Программы-шпионы под микроскопом

Практически каждый пользователь персонального компьютера уже знает о существовании компьютерных вирусов и необходимости установки специального антивирусного ПО для защиты от них. Но за последние несколько лет в Сети появилась новая угроза, которая по значимости и опасности не уступает вирусам. Мы поговорим о программах-шпионах, или spyware (spy — шпион, ware — программа), относящихся к классу malware (malicious software — программное обеспечение, которое относится к разряду особо злобных и безжалостных). Такие программы могут устанавливать себя самостоятельно на компьютеры пользователей или маскироваться под безопасные аудио- или видеофайлы, часто передаваемые и загружаемые по сети. После установки на компьютер такая программа может превратиться в серьезную угрозу. К самым невинным ее шалостям можно отнести способность заполнить весь экран монитора вашего компьютера назойливой рекламой — она будет плодить новые окошки с рекламными текстами как кроликов, менять настройки стартовой странички вашего браузера по своему усмотрению, сделает просто невозможной вашу работу в сети Интернет, так как сайты, с которыми хотите работать вы, обычно не входят в список рекламодателей. Незваный программный гость вашего компьютера может изменять параметры набора номера в удаленном соединении с вашим провайдером, и ваш собственный модем будет послушно набирать телефонный номер, который относится к далекому и незнакомому государству Вануату в поисках "родного" ему интернет-провайдера, а вам придется оплачивать огромные счета за международные телефонные разговоры. Вредоносные программы могут превратиться и в шпионов, которые помогают злоумышленникам похищать важные данные с вашего компьютера. Особый интерес для них представляет финансовая информация — номера банковских счетов и кредитных карт, пароли доступа к любым сетевым ресурсам.

Что же нужно и можно сделать, чтобы избежать подобной опасности, уберечь свой компьютер от проникновения шпионов? Прежде всего — знать своего врага. Spyware — это общий термин, который используется для определения некоторых разновидностей программного обеспечения, которое мешает жить и работать компьютеру. Сначала рассмотрим те из них, которые относятся к классу adware — они самоустанавливаются на компьютер и бомбят его рекламой без всякого разбора. Многие из adware-программ привязывают себя к веб-браузеру, например, Microsoft Internet Explorer, и реклама появляется сразу, как только вы выходите в Интернет. Есть и такие, которые устанавливаются в качестве резидентной программы в памяти компьютера, и "рекламная пауза" наступает немедленно при включении компьютера вне зависимости от наличия сетевого соединения и не заканчивается никогда. Количество всплывающих окошек с рекламой может быть таким большим, что вы не сможете работать на компьютере — только будете закрывать и закрывать все новые и новые навязчивые окна. Есть отдельный вид adware, который захватывает контроль над вашим браузером и каждый раз при его запуске изменяет адрес стартовой странички по своему усмотрению. Вы можете пытаться изменить ее адрес вручную, но назойливый сайт будет возрождаться вновь и вновь как птица Феникс. Обычно это адрес сайта компании, создавшей рекламную программу, или одного из ее рекламодателей. Такие постоянные посещения "родных" серверов позволяют рекламным программам оперативно обновляться при появлении новых версий и даже подгружать своих "друзей" — ваш компьютер превращается в своеобразный теремок, в котором будет поселено все больше и больше незваных гостей. Контроль над браузером дает возможность рекламным программам значительно пополнять папочку Избранное — в ней появится масса новых записей. Ваш браузер может стать "счастливым" обладателем и новой панели управления (в просторечии toolbar), которая также будет в поте лица трудиться на рекламном фронте. Сайты, которые предпочитают рекламировать себя подобным образом, чаще всего предлагают очень дешевое или бесплатное (читай контрафактное) программное обеспечение или просто порнографию. Понятно, что использование других, легальных, рекламных технологий подобными ресурсами сильно затруднено, а порой и вовсе невозможно. Для того, чтобы поведать о себе миру, им остается только рассылка спама и распространение по Сети вредоносных программ.

Очень неприятный вид вредоносных программ называется диалер (dialler). Если вы используете доступ к сети Интернет через обычный модем и телефонную линию, эти программы могут изменить настройки уделенного доступа без вашего ведома. Вместо номера вашего интернет-провайдера диалер соединит ваш модем с Интернетом через зарубежного оператора связи, а вам придется оплатить стоимость дорогого международного телефонного соединения. Существует специальная организация ICSTIS (Independent Committee for the Supervision of Standards of Telephone Information Services) — Независимый комитет по контролю над стандартами телефонных информационных служб, который делает все возможное для предотвращения и предупреждения подобных телефонных афер. К сожалению, расследования и разбирательства по поводу жалоб и заявлений от жертв программ-диалеров обычно затягиваются на долгие месяцы, и в очень редких случаях удается вернуть потерянные деньги. Самый простой способ защиты от подобных неприятностей — обратиться на свою телефонную станцию и попросить заблокировать звонки с вашего телефонного номера в те регионы, которые не входят в круг вашего регулярного общения (например, далекое государство Вануату). Рассмотрим основные признаки, по которым можно судить о том, что на ваш компьютер был загружен и установлен не очень хороший программный код:

