Копмьютерный шпион


Копмьютерный шпион

Spyware (шпионское программное обеспечение) — программа, которая скрытным образом устанавливается на компьютер с целью полного или частичного контроля за работой компьютера и пользователя без согласия последнего.

В настоящий момент существует множество определений и толкований термина spyware. Организация «Anti-Spyware Coalition», в которой состоят многие крупные производители антишпионского и антивирусного программного обеспечения, определяет его как мониторинговый программный продукт, установленный и применяемый без должного оповещения пользователя, его согласия и контроля со стороны пользователя, то есть несанкционированно установленный.

Spyware могут осуществлять широкий круг задач, например:

  • собирать информацию о привычках пользования Интернетом и наиболее часто посещаемые сайты (программа отслеживания);
  • запоминать нажатия клавиш на клавиатуре (скриншоты экрана (screen scraper) и в дальнейшем отправлять информацию создателю spyware;
  • несанкционированно и удалённо управлять компьютером (remote control software) — бэкдоры, ботнеты, droneware;
  • инсталлировать на компьютер пользователя дополнительные программы;
  • использоваться для несанкционированного анализа состояния систем безопасности (security analysis software) — сканеры портов и уязвимостей и взломщики паролей;
  • изменять параметры операционной системы (system modifying software) — руткиты, перехватчики управления (hijackers) и пр. — результатом чего является снижение скорости соединения с Интернетом или потеря соединения как такового, открывание других домашних страниц или удаление тех или иных программ;
  • перенаправлять активность браузеров, что влечёт за собой посещение веб-сайтов вслепую с риском заражения вирусами.

Содержание

Законные виды применения «потенциально нежелательных технологий»

Tracking Software широко и совершенно законно применяется для мониторинга персональных компьютеров.

EULA).

Программы удалённого контроля и управления (Remote Control Software) могут применяться для удаленной технической поддержки или доступа к собственным ресурсам, которые расположены на удаленном компьютере.

Дозвонщики (диалеры) могут давать возможность получить доступ к ресурсам, нужным пользователю (например — дозвон к ISP для подключения к сети Интернет).

Программы для модификации системы могут применяться и для персонализации, желательной для пользователя.

Программы для автоматической загрузки могут применяться для автоматической загрузки обновлений прикладных программ и обновлений ОС.

Программы для анализа состояния системы безопасности применяются для исследования защищенности компьютерных систем и в других совершенно законных целях.

Технологии пассивного отслеживания могут быть полезны для персонализации веб-страниц, которые посещает пользователь.

История и развитие

Согласно данным National Cyber-Security Alliance от 2005 года 61 % респондентных компьютеров содержали ту или иную форму Spyware, из них 92 % пользователей не знали о присутствии Spyware на их машинах и 91 % сообщили, что они не давали разрешения на инсталляцию Spyware.

К 2006 году Spyware стали одним из превалирующих угроз безопасности компьютерных систем, использующих Windows. Компьютеры, в которых Internet Explorer служит основным браузером, являются частично уязвимыми не потому, что Internet Explorer наиболее широко используется, но из-за того, что его тесная интеграция с Windows позволяет Spyware получать доступ к ключевым узлам ОС.

До релиза Internet Explorer 7 браузер автоматически выдавал окно инсталляции для любого компонента ActiveX, который веб-сайт хотел установить. Сочетание наивной неосведомлённости пользователя по отношению к Spyware и предположение Internet Explorer, что все компоненты ActiveX безвредны, внесло свой вклад в массовое распространение Spyware. Многие компоненты Spyware также используют изъяны в

Реестр Windows содержит множество разделов, которые после модифицирования значений ключей позволяют программе исполняться автоматически при загрузке ОС. Spyware могут использовать такой шаблон для обхождения попыток деинсталляции и удаления.

Spyware обычно присоединяют себя из каждого местонахождения в реестре, позволяющего исполнение. Будучи запущенным, Spyware контролирует периодически, не удалено ли одно из этих звеньев. Если да, то оно автоматически восстанавливается. Это гарантирует, что Spyware будет выполняться во время загрузки ОС, даже если некоторые (или большинство) звенья в реестре автозапуска удалены.

Spyware, adware и программы отслеживания

Термин «adware» часто относится к любой программе, демонстрирующей рекламу с или без согласия пользователя. Некоторые, как, например, Eudore, отправляют клиенту рекламу как альтернативу оплаты регистрационных счетов. Такие программы классифицируются как adware в смысле программы с рекламной поддержкой, но не как spyware. Adware не действуют скрытно или вводят пользователя в заблуждение, лишь предлагают пользователю дополнительные услуги.

