа работает в фоновом режиме и не мешает работе пользователя. Сканирование в режимах Full и Deep отнимает гораздо больше времени и может замедлить работу компьютера, при этом в режиме полного сканирования (Full) анализу подвергаются все файлы на всех дисках, а в режиме Deep анализ проводится на уровне байт. Все выявленные инфекции классифицируются в соответствии с местом обнаружения и уровнем опасности и по каждой из них можно получить справку. Обнаруженные шпионские модули удаляются либо блокируются путем отправки в карантин, из которого при необходимости тот или иной компонент может быть восстановлен. Возможно проведение сканирования по расписанию.
В целях защиты в режиме реального времени в ZoneAlarm Anti-Spyware предусмотрено блокирование шпионских сайтов и предотвращение отправки spyware-модулями собранной персональной информации. Последнее реализуется благодаря работе сетевого и программного фаервола, отражающего входящие, исходящие и программные атаки по всему периметру сети. Кроме того, в пакете имеется системный фаервол. Его задача состоит в наблюдении за системными файлами и реестром и предотвращении попыток шпионских программ проникнуть на компьютер. В дополнение ZoneAlarm Anti-Spyware позволяет управлять списком допустимых для установленных на компьютере приложений привилегий — в частности регулировать возможность/невозможность их доступа к Интернету, а также умеет выявлять зараженные письма и автоматически приостанавливать их отправку, чтобы не передавать инфекцию другим пользователям.
CounterSpy 2.5.1042
Разработчик: Sunbelt Software
Сайт программы: http://www.sunbelt-software.com/Home-Home-Office/Counterspy/
Размер дистрибутива: 70,3 Мбайт
Работа под управлением: Windows (все версии)
Способ распространения: shareware (15-дневная демо-версия — http://www.sunbeltsoftware.com/evaluation/410/counterspy.exe)
Цена: 19,95 долл.
CounterSpy — надежное решение для защиты компьютера от широкого спектра шпионских модулей и смешанных угроз, включая руткиты. Программа отличается нетребовательностью к системным ресурсам, может работать по расписанию и обновляется по мере появления данных о новых spyware-компонентах (ежедневно либо один раз в несколько дней). Кроме того, реализованная в продукте уникальная технология VIPRE Anti-Malware, объединяющая традиционный функционал для выявления вирусов и современные методы обнаружения шпионского софта, обеспечивает защиту от более сложных смешанных угроз, представляющих собой разнообразные комбинации вирусов и шпионских модулей. Однако программа CounterSpy достаточно сложна в освоении, так как имеет слишком много настроек (хотя с успехом может применяться и с настройками по умолчанию) и несколько запутанный интерфейс, что может создать проблемы для неподготовленных пользователей. Зато подготовленных пользователей программа порадует расширенным инструментарием для тонкой настройки безопасности.
CounterSpy предлагает три варианта сканирования: Full System, Quick и Custom. При сканировании в режиме Full System (наиболее длительном) проводится полный анализ системы, охватывающий все файлы на всех дисках, системный реестр и все системные процессы. Сканирование в режимах Quick и Custom выполняется гораздо быстрее за счет уменьшения охвата поиска: в первом случае сканируются только файлы с наиболее опасными расширениями (*.exe, *.dll и т.п.), а во втором — только указанные пользователем объекты: процессы, системный реестр либо конкретные диски и папки. Кроме того, реализовано быстрое сканирование FirstScan, которое производится автоматически при автозапуске системы и предназначено для выявления скрытых опасных процессов. Все найденные при сканировании шпионские объекты маскируются в соответствии с уровнем риска, и по каждому из них выдается детальное описание, а также рекомендации относительно дальнейших действий пользователя. Найденные объекты, в зависимости от настроек, могут сразу удаляться (с уведомлением или без оного) либо изолируются. При необходимости изолированный объект может быть восстановлен.
Для предотвращения заражения системы в CounterSpy реализован механизм активной защиты Active Protection, благодаря которому в режиме реального времени осуществляется контроль за множеством системных параметров и блокируются попытки установки spyware-компонентов. Кроме того, программа выполняет иммунизацию браузера против известных инфекций и угроз (изменения начальной страницы, установки дополнительных панелей и инструментов, нежелательной переадресации) и блокирует открытие раздражающих popup-окон. Помимо защиты от шпионских компонентов программа обеспечивает гарантированное уничтожение данных, стирает следы работы на компьютере и предоставляет инструментарий для просмотра и изменения системных параметров (например, можно просмотреть список загружающихся вместе с системой приложений и заблокировать загрузку каких-то из них и т.п.).
Ad-Aware 2007 7.0.2.5 Free
Разработчик: Lavasoft
Сайт программы: http://www.lavasoftusa.com/products/ad_aware_free.php
Размер дистрибутива: 20,2 Мбайт
Работа под управлением: Windows 2K/XP/2003/Vista
Способ распространения: freeware (http://www.lavasoftusa.com/single/trialpay.php)
Цена: бесплатно (только для некоммерческого использования)
Ad-Aware Free — это самая популярная из бесплатных программ для выявления шпионского софта. Она проста в применении, регулярно обновляется и достаточно многофункциональна для бесплатной утилиты.
В Ad-Aware Free предусмотрено три режима сканирования: глубокое, быстрое и по усмотрению пользователя, возможна настройка программы на работу по расписанию. При быстром сканировании проверяются лишь критичные с точки зрения инфекций разделы системы и диска, а при полном сканируется вся система (оперативная память, системный реестр, активные процессы и жесткие диски). В пользовательском режиме можно ограничить сканирование конкретными папками, а также включить или, наоборот, выключить сканирование реестра, активных системных процессов и т.п. По окончании сканирования выдается подробный отчет с указанием списка найденных шпионских модулей, степенью риска и краткой информацией о каждом из модулей. Найденные spyware-компоненты, а также подозрительные, по мнению программы, объекты могут быть сразу удалены или блокированы путем отправки в карантин. В программе также предусмотрено предотвращение перезаписи системных файлов и изменение загрузочной страницы интернет-браузера.
a-squared Free 3.1.0.20
Разработчик: Emsi Software GmbH
Сайт программы: http://www.emsisoft.com/en/software/free/
Размер дистрибутива: 22 Мбайт
Работа под управлением: Windows (все версии)
Способ распространения: freeware (http://download5.emsisoft.com/a2FreeSetup.exe)
Цена: бесплатно
a-squared Free — удобная программа для удаления из системы разнообразных spyware-компонентов. Она предельно проста в освоении, ежедневно обновляется и имеет русскоязычный интерфейс, что повышает ее привлекательность для русскоязычных пользователей.
a-squared Free может сканировать жесткие диски и системный реестр в четырех режимах: Quick Scan, Smart Scan, Deep Scan и Custom Scan. Наиболее быстрое сканирование обеспечивает режим Smart Scan, в котором проверяются лишь самые важные папки. В режиме Quick Scan производится проверка активных процессов и следящих cookie, а также выполняется поиск всех следов ранее имевшихся на компьютере шпионских компонентов. Режим Deep Scan обеспечивает капитальную проверку всех файлов на всех дисках, а в режиме Custom Scan пользователю предоставляется возможность указать перечень проверяемых папок и исключить при необходимости отдельные направления проверки (например, отказаться от поиска следов в реестре). Результаты сканирования выводятся с указанием уровня опасности всех найденных инфекций, которые затем можно удалить или обезвредить, отправив в карантин. В случае помещения объекта в карантин возможно его восстановление.