. Стартовая страничка вашего браузера самопроизвольно изменилась.
. Сама по себе появилась новая панель управления браузером (она видна под адресной строкой).
. Компьютер стал работать медленно, начал "тормозить".
. На экране монитора сами по себе появляются всплывающие окна.
. Ваша работа в сети Интернет затрудняется, сайты загружаются медленнее, чем обычно.
. В настройках удаленного соединения изменился номер телефона, который набирает ваш модем, количество цифр в номере значительно увеличилось.

Следует отметить, что вирусы и вредоносное программное обеспечение загружаются и устанавливаются на компьютер не стандартным и обычным для всех программ способом. Через функцию Панели управления Установка и удаление программ вы их не сможете ни обнаружить, ни удалить. Известным источником распространения вредоносных программ являются различные интернет-сервисы для обмена файлами. Они дают доступ к огромным архивам с популярными аудиофайлами и видеоклипами, но вместо (или вместе) с понравившейся песенкой вы можете загрузить и adware. К счастью, с этой бедой можно справиться. Существует специальное программное обеспечение, которое способно обнаруживать и удалять непрошеных гостей с вашего компьютера. Можно рекомендовать два средства: Ad-Aware и SpyBot. Программы распространяются на условиях share ware, их можно найти в Сети, загрузить и установить на свой компьютер бесплатно. Как и для антивирусных программ, требуется время от времени обновлять через Интернет их базы данных и периодически сканировать компьютер.

Следует понимать разницу между рекламным ПО adware и программами-шпионами spyware, которые также незаметно могут загружаться и устанавливаться на ваш компьютер без вашего ведома. Как следует из названия, программа-шпион занимается разведывательной деятельностью на компьютере — она собирает информацию и передает ее своему хозяину. Такие программы следят за вашей работой в Интернете, замечают, какими сайтами вы интересуетесь, и могут использовать эту информацию при показе очередной порции непрошеной рекламы. Нечто подобное происходит, например, при работе бесплатного почтового сервиса Gmail, который предоставляет поисковик Google. Да, сервером производится мониторинг электронной корреспонденции его клиентов, и он используется в дальнейшем при планировании и реализации целевых рекламных компаний. Если вы когда-либо отправляли электронную почту через Gmail, то наверняка могли заметить, что к письмам могут добавляться небольшие рекламные блоки. Почтовый сервер Gmail просматривает письма своих клиентов — эта автоматическая перлюстрация используется для того, чтобы определить круг интересов каждого клиента и, опираясь на эти данные, по возможности добавлять рекламу тех товаров и услуг, которые будут ему интересны. Например, если пользователь часто отправляет своим друзьям фотографии, то в его почте будут рекламироваться фототовары и сетевые фотосервисы. Но Google предоставляет услуги электронной почты на бесплатной основе и предупреждает своих клиентов о возможном присутствии рекламы в их почтовых сообщениях. Еще до того, как зарегистрировать бесплатный почтовый ящик, человек понимает, что ему все равно придется расплачиваться за этот сервис просмотром рекламы. Устанавливая на свой компьютер какую-либо программу (даже загружая ее удаленно с интернет-сайта), пользователь обычно предупреждается о том, что это за программа, для каких целей и кем она создана, отвечает на вопрос, соглашается или нет с лицензионным соглашением — то есть самостоятельно и сознательно принимает решение, устанавливать либо нет ее на свой компьютер. Когда на его компьютер загружается программа adware или spyware, ничто не зависит от его желания.

Существует отдельный тип программ-шпионов, известный как keylogger. Такая программа фиксирует каждое нажатие клавиши на клавиатуре зараженного компьютера — она работает как невидимый, но очень хороший стенографист. Ее интересует все — от невинного письма до важного документа, который вы печатаете, а заодно в ее распоряжении оказываются пароли и коды доступа к различным сетевым ресурсам, денежным счетам в банке или платежным системам. Программы, которые вы устанавливаете сами, помогают вам в работе и отдыхе, вы можете удалить их, когда пожелаете. Вредоносная программа ведет себя как обыкновенный паразит, она работает не для вас и не на вас, а на своего хозяина, причем старается скрыть свое присутствие на компьютере и максимально усложнить процесс удаления.

