Как развиваются шпионские программы и средства борьбы с ними
Пару лет назад худшее, что могло случиться с вами во время серфинга в Интернете, — это попасть под обстрел всплывающей рекламой. В последнее время, однако, я чувствую, что все, что я делаю, это очищаю шпионское ПО. Я провел бесчисленное количество часов, удаляя шпионское ПО с компьютеров, принадлежащих друзьям и родственникам, только для того, чтобы через несколько дней оно снова появилось. Я стараюсь помочь как можно большему количеству людей, но проблема шпионского ПО достигла масштабов эпидемии и становится только хуже. Я видел недавнюю статистику, свидетельствующую о том, что примерно 95% компьютеров в мире заражены шпионским ПО. К сожалению, методы удаления, которые работали всего пару месяцев назад, во многих случаях уже не эффективны, а выпускаемые новые типы шпионского ПО более совершенны, чем большинство компьютерных вирусов. В этой статье я расскажу, почему проблема шпионского ПО вышла из-под контроля и, что более важно, что вы можете с этим поделать.
Почему шпионское ПО является такой большой проблемой
Прежде чем обсуждать методы борьбы со шпионским ПО, я хочу воспользоваться моментом и поговорить о том, почему шпионское ПО представляет собой такую огромную проблему. Проблема может быть прослежена до двух основных причин; подлый способ установки шпионского ПО и отсутствие хороших профилактических решений.
Давайте начнем с разговора о способах установки шпионского ПО. Шпионское ПО устанавливается разными способами. Некоторые крупные компании предлагают бесплатные программы, которые поставляются в комплекте с различными типами шпионского ПО. Когда вы устанавливаете приложение, вы также устанавливаете шпионский компонент. Такие компании часто раскрывают свои намерения в лицензионном соглашении с конечным пользователем программного обеспечения. Тем не менее, лицензионное соглашение с конечным пользователем, как правило, настолько длинное и наполнено юридическим жаргоном, что почти никто не удосуживается прочитать его перед установкой программного обеспечения.
В то время как некоторые компании связывают шпионское ПО с приложениями, другие компании обманом заставляют пользователей устанавливать шпионское ПО. Обычно во время серфинга в Интернете пользователь видит всплывающее окно, замаскированное под сообщение об ошибке Windows. Фактическое сообщение об ошибке, отображаемое этими окнами, сильно различается, но цель одна и та же; чтобы пользователь нажимал на кнопку. Пользователь думает, что нажимает кнопку, которая исправит предполагаемую ошибку, хотя на самом деле он инициирует последовательность установки шпионского ПО.
Другие формы шпионского ПО спроектированы таким образом, что вам не нужно ни устанавливать приложение, ни нажимать кнопку. Что обычно происходит, так это то, что вредоносная веб-страница хорошо заманивает поисковую систему, чтобы она выглядела так, как будто страница содержит что-то интересное. В качестве альтернативы, вредоносная страница может также быть размещена на веб-сайте, который является распространенным опечаткой для популярного веб-сайта. Например, существует бесчисленное множество вредоносных веб-сайтов, нацеленных на тех, кто неправильно пишет google.com.
В любом случае пользователь должен просто посетить зараженную страницу, чтобы заразиться шпионским ПО. Такая страница обычно использует элементы управления ActiveX и использует слабые места в Internet Explorer.
Аналогичным образом шпионское ПО также может распространяться по электронной почте. Почтовые программы, такие как Microsoft Outlook и Outlook Express, могут получать сообщения в виде обычного текста, форматированного текста или HTML. Если сообщение закодировано в HTML, то заголовок HTML-документа может вызвать вредоносный скрипт. Пользователю не всегда нужно читать зараженное сообщение, чтобы оно заразило его систему. В некоторых случаях достаточно просто отобразить сообщение на панели предварительного просмотра Outlook, чтобы запустить вредоносный скрипт. К счастью, новые версии Outlook позволяют блокировать внешний HTML-код.
Как я объяснял ранее, методы распространения шпионского ПО — это только часть проблемы. Другая часть проблемы заключается в отсутствии надежных методов обнаружения и удаления шпионского ПО. По какой-то причине крупные антивирусные компании традиционно избегали шпионского ПО. Примерно за последний год в антивирусные программы было встроено больше возможностей по обнаружению и удалению шпионских программ, чем когда-либо прежде. Тем не менее, антишпионские возможности, встроенные в антивирусные программы, в лучшем случае посредственны. Прошлым летом на wired.com есть интересная статья, в которой различные антивирусные программы подвергались испытанию против шпионских программ. Я не буду утомлять вас всеми подробностями, так как вы можете сами прочитать статью по адресу: http://www.wired.com/news/infostructure/0,1377,63978,00.html, но я скажу вам, что в тесте Symantec AntiVirus поймал только четыре из девяти единиц шпионского ПО. Другие антивирусные продукты не намного лучше. Я хочу сказать, что есть много людей, которые полагаются на свое антивирусное программное обеспечение, чтобы обеспечить их безопасность в Интернете, но не понимают, что антивирусные программы игнорируют большую часть шпионского ПО, которое существует.
Удаление и предотвращение шпионского ПО
Если шпионское ПО может проникнуть на ваш компьютер без вашего ведома или согласия, и если ваше антивирусное программное обеспечение, скорее всего, проигнорирует установку шпионского ПО, реальный вопрос заключается в том, как очистить существующее заражение и как вы можете предотвратить заражение в будущем?
Позвольте мне начать с того, что существует множество инструментов для удаления шпионского ПО. Некоторые из них бесплатны, а другие являются коммерческими. К сожалению, почти все эти инструменты претендуют на звание лучших в удалении шпионских программ. Однако по моему опыту не существует продукта, обеспечивающего комплексную защиту от программ-шпионов.