Многие adware являются Spyware по другим причинам: они показывают рекламные заставки, базирующиеся на результатах шпионской деятельности на вашем компьютере. Примеры: Gator Software от Claria Corporation и Exact Advertising от BargainBuddy. Посещаемые веб-сайты могут устанавливать Gator на машинах клиентов тайным способом, таким образом перенаправляя доход с демонстрации множества всплывающих окон на инсталлирующий сайт и на Claria Corporation.

Другие модели поведения Spyware, такие как доклад о веб-сайтах, посещаемых пользователем, происходят в фоновом режиме. Данные используются для целевого рекламного эффекта.

Широкое распространение Spyware бросает тень подозрения на другие программы, отслеживающие посещения страниц веб-сайтов с целью исследований и статистики. Некоторые обозреватели описывают Alexa Toolbar, плагин Ad-Aware, подтверждают это.

Spyware и adware сходны с вирусами в том, что они злонамеренны по своей природе.

Аналогичным образом, программы, поставляемые в комплекте с бесплатными программами с рекламной поддержкой, являются Spyware (при деинсталляции удаляется только материнская программа), тем не менее, пользователи добровольно их скачивают. Это представляет дилемму для создателей антиspyware, чьи инструменты удаления могут безвозвратно привести в неработоспособность желаемые программы. Например, недавние результаты теста показали, что комплектная программа WhenUSave игнорируется сканеров), потому что она является частью популярного eDonkey Client. Для решения этой проблемы Anti-Spyware Coalition работает над постройкой единого мнения внутри индустрии антиspyware касательно того, что́ является приемлемым поведением программы.

Spyware, вирусы и сетевые черви

В отличие от вирусов и сетевых червей Spyware обычно не саморазмножается. Подобно многим современным вирусам, Spyware внедряется в компьютер преимущественно с коммерческими целями. Типичные проявления включают в себя демонстрацию всплывающих рекламных окон, кража персональной информации (включая финансовую, например, номера кредитных карт), отслеживание привычки посещения веб-сайтов или перенаправление адресного запроса в браузере на рекламные или порносайты.

Телефонное мошенничество

Создатели Spyware могут совершать мошенничество на телефонных линиях с помощью программ типа «диалер». Диалер может переустановить модем для дозвона на дорогостоящие телефонные номера вместо обычного ISP. Соединение с этими не вызывающими доверия номерами идёт по международным или межконтинентальным тарифам, следствием чего являются непомерно высокие суммы в телефонных счетах. Диалер не эффективен на компьютерах без модема или на не подсоединённых к телефонной линии.

Защита цифровых авторских прав

Некоторые технологии защиты от копирования являются Spyware. В 2005 году было обнаружено, что Sony BMG Music Entertainment использовало руткиты в своей технологии защиты от копирования XCP. Подобно Spyware, их было не только трудно обнаружить и деинсталлировать, но и они настолько некачественно были написаны, что большинство попыток удалить их приводило компьютер в состояние отказа функционирования.

Начиная с 25 апреля 2006 года, приложение от Windows Genuine Advantage Notifications (компьютерах как «критическое обновление безопасности». В то время как главной целью этого сознательно не поддающегося деинсталляции приложения являлось подтверждение того, что копия Windows на машине приобретена и инсталлирована легально, оно также инсталлировало программу, которая обвинялась в ежедневных «звонках домой», подобно spyware. Это приложение можно было удалить с помощью RemoveWGA.

Личные взаимоотношения

Spyware используются для скрытного отслеживания электронной активности партнёров в интимных отношениях, обычно для раскрытия случаев неверности. По крайней мере один из пакетов программ, Loverspy, был специально разработан для таких целей.

Spyware и cookies

Антиspyware часто отмечают cookies как Spyware. В то время как они не всегда по своей сути злонамеренны, многие пользователи возражают против того, что третьи стороны используют место на их (пользователей) компьютерах в своих деловых интересах, и многие антиspyware предлагают cookies удалять.

Некоторые образцы

Эти распространённые Spyware демонстрируют разнообразие поведения. Отметим, что так же как и для вирусов, для Spyware исследователи дали имена, которые могут отличаться от тех, которые придумали их создатели. Spyware могут быть сгруппированы в семьи, основанные не на общем программном коде, а на сходном поведении. Например, ряд программ, распространяемых Claria Corporation, известны под общим названием Gator. Подобным образом, программы, которые часто инсталлируются вместе, могут быть описаны как части единого пакета Spyware, даже если они функционируют отдельно.

