Журнал «Компьютерра» №44 от 29 ноября 2005 года - Журнал Компьютерра. Страница 36
Признаки заражения пользователи в основном замечают лишь тогда, когда операционная система (замечу - практически все шпионские модули работают только под Windows) просто кишит spyware-объектами. Работа резко замедляется из-за нехватки ресурсов, частенько происходят системные или программные сбои, наблюдаются трудности с интернет-соединением. Не имеющий в большинстве случаев никакого представления о spyware, пользователь ищет причины неудовлетворительной работы в аппаратном обеспечении, проблемах установки Windows или же полагает, что его компьютер заражен вирусом. Обычный результат «накопления» шпионского ПО - переустановка системы.
Программы, специализирующиеся на показе рекламных объявлений, могут запускать всплывающие окна как по четкому графику (каждые несколько минут), так и при открытии браузера. Кроме того, объявления могут выскакивать, если пользователь заходит на определенные адреса. Эта возможность привлекает рекламодателей, платящих производителям шпионского ПО за показ своих объявлений при посещении серфером той или иной группы сайтов. А некоторые программы даже заменяют имеющуюся на сайте pop-up-рекламу собственной. Показываемые баннеры, естественно, должны привлекать внимание, а потому в них используются анимированные изображения, мерцание и пр. Если на компьютере установлен всего один spyware-модуль, то объявления появляются не слишком часто и их еще можно игнорировать. Но, как уже упоминалось, обычно речь идет о десятках зловредных программ, то инициируемые ими запуски pop-up-окон вызывают крайнее раздражение.
Кстати, не следует думать, что производители шпионского ПО представляют собой маргиналов интернет-сообщества, бойкотируемых крупными и уважаемыми онлайн-деятелями. Производство и распространение spyware - это бизнес, причем прибыльный, а разработчики нежелательных программ получают заказы от довольно известных рекламодателей. В частности, компании WhenU и 180 Solutions, не последние фигуры в spyware-индустрии, сообщали, что среди их клиентов числится даже New York Times. За сам софт денег обычно не платят, но пользователь попадает на сайт заказчика или же что-то у него покупает посредством pop-up-объявлений, а производитель программы-шпиона получает комиссионные. Эта схема называется affiliate marketing и используется такими корпорациями, как eBay, Dell или Mercedes-Benz. Впрочем, рекламодатели «страхуются», заключая договор с рекламным агентством, а уже последнее само выходит на spyware-фирмы.
Некоторые компании и вовсе применяют spyware для защиты своих интернет-проектов. В частности, Blizzard использует в работе игровых серверов World of Warcraft (WoW) специальную программу - так называемого привратника, который каждые 15 секунд загружается на компьютеры четырех с половиной миллионов игроков. Привратник получает список всех dll-файлов, отображенных в адресном пространстве exe-файла игры, использует функцию GetWindowTextA для получения заголовков всех окон в системе, проверяет, нет ли их в черном списке, а также подключается к каждому запущенному процессу и с помощью функции ReadProcessMemory считывает ряд адресов памяти.
Впрочем, некоторые производители шпионского софта не затрудняют себя работой в «грязной рекламе», а просто-напросто похищают у пользователей зараженных компьютеров пароли, имена, чат-сессии (в том числе в интернет-пейджерах), банковские данные и т. д.
Другой распространенный вид shareware - софт, который заражает программы, дозванивающиеся до провайдера. В этом случае дозвон идет по какому-либо международному номеру, что приводит к огромным счетам за телефон. На Западе, где популярность dial-up-подключения сходит на нет, эта угроза теряет актуальность, но в России такие программы по-прежнему представляют серьезную опасность. Одинаково опасны для всех пользователей и шпионские приложения, работающие с cookies.
Стоит также отметить, что пока работа ASC не закончена, говорить об однозначной классификации продуктов spyware преждевременно. Отдельные исследовательские компании пытались группировать шпионские приложения и по схожести программного кода, и по поведению, и по типу проникновения на компьютер, но ни один из этих подходов нельзя назвать полностью удачным. Ведь некоторые творения spyware-индустрии представляют собой целые пакеты программ, каждая из которых действует на своем «участке». К слову, самый известный «комплекс» такого типа - Gator - якобы помогает путешествовать по Сети, а на практике аккумулирует уйму персональной информации и бог знает что с ней делает.
Также широко распространены шпионские программы из семейства CoolWebSearch, использующие уязвимость в IE. Софт из этой серии выдает рекламные объявления, переписывает результаты поиска в Сети и нарушает связь компьютера с DNS-системой. Согласно исследованию Webroot, по Интернету гуляет 107 представителей семейства CoolWebSearch, которых можно найти на 8,2% проверенных компьютеров (второе место занял Gator с 2,2%).
Другой spyware-продукт по имени DyFuCa (он же Internet Optimizer) при выводе браузером сообщения об ошибке переадресует пользователя на рекламную страницу. Кроме того, DyFuCa делает невозможным доступ к сайтам, защищенным паролями, так как в этом случае браузер использует аналогичный механизм. Программа 180 Solutions (третья по распространенности - 2%) передает рекламодателям информацию о сайтах, посещаемых пользователями, а также выводит на экран pop-up-баннеры. Немало хлопот доставляют и небольшие программы семейства HuntBar (другие названия - WinTools и Adware.
Websearch). Они загружаются на компьютер посредством ActiveX с сайтов, контролируемых злоумышленниками, или же при клике на pop-up-окна, запускаемые другим spyware-софтом. Помимо размещения рекламных объявлений эти программы добавляют инструментальные панели в IE и отслеживают маршрут веб-серфинга.
ПРОГРАММНЫЕ противодействия меры
Антивирусы[Имеются в виду именно программы для борьбы с вирусами, а не специализированные утилиты в комплексах вроде «Антивируса Касперского»] в качестве средства борьбы со spyware отпадают в силу своей низкой эффективности, да и не все производители спешат добавлять шпионов в базу вирусов. Поэтому основой безопасности остается брандмауэр с широким набором фильтров. Он способен предотвратить ряд способов проникновения spyware-модуля на компьютер (прежде всего, через бреши в программном обеспечении), однако не сможет опознать «шпиона», поселившегося на винчестере раньше него. Кроме того, если в настройках разрешить браузеру (например, IE) доступ в Сеть, то брандмауэр окажется бессильным при запуске модуля через службы самого браузера (в IE наиболее часто для этого используется Browser Helper Object).
Действенным оружием в борьбе со «шпионами» является редактор реестра. Как правило, spyware-программы прописываются в определенных ключах, откуда их можно легко вычистить. На основе БД, содержащих определения самых распространенных шпионских модулей, действует такой вид защиты, как spyware-сканеры. Впрочем, известны случаи, когда этот софт, уничтожая вредоносные программы, «зацеплял» вполне нейтральные и даже нужные dll-библиотеки[Бесплатно (и безопасно) проверить, есть ли на вашем компьютере spyware, можно на некоторых сайтах, к примеру на www.pandasoftware.com/products/spyxposer/com/spyxposer_principal.htm. Только запаситесь терпением: сканирование моей системы на P4 с гигабайтом ОЗУ и двумя жесткими дисками суммарным объемом 280 Гбайт заняло больше двух часов. - С.В.].
Обычно в комплекте со сканером поставляется и spyware-монитор для отслеживания попыток того или иного модуля зарегистрироваться в определенных реестровых ключах. Однако антишпионское ПО далеко не всегда удаляет все файлы-компоненты spyware. Мало того, оно уничтожает даже не все программы. Дело в том, что ряд spyware-производителей, в том числе Claria и WhenU, подали в суд на разработчиков антишпионского ПО и потребовали исключить свои модули из списка опасных и подлежащих удалению. Как ни странно, судебная атака была успешной. Причем проигравшие борцы со «шпионами» не имеют права даже известить пользователя о том, что на компьютере сидит spyware-модуль, который программа не может удалить.