Реестр операционной системы Windows содержит информацию о каждой программе, которая была установлена на ваш компьютер. Каждый раз при включении компьютера операционная система просматривает и проверяет реестр, получает оттуда информацию и использует ее в своей работе. Если программа- шпион добавляет себя в реестр, то компьютер будет послушно запускать ее при каждом включении. Если мы деинсталлируем программу, то информация о ней из реестра удаляется. Предвидя возможность удаления, некоторые программы spyware дополнительно устанавливают небольшую по размеру вспомогательную программу-помощника, которая занимается проверкой реестра. Если основная spyware удаляется из реестра, то помощник немедленно возвращает ее на место. Но и эта вспомогательная программка также прописана в реестре, и более тщательный анализ и контроль над всем устанавливаемым программным обеспечением позволяет ее выявить. Опытные пользователи самостоятельно занимаются чисткой реестра — для этого в системе Windows есть удобный инструмент, редактор реестра RegEdit, но я не рекомендую делать это новичкам: некорректная работа с реестром может нанести вашему компьютеру вред, не сравнимый ни с какими вирусами. В распоряжении пользователей Windows XP есть простое средство — функция восстановления системы (System Restore), которая запускается из основного меню Пуск — Справка и поддержка. Команда восстановления системы позволяет вам сохранять важные настройки компьютера включая содержимое реестра и при необходимости восстанавливать их. Поэтому, если у вас возникли подозрения, что на компьютере поселились незваные гости, вы можете быстро восстановить данные и удалить все программы, которые были установлены вольно или невольно со времени последнего сохранения данных. Программы Ad-Aware и Spybot автоматически создают точки восстановления системы. Специализированная программа Registry Mechanic также может сканировать реестр и обнаруживать потенциальные проблемы. Spybot и Registry Mechanic способны создавать резервную копию реестра с возможностью последующего восстановления. Не забывайте, что профилактика лучше лечения, поэтому стоит позаботиться о мерах, которые не позволят нежелательным программам попасть в ваш компьютер. Для того, чтобы поддерживать постоянную боевую готовность отражения разнообразных атак на ваш компьютер, ОС Windows предлагает функцию автоматического обновления. Она поможет загружать самые свежие компоненты системы, в которых были обнаружены и исправлены все известные разработчикам недостатки и уязвимости, а поиском и выявлением этих самых недостатков компания Microsoft занимается постоянно. Пользователи Windows XP обязательно должны установить пакет Service Pack 2 (или SP2). В него входит и такая полезная вещь, как блокиратор всплывающих окон для браузера Internet Explorer, который сделает ваш интернет-серфинг более-менее свободным от рекламы. Для версий ОС Windows, отличных от ХР, существуют специальные программы. Также многие панели инструментов, например, от Google, обладают возможностью блокировки всплывающих окон. Если на экране вашего монитора все же появится такое окошко с рекламой чего угодно, старайтесь не нажимать клавиши мыши в границах этого окна с целью его закрытия — лучше воспользуйтесь волшебной комбинацией клавиш <Alt>+<F4>.

Помимо программ Ad-Aware и SpyBot, существуют и другие средства борьбы с программами-шпионами. С сайта Microsoft можно бесплатно загрузить и испытать в действии программу AntiSpyware. Большинство подобных программ распространяются бесплатно, их можно найти в сети Интернет, загрузить и установить на компьютер. Многие компании, которые разрабатывают антивирусное программное обеспечение и распространяют его на коммерческой основе, также начали добавлять anti-spyware- и anti-adware-функции в свои продукты и расширять номенклатуру выпускаемого ПО в этом направлении. Компания Symantec продает набор программ Norton Internet Security, который объединяет антивирусную защиту с обнаружением программ-шпионов, у McAfee есть специальный продукт — McAfee Anti-Spyware. Тот, кто создает и распространяет вредоносное программное обеспечение, прекрасно осведомлен о существовании всех этих средств защиты и постоянно старается их обойти, поэтому не стоит успокаиваться, просто установив на свой компьютер программу Anti-Spyware — средства защиты можно комбинировать, и необходимо периодически обновлять их базы данных и сами программы. Да, программы-шпионы представляют собой угрозу вашей безопасности, они могут служить инструментом для хищения ваших личных данных и финансовой информации, но на самом деле шансы на то, что на вашем компьютере поселится именно та программа, которая сможет передать ваши пароли и любую секретную информацию именно тем, кто сможет реально воспользоваться этой информацией и снять деньги с вашего счета, совсем невелики. Представьте, какую информацию будет постоянно передавать подобная программа, установленная на компьютере обычного школьника-геймера. Ни кредитной карты, ни банковского счета у него нет, а самыми популярными по "нажимаемости" клавишами служат четыре стрелки (влево-вправо-вверх- вниз). Но даже несмотря на очень низкую вероятность причинить достаточно ощутимый ущерб жизнь компьютера без непрошеных гостей в виде программ- паразитов будет легче, чем в их компании. Для паники никаких причин нет, но к любой угрозе безопасности вашего компьютера следует относиться серьезно, ведь, лучше зная объекты, от которых вы желаете оградить себя, вы сможете выстроить более эффективную систему обороны.

Екатерина Грень


Компьютерная газета. Статья была опубликована в номере 47 за 2005 год в рубрике soft :: безопасность

©1997-2024 Компьютерная газета