  • веб-сайтов, включая coolwebsearch.com. Выдаёт всплывающие рекламные окна, переписывает результаты поиска и изменяет инфицированные хостовые файлы для перенаправления веб-сайты.
  • HuntBar, также WinTools или Adware.Websearch. Инсталлируется совместно с загрузкой ActiveX с партнёрских сайтов или посредством всплывающих окон, выдаваемых другой Spyware (пример того, как одна Spyware может инсталлировать ещё больше Spyware). Эти программы добавляют панели инструментов для Internet Explorer, отслеживают привычку посещения веб-сайтов, перенаправляют партнёрские ссылки и выдают всплывающие рекламные окна.
  • Movieland, или же Moviepass.tv или Popcorn.net — служба скачивания видео, которая была предметом тысяч жалоб за постоянную назойливую демонстрацию всплывающих окон и требований проплаты. Федеральная комиссия по торговле США собрала материалы дела по поводу жалоб на Movieland и 11 других ответчиков, обвиняемых в создании национальной схемы по использованию обмана и принуждения для взимания платежей с клиентов. Сторона обвинения утверждала, что программа «неоднократно открывает несоразмерные рекламные окна, которые не могут быть закрыты или минимизированы, сопровождаемые музыкой, звучащей около 1 минуты, и требует платежа в сумме 29,95 $ для прекращения показа всплывающих окон, также требующая, чтобы клиенты, подписавшиеся на трехдневную бесплатную пробную версию, но не успевшие аннулировать членство до истечения пробного периода, платили тоже».
  • Zango (прежде 180 Solutions). Передаёт детальную информацию рекламодателям о веб-страницах, посещаемых пользователем. Также меняет веб-сайты партнёрских рекламодателей, которые, в свою очередь, дают возможность нечестных доходов для 180 Solutions. Открывает всплывающие окна, перекрывающие веб-страницы компаний-конкурентов.
  • Trojan.Zlob или просто Zlob. Загружается на компьютер через кодек ActiveX и докладывает на сервер такую информацию, как история поиска, веб-сайты, которые вы посещали, и даже нажатия клавиш. Недавно выяснилось, что Zlob способен аннулировать установки роутеров.

Вопреки утверждениям потребителей, изготовители Spyware заявляют, что пользователи на самом деле дают согласие на инсталляцию. Spyware, поставляемое в комплекте с дистрибутивом, может быть упомянуто в деловой лексике пользовательского соглашения EULA. Многие по привычке игнорируют прочтение и вникание в смысл этого документа и просто нажимают кнопку «Согласен». До настоящего времени судебная система не решила, ответственны ли рекламодатели за Spyware, показывающее их рекламу. Во многих случаях компании, чья продукция появлялась в рекламах, инициированных Spyware, не ведут дела с фирмой-изготовителем Spyware напрямую. Скорее, они заключают договор с рекламным агентством, которое, в свою очеред, заключает контракт с третьей стороной, которой платят за количество «всплываний». Некоторые ведущие фирмы, такие как Dell Computer,

В 2003 году Gator (ныне Claria Corporation) подал в суд на веб-сайт PC Pitstop за описание их продукции как Spyware. PC Pitstop согласился не использовать термин Spyware, но продолжал описывать ущерб, причиняемый продуктами Gator. В результате прецедента другие антивирусные и антиspyware компании используют для обозначения таких продуктов другие термины, такие как «потенциально нежелательные программы» или «grayware».

Методы лечения и предотвращения

Если угроза со стороны Spyware становится более чем назойливой, существует ряд методов для борьбы с ними. Сюда входят программы, разработанные для удаления или блокирования внедрения Spyware, также как и различные советы пользователю, направленные на снижение вероятности попадания Spyware в систему.

Тем не менее, Spyware остаётся дорогостоящей проблемой. Когда значительное число элементов Spyware инфицировало ОС, единственным средством остаётся сохранение файлов данных пользователя и полная переустановка ОС.

Антиspyware программы

Программы, такие как Windows XP и Windows Server 2003. В 2006 году Microsoft переименовал бета-версию в Windows Defender который был выпущен для бесплатной загрузки (для зарегистрированных пользователей) с октября 2006 года и включён как стандартный инструмент в Windows Vista.