Я обнаружил, что лучшая защита от программ-шпионов — это тщательная очистка машины, а затем принятие превентивных мер против повторного заражения. Конечно, почистить машину в первую очередь может быть очень сложно.
Поскольку ни одно программное обеспечение не очистит все, я обычно использую как минимум две антишпионские программы. Обычно я устанавливаю Ad Aware SE Personal Edition от Lavasoft (www.lavasoftusa.com) и Spybot Search & Destroy (http://www.safer-networking.org/en/index.html), потому что обе программы бесплатны.
Обычно мне удавалось сканировать систему с помощью этих двух приложений. Какую программу-шпион пропустит одна программа, другая обычно ловит. Однако иногда машина бывает настолько сильно заражена, что ни одно приложение не может удалить инфекцию. В таких случаях я иногда обращался к коммерческим антишпионским программам. Мне очень повезло со Spy Sweeper (http://www.webroot.com/products/spysweeper/) и Pest Patrol (http://www.pestpatrol.com/), но я не могу честно сказать, что эти продукты намного лучше, чем Ad Aware или Spybot.
Если машина настолько сильно заражена, что я не могу удалить инфекцию с помощью Ad Aware и Spybot, я обычно пытаюсь решить проблему, работая в безопасном режиме. Идея состоит в том, что когда вы загружаете Windows в безопасном режиме, Windows работает с минимальным набором драйверов и служб, и вы также изолированы от Интернета. Причина, по которой я это делаю, заключается в том, что в большинстве случаев, когда антишпионские приложения обнаруживают заражение, но не могут его вылечить (или когда заражение возвращается сразу после его очистки), обычно это происходит из-за того, что какой-то компонент шпионского ПО в данный момент находится в памяти системы. Большинство антишпионских программ сосредоточены в первую очередь на содержимом жесткого диска, а не на памяти, и поэтому шпионские модули в памяти часто остаются незамеченными. Однако, загрузив машину в безопасном режиме, вы обычно можете предотвратить загрузку модулей шпионского ПО, когда пытаетесь очистить систему. Имейте в виду, однако, что сначала вы должны загрузить Windows в обычном режиме, чтобы вы могли загрузить последние обновления для своих антишпионских программ. Только тогда вы сможете эффективно загрузиться в безопасном режиме и начать процесс удаления.
Надеемся, что загрузка машины в безопасном режиме и запуск антишпионской программы решит проблему за вас. Иногда даже этот метод не работает. Есть некоторые типы шпионских программ, от которых так сложно избавиться, что вам придется удалять их вручную. Хорошим примером этого является тип шпионского ПО под названием Cool Web Search. Существует бесчисленное множество вариантов Cool Web Search, но его основная цель — захватить вашу домашнюю страницу, а затем загрузить вашу систему различными троянами. Cool Web Search — один из наиболее распространенных типов шпионского ПО, но существует так много его разновидностей, что большинству антишпионских программ трудно от него избавиться. Существует специальный инструмент для избавления от Cool Web Search, который вы можете скачать под названием CWShredder (http://www.majorgeeks.com/download4086.html). Проблема в том, что новые варианты Cool Web Search невосприимчивы к CWShredder. К счастью, ссылка, которую я только что вам предоставил, также позволит вам загрузить утилиту под названием CoolWWWSearch Smart Killer, предназначенную для удаления новых вариантов Cool Web Search.
Пока я говорю о угонщиках браузера, таких как Cool Web Search, я хочу воспользоваться моментом и поговорить о другой распространенной проблеме с удалением. По моему опыту, иногда антишпионские программы избавляются от Cool Web Search и других угонщиков браузера. Проблема в том, что в некоторых случаях программа удаления шпионского ПО никогда не удосужится сбросить вашу домашнюю страницу на что-то безопасное. Таким образом, в следующий раз, когда вы откроете Internet Explorer, вы мгновенно повторно заразите свой компьютер. Даже если вы используете Windows в безопасном режиме без подключения к Интернету, ваш компьютер все равно может быть повторно заражен, если файлы, относящиеся к текущей домашней странице, все еще существуют в кеше вашего браузера.
Поскольку это так, я рекомендую после удаления угонщика браузера воздержаться от открытия Internet Explorer, пока вы не запустите Hijack This (http://www.spywareinfo.com/~merijn/downloads.html). HiJack Это утилита, предназначенная для возврата Internet Explorer в исходное состояние. Он не только сбрасывает домашнюю страницу и страницу поиска, но вы можете использовать его для удаления фрагментов шпионских программ, которые могли быть пропущены. Hijack Это может быть немного сложно использовать, но есть хорошее руководство, которое проведет вас через этот процесс: http://hjt.wizardsofwebsites.com/
Конечно, не все типы шпионских программ являются угонщиками браузера. Существуют и другие типы шпионского ПО, которые также трудно удалить. Если ваша антишпионская программа обнаруживает определенный тип шпионского ПО, но не может его удалить, вы можете найти в Интернете инструкции по удалению эксплойта вручную. Лично я написал несколько статей с подробными инструкциями по ручному удалению различных эксплойтов.
Если вы не можете найти инструкции по удалению вашего конкретного эксплойта, вам нужно будет выяснить, как удалить его вручную самостоятельно. К счастью, сделать это не так сложно, как раньше. Хотя это правда, что в Windows есть около миллиона мест, из которых можно запускать шпионское ПО, существуют инструменты, которые могут помочь вам отследить шпионское ПО.
Я рекомендую начать с загрузки машины в безопасном режиме и нажатия CTRL+ALT+Delete для просмотра диспетчера задач. Когда вы это сделаете, выберