Для начала — пару слов о целях подобного ПО. Собранная с его помощью информация представляет значительный интерес для маркетологов, определяющих запросы и перспективы рынка путем анализа персональных данных, предпочтений и круга интересов каждого пользователя, которые без проблем можно узнать, "фильтруя" его прогулки в Internet. А теперь представьте себе, что на крючок попались не один и не два человека, а миллионы (!) — да еще по всему миру. За подобную базу данных онлайновые магазины, например, готовы заплатить авторам spyware немалые деньги — ведь такая информация позволит значительно увеличить их доходы. Однако есть еще одна "приятная" новость: в последнее время все чаще и чаще на ПК жертвы "внедряются" keyloggers, т. е. клавиатурные шпионы, осуществляющие тотальный мониторинг всех ваших действий, включая нажатия клавиш и щелчки мышью. Чем это грозит крупным и мелким компаниям, лучше говорить не будем — о какой-либо конфиденциальности информации можно забыть навсегда.
Вряд ли такая ситуация кому-то понравится. Посему плавно переходим к следующему пункту.
Как избавиться от spyware
В первую очередь — профилактика, профилактика и еще раз профилактика! Внимательно следите за тем, что вы устанавливаете на ПК. Зачастую "резиденты" обитают в freeware и условно-бесплатных приложениях, а также adware — бесплатном ПО, демонстрирующем баннеры во время ваших путешествий в Сети. Причем с юридической точки зрения проблем нет — все нюансы работы "шпионского" ПО обязательно, пусть и в завуалированной форме, оговариваются в лицензионном соглашении, но покажите мне пользователя, хоть раз дочитавшего его текст до конца! Не ленитесь читать сообщения в ходе инсталляции программ — задумайтесь, нужен ли вам супер-пупер ускоритель Internet или программа автозаполнения форм (к слову, стандартных средств IE хватает с головой), которые совершенно задаром предлагают разработчики и без того бесплатного продукта?
А если уж непоправимое случилось, т. е. владелец ПК подозревает, что за ним шпионят (или вообще в целях предотвращения этого), следует обратиться к более серьезным методам защиты. Обязательно установите качественный firewall (см. "ДПК", # 12, 2003) и обновите базы своего антивируса (см. "ДПК", # 1—2, 2004). Не пожалейте времени и настройте правила для каждого ПО, желающего "погулять" в Internet. Если вы сомневаетесь в необходимости доступа к Сети какого-либо приложения — лучше заблокируйте.
Все равно не помогает? Тогда самое время пустить в ход тяжелую артиллерию — специализированные antispyware-утилиты, основным заданием которых как раз и является охота и поимка всякой заразы на вашем ПК.
Какое бывает spyware
Для начала попробуем дать определение объекту нашего анализа. Итак, spyware — это компьютерная программа, которая переправляет информацию с компьютера пользователя третьим лицам без его ведома. Здесь мы представим самые распространенные утилиты, способные попортить нервы владельцу ПК.
Alexa Toolbar и прочие "надстройки" для Internet Explorer
Они не только облегчают поиск в Сети, но и с завидной регулярностью отправляют своим разработчикам (для Alexa это Amazon.com) "с целью сбора статистики" информацию о ваших похождениях в Internet. Что с ней происходит дальше и каким путем она обрабатывается, знает только ее получатель.
ClickTillUWin
Предлагает наивному серферу сыграть в онлайновую лотерею (список всевозможных призов прилагается), а встроенный "троянский конь" тем временем крадет все ваши персональные данные, пароли и IP-адрес, отсылая их своим создателям. Проживает в Grokster, Bearshare, LimeWire, Net2Phone и KaZaa.
Cydoor
Средство для удаленной загрузки баннеров и их показа, может быть интегрировано практически в любую программу. Демонстрирует пользователю рекламу независимо от наличия установленного Internet-соединения, автоматически обновляя "базы" при обнаружении оного. Поставляется вместе с популярными пиринговыми клиентами KaZaa, AudioGalaxy, eDonkey и др., причем после удаления Cydoor программа-"хозяин" работать отказывается.
еZula TopText
Самый что ни есть настоящий spyware-вирус, поставляемый вместе с приснопамятной KaZaa — рекордсменом по части идущего в комплекте adware и spyware. eZula перехватывает контроль над вашим броузером и "модифицирует" содержимое Web-страниц, подчеркивая ключевые слова, имеющие хоть какое-то отношение к ее рекламодателям. К примеру, если на посещенном вами сайте было слово "книга", еZula TopText преоб-разует его в ссылку, щелкнув по которой вы попадете в онлайновый магазин, торгующий подобной продукцией. И т. д. и т. п.
Gator
Наверное, самое известное spyware в мире, не без успеха маскирующееся под очень полезную программу для автозаполнения форм, а значит — более удобного серфинга в Сети. Что есть то есть, это факт, да вот только, кроме всех ваших паролей и логинов, Gator с такой же легкостью запоминает и номера кредитных карточек, которыми вы пользовались при покупках в онлайновых магазинах. Плюс тотальный контроль над вашими путешествиями во Всемирной Паутине, а также подмена баннеров на посещаемых сайтах "родными". Поставляется в комплекте с Limewire, AudioGalaxy, eWallet и KaZaa.
NewDotNet
После своей установки переконфигурирует броузер под свои нужды, в частности, изменяя домашнюю страницу на new.net плюс все вытекающие из этого радости. Также всячески продвигает в массы "свой" ресурс Firstlook.com, разумеется, с изрядной порцией рекламных купонов. Инсталлируется вместе с KaZаa, Earthlink, @Home ComCast, Juno, Webshots, NetZero, Audio-Galaxy, Bearshare, а также автоматически при броузинге многими Web-ресурсами.
WebHancer и UCMore
Сладкая парочка липовых Web-акселераторов, которые умудряются так "оптимизировать" систему, что все запросы Internet-приложений начинают идти исключительно через них. Итого — тотальный мониторинг трафика.
Прочие опасные "шпионы"
Нередко специалисты по сетевой безопасности, кроме spyware, выделяют еще и группу так называемого malware. И если первое "всего лишь" шпионит за вами, то malware представляет куда более серьезную угрозу работоспособности вашего ПК, конфиденциальности хранимой на нем информации и даже состоянию счета в банке. Сюда относятся dialers ("звонилки"), клавиатурные шпионы и трояны.
Итак, dialers. Разрывают существующую связь и устанавливают удаленное Internet-соединение, чаще всего по номеру 8-900- или с зарубежным модемом. Как результат — многотысячные счета от Укртелекома в конце месяца. Естественно, это грозит лишь диалапщикам, но их пока в нашей стране большинство…
Куда "приятнее" клавиатурные шпионы. До недавнего времени они попадались сравнительно редко, но теперь их внедряют все больше и больше. Принцип работы подобных программ очень прост — мониторинг всех нажатых пользователем клавиш и запись их в зашифрованный файл. Более того, с таким же успехом keylogger может фиксировать и те документы, которые вы не набирали, а лишь просматривали, — делая скриншоты открытых окон. Подобное ПО часто распространяется на коммерческой основе и в идеале должно служить прекрасным способом "родительского" контроля деятельности своих чад на ПК во время их отсутствия. Или же в целях обеспечения безопасности сетей предприятий (если, конечно, не жульничает сам сисадмин, установивший такое ПО в своих корыстных целях). Есть системные мониторы и в adware-программах, однако их гораздо меньше, чем, например, WWW-spyware (Gator, eZula, Cydoor и проч.). Но что особенно настораживает, так это недавно нашумевшая эпидемия вируса My.Doom/Novarg, одним из компонентов которого и был keylogger, исправно снабжавший вирусописателей свежими паролями. В силу широчайшего распространения In—ter—net-"червей" внедрение в них "шпионского" модуля поставит под сомнение безопасность пребывания в Сети.
Что же касается троянов, то это уже самые что ни на есть типичные вирусы, тем не менее, не всегда опознаваемые популярными антивирусами. Помимо кражи информации с HDD, они вполне могут уничтожить ценные данные, а это уже прямая трата времени и денег на восстановление работоспособности ПК.