Некоторые другие антиspyware продукты:

  • SPYWAREfighter
  • Spybot — Search & Destroy
  • SpyHunter
  • Spy Sweeper
  • Spyware Terminator
  • SUPERAntiSpyware
  • System Safety Monitor
  • VundoFix
  • Windows Malicious Software Removal Tool
  • XOFTspy Portable Anti-Spyware

Многие антивирусные фирмы (например, McAfee и Sophos) позже пришли к решению добавлять функцию антиspyware в существующие антивирусные продукты. Вскоре многие выразили нежелание добавлять антиspyware, цитируя пункты судебных исков от авторов Spyware к владельцам веб-сайтов и программ, описывающих их продукт как Spyware. Однако, недавние версии антивирусных продуктов для дома и бизнеса от этих ведущих фирм всё-таки включают функцию антиspyware, хотя подход и отличается от такового к вирусам: так, например,

Антиspyware программы могут бороться со Spyware двумя способами.

  1. Обеспечение защиты в режиме реального времени, препятствующей инсталляции Spyware на вашем компьютере. Похожим образом работают антивирусные сканеры доступа.
  2. Выявление и удаление Spyware, уже успевшего внедриться в систему. Этот тип антиspyware намного более прост и популярен. В таких программах вы можете установить график сканирования и очистки. Сканируются реестр, папка Windows и инсталлированные программы, после чего выдаётся отчёт о найденных угрозах, позволяющий вам выбирать, что́ вы хотите удалить.

Ранние версии антиspyware были направлены главным образом на их нахождение и удаление. SpywareBlaster от Javacool Software был одним из первых, предложивших защиту в режиме реального времени, блокируя инсталляцию базирующихся на ActiveX и других Spyware.

Подобно антивирусным программам, антиspyware требуется регулярное обновление базы данных. Как только выпускаются новые образцы Spyware, разработчики антиspyware обнаруживают их и оценивают, создавая сигнатуры, позволяющие программе находить и удалять угрозу. Таким образом, от антиspyware без источника регулярных обновлений пользы мало. Некоторые производители обеспечивают услуги службы обновления после регистрации, в то время как другие позволяют обновляться бесплатно. Обновления могут устанавливаться автоматически по расписанию, или перед сканированием, или вручную.

Если Spyware не была заблокирована и смогла инсталлироваться, то она будет сопротивляться попыткам остановки запуска или деинсталляции. Некоторые Spyware работают в паре: когда сканер антиspyware или пользователь прерывает один запущенный процесс, другой возрождает убиваемую программу. Таким же образом некоторые Spyware определяют попытку удаления ключей реестра и немедленно добавляют их снова. Обычно запуск инфицированной ОС в безопасном режиме позволяет антиspyware с бо́льшей вероятностью удалить упорные Spyware.

Новое поколение Spyware (хорошим примером является Look2Me от NicTechNetworks) запускается, скрываясь среди критических системных процессов и запускается даже в безопасном режиме. Если не существует процесса, который можно безболезненно прервать, то Spyware намного труднее обнаружить и удалить. Иногда они даже не оставляют никаких признаков существования на диске.

Новейшие Spyware обладают особыми контрмерами против известных антивирусных программ и могут препятствовать им в запуске или инсталляции, или даже деинсталлировать их. Примером Spyware, использующего все три метода, является Gromozon. Для того, чтобы остаться незаметным, он использует переменный поток данных. Встроенный руткит скрывает его даже от переменнопоточных сканеров и активно сдерживает запуск известных руткит-сканеров.

Фальшивые антиspyware

Злонамеренные программисты выпускают значительное количество фальшивого антиspyware, и широко распространённые всплывающие окна предупреждают вас, «насколько ваши компьютеры заражены», предлагая приобрести продукты, удаляющие Spyware (которые этого не делают, а в худшем случае могут добавить ещё больше Spyware).Такого рода программы (например, Titan Shield), часто инсталлируют троян для загрузки пробной (trial) версии.

Главная цель производителей этих продуктов — продать своё изделие. Неоднократно могут появляться диалоговые окна от Windows с сообщением: «WARNING! Your computer is infected with spyware! Buy ... (название программы) to remove it!» Как правило, нажатие кнопки OK диалогового окна перенаправляет браузер на порносайт. Иногда, даже нажатие верхней кнопки X для закрывания окна может привести к такому же эффекту или даже активировать инсталляцию. Нажатием Alt+F4 можно обойти этот трюк. Некоторые программы, подобно SpyAxe, автоматически загружают пробную версию без какого-либо вмешательства пользователя.

Часто появляются отчёты о результатах «сканирования» и количестве найденных угроз, что должно убедить пользователя в необходимости инсталляции данной программы.

Почти все известные антиspyware определяют наличие фальшивых программ, которые уже успели установиться на вашей системе. Тех, которые инсталлируются с помощью трояна, многие антиspyware способны «задержать» ещё до попытки внедрения. Однако, часто удаление агрессивных фальшивых антиspyware нового поколения требует использования инструментов, таких как HijackThis, совмещённых с методикой удаления вручную, поскольку может пройти некоторое время, прежде чем изготовители антиspyware изучат новые появившиеся угрозы и автоматизируют процесс их обнаружения и удаления. Однако использование HijackThis без помощи компьютерного специалиста может привести в случайному удалению действительно необходимых компонентов Windows, что может привести к отказу системы в целом. Поэтому рекомендуется прибегать к помощи консультантов на тематических форумах.

Стремительно разросшееся количество фальшивых или обманных антивирусных продуктов послужило поводом для серьёзного беспокойства. Такие продукты часто выдают себя за антиspyware, антивирусы или чистильщики реестра и иногда выдают всплывающие окна с предложением инсталляции.

Пользователям рекомендуется не инсталлировать никаких бесплатных программ, утверждающих, что они являются антиspyware, если не будет достаточно доказательств, что эта программа легитимна.

Некоторые известные представители:

  • Advanced Cleaner
  • AlfaCleaner
  • AntiSpyCheck 2.1
  • AntiSpyStorm
  • AntiSpywareBot
  • AntiSpywareExpert
  • AntiSpywareMaster
  • Antivermins
  • AntiVirGear
  • AntiVirus Gold
  • AntiVirusXPPro2009
  • Awola 6.0
  • Brave Sentry
  • BestsellerAntivirus
  • Cleanator
  • ContraVirus
  • Disk Knight
  • Doctor Antivirus
  • DriveCleaner
  • EasySpywareCleaner
  • errorsafe
  • IE Antivirus
  • IEDefender
  • InfeStop
  • MacSweeper
  • MalwareAlarm
  • Malware Bell 3.2
  • MalwareCore
  • MalCrush 3.7
  • PAL Spyware Remover
  • PC Antispy
  • PC-Antispyware
  • PC Clean Pro
  • PCPrivacytool
  • PCSecureSystem
  • Perfect Cleaner
  • Pest Trap
  • PSGuard
  • SecurePCCleaner
  • Security toolbar 7.1
  • SmitFraud
  • Spy Away
  • SpyAxe
  • SpyCrush
  • Spydawn
  • Spy Deleter
  • SpyGuarder
  • SpyHeal
  • Spylocked
  • SpyMarshal
  • Spy-Rid
  • SpySheriff
  • SpyShredder
  • SpySpotter
  • Spy Wiper
  • Spyware Cleaner
  • Spyware Quake
  • Spyware Stormer
  • SpywareStrike
  • SystemDoctor
  • System Live Protect
  • TrustedAntivirus
  • UltimateCleaner
  • VirusHeat
  • Virus Locker
  • VirusProtectPro
  • VirusRanger
  • Vista Antivirus 2008
  • WinAntiVirus Pro 2006
  • WinFixer
  • WinSpywareProtect
  • WorldAntiSpy
  • XP Antivirus
  • Zinaps 2008

Меры по предотвращению заражения

  • Использование браузеров, отличных от Internet Explorer — Mozilla Firefox и др. Хотя нет совершенно безопасного браузера, Internet Explorer представляет бо́льший риск по части заражения из-за своей обширной пользовательской базы и таких уязвимостей, как ActiveX.
  • Использование файрволов и прокси-серверы для блокировки доступа к сайтам, известным как распространители spyware.
  • Использование hosts-файла, препятствующего возможности соединения компьютера с сайтами, известным как распространители spyware. Однако spyware легко могут обойти этот тип защиты, если производят соединение с удаленным хостом по IP-адресу, а не по имени домена.
  • Скачивание программ только из доверенных источников (предпочтительно с веб-сайтов производителя), поскольку некоторые spyware могут встраиваться в дистрибутивы программ.
  • Использование антивирусных программ с максимально «свежими» вирусными базами.

Ссылки

  1. О шпионском ПО (спайваре/spyware/malware/adware) по-русски
  2. Anti-Keylogger.Org (независимое сравнение антимониторинговых продуктов) (англ.).
  3. Anti-Malware Engineering Team (англ.).


Wikimedia Foundation. 2010.


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»

We are using cookies for the best presentation of our site. Continuing to use this site, you agree with this.