Чаще всего malware попадает на компьютеры пользователей при броузинге underground-ресурсов (crack/hack/warez/порно-сайты). Пора уже запомнить, что халявы в природе не существует…
Выводы
Следя за событиями последних лет, можно со всей уверенностью утверждать, что spyware, наряду с компьютерными вирусами и "червями", стали глобальным бедствием в Сети. Так, по данным компании EarthLink, 90% всех подключенных к Internet ПК заражены подобным ПО. Всего было обнаружено более 29,5 млн. шпионских программ, в среднем по 28 (!) на каждом ПК. Spyware становится настоящей угрозой информационному сообществу — с этой фразой вице-президента EarthLink нельзя не согласиться. Причем зачастую грань между нарушением конфиденциальности и криминалом настолько тонка (например, если речь идет о тех же клавиатурных шпионах), что достаточно трудно классифицировать ту или иную "заразу". Вполне возможно, что в обозримом будущем граница между тремя составляющими (spyware, вирусами и спамом) темной стороны Internet сотрется полностью, и бороться с ними будет уже не пачка разнообразных приложений, а один унифицированный программный комплекс. Эта тенденция наблюдается даже сегодня: так, компания Symantec уже объединила под одной крышей антивирус (параллельно научив его ловить spyware), брандмауэр и антиспамовую утилиту. Подождем подобных решений и от остальных игроков на этом рынке. А пока остается использовать беспроигрышную связку Dr.Web+ Outpost 2+SpyBot+SAProxy, при регулярном обновлении пресекающую большинство попыток "нехорошего" ПО попасть на ваш ПК. И не забывайте простой истины: "чисто не там, где убирают, а там, где не сорят". Немного правил элементарной компьютерной гигиены — и можно навсегда забыть об эпидемиях, спаме или краже информации.
SpyBot Search & Destroy 1.3
| ||||||||||||||||||||||
Великолепная бесплатная утилита, о назначении которой нетрудно догадаться из ее названия. Поиск spyware, несмотря на внушительную базу данных и необъятные просторы современных винчестеров, происходит весьма шустро — буквально за пару десятков секунд. Главное, что качество работы SpyBot от этого ничуть не страдает: по количеству отловленного "непотреба" на нашей тестовой машине она тоже оказалась в числе лидеров. Не в последнюю очередь такие молниеносные результаты получены благодаря уникальной технологии вылавливания "шпионов" по их специфическим сигнатурам, в то время как остальные "братья по разуму" работают в куда менее эффективном режиме тотального сканирования. Особенно же радует тот факт, что пойманная "зараза" отображается не просто в виде сухого списка, а с указанием ее разработчиков, Web-сайта (!) и степени риска для пользователя. Отличный ликбез по части spyware для начинающих, причем совершенно бесплатный!
Но не стоит останавливаться лишь на регулярной чистке ОС — утилита позволяет предпринять и ряд превентивных мер, в частности "иммунизирует" систему от самого распространенного spyware. Это достигается за счет "затыкания дырок" в реестре Windows путем изменения значения ряда его ключей, а также некоторых настроек броузера и т. д. После выполнения подобной процедуры зловредные программы либо вообще не прорвутся на ваш ПК, либо же пройдут процедуру холостой инсталляции, и на выходе получается чистое приложение без каких-либо данайских даров.
Что же касается остального инструментария, то Search & Destroy предлагает несколько дополнительных функций по блокировке автоматической инсталляции malwar и утилиту для просмотра установленных потенциально опасных ActiveX-компонентов. Также стоит отметить удобный менеджер процессов, позволяющий анализировать и моментально "убивать" подозрительные приложения. И пусть SpyBot по ряду дополнительных возможностей немного уступает PestPatrol (в частности, здесь отсутствует резидентный монитор), это не мешает ему более чем успешно выполнять свое задание. По сочетанию легкости, скорости работы и эффективности он просто не имеет себе равных — настойчиво рекомендуем его всем владельцам ПК. Благодаря режиму Easy Mode и русскоязычному интерфейсу он подойдет даже "чайникам".
Adаware 6.0
| ||||||||||||||||||||||||||||||
Наверное, многие пользователи слышали о неплохой программе для ликвидации spyware — Ad-аware от компании Lavasoft — не в последнюю очередь благодаря ее бесплатности. Однако, на наш взгляд, незаслуженно оказались забытыми "продвинутые" платные версии Plus и Pro, являющиеся куда более мощным инструментом для отлова всякой "заразы". Так, в состав последних входят не только сканирующий модуль (им одним, кстати, и может похвастаться Ad-аware Free), но и целая кипа дополнительных инструментов для удаления особо хитрых "шпионов".
Итак, резидентный монитор Ad-Watch осуществляет постоянный контроль над запущенными процессами и их обращениями к системному реестру. Интересно, что в поле его зрения попадают не только spyware, но и трояны, keylogger и прочие потенциально опасные приложения.
Прерогативой Ad-аware Pro является интеллектуальный менеджер процессов Process Watch, предоставляющий нам полную, от А до Я, информацию о каждой запущенной программе, ее местопребывании на винчестере и используемых библиотеках драйверов. В общем, то, что надо продвинутому пользователю, не желающему полностью полагаться на автоматику.
Качество работы сканирующего модуля оказалось вполне на уровне — пожалуй, это самый быстрый охотник на spyware из рассмотренных в данной статье. К сожалению, список "улова" особой информативностью не отличается, и зачастую трудно понять, что же именно нашла Ad-аware и не сработала ли она случайно вхолостую. Поэтому не забывайте перед генеральной чисткой системы сохранять в карантине пойманных резидентов — мало ли чего может случиться… Главное — своевременно обновлять референс-файлы с базами spyware, иначе толку от подобного сканирования будет мало.
BPS Spyware — Adware Remover 8.2 Build #6
| ||||||||||||||||||||||
Весьма неплохая разработка от компании BulletProof Soft, известной в первую очередь благодаря отличному FTPклиенту. Что ж, ее программисты и на этот раз не ударили лицом в грязь и создали хороший почти во всех отношениях продукт. Утилита построена по стандартной для данной категории ПО модульной схеме. Это сканирующий модуль, резидентный монитор, "убийца" всплывающих окон, а также сканер для обнаружения дырок в системе и их оперативного латания. В общем, полный боекомплект. Немного раздражает непозволительно длительное время сканирования, но оно того стоит — среди всех протестированных antispyware BPS Spyware-Adware Remover обнаружил больше всех подозрительных файлов. Правда, справедливости ради стоит отметить, что 99% этого списка составляло малоопасное cookie-spyware, которое прочие утилиты наверняка просто проигнорировали. Но факт остается фактом, как и то, что не стоит сломя голову тут же жать кнопку Delete — вы рискуете удалить действительно нужные системные файлы/ключи реестра. Внимательно пересмотрите перечень потенциального spyware и сохраните его резервную копию.
Приятные впечатления остаются и от монитора SpyWatch, хотя по реализации он и недотягивает до PestPatrol. Зато особо порадовал Hijack Scanner, устраняющий все типичные уязвимости в IE и Windows — правда, выкачать патчи от Microsoft все равно придется… А вот PopUp Killer, с нашей точки зрения, не несет смысловой нагрузки — все броузеры на основе IE (например, самый популярный на просторах СНГ MyIE2) уже содержат подобный модуль, так что его можно порекомендовать лишь заядлым приверженцам "чистого" Internet Explorer. С другой стороны, некоторые интересные опции PopUp Killer (вроде блокирования баннеров в зависимости от их размера и положения на экране) способны сыграть роль "второй линии обороны" броузера, обеспечивая дополнительный уровень безопасности. Есть и опция автообновления, необходимая для повсеместной и своевременной защиты от spyware.
Таким образом, программа является неплохой альтернативой вышеописанным утилитам, хотя некоторым эстетам может не понравиться ее аскетичный внешний вид.
PestPatrol 4.4
| ||||||||||||||||||||||
Без сомнения, самый мощный коммерческий "охотник за головами", то бишь spyware. По аналогии с рядом антивирусов состоит из нескольких модулей, собранных под крылом центра управления, что делает работу с ним более гибкой. MemCheck постоянно следит за состоянием процессов в оперативной памяти, Cookie Patrol анализирует учетные файлы вашего броузера, а KeyPatrol без проблем засекает клавиатурных шпионов и логеров приложений. Правда, все эти резидентные модули неплохо нагружают систему, но что только не сделаешь ради безопасности!
Теперь пару слов о центральном терминале. Больше всего поражает просто гигантский перечень программ, с которыми борется PestPatrol. Под горячую руку утилиты попадают не только всевозможные spyware/adware, включая spyware-cookies, но и сканеры портов, потенциально опасные скрипты, Java-апплеты и спам-мейлеры (т. е. программы для неавторизованной рассылки почты). Не допускается даже работа пиринговых клиентов, что уж говорить о "креках" и генераторах ключей! Одним словом, недорогое средство для обеззараживания и легализации ПК. Естественно, вы вольны вести и список исключений, не подпадающих под тотальное выметание. Например, Р2Р-клиенты, если, конечно, ваши домочадцы или сослуживцы еще не накрутили с их помощью гигабайты трафика.
К прочим радостям следует отнести мощный анализатор работающих приложений, содержимого папки Автозагрузка, а также cookies. Кроме "тактико-технических характеристик" каждой запущенной программы, можно тут же посмотреть и ее "прописку" в реестре, что опять же позволит обнаружить затаившегося гада. Новичков наверняка заинтересует обширная энциклопедия spyware/malware, где во всех деталях описываются характеристики каждого представителя сего чуда, а также указывается уровень их опасности для зараженного ПК. Подытоживая, можно смело сказать, что PestPatrol будет идеальным выбором для корпоративных пользователей, обеспечивающим тотальную защиту от всех видов вредоносных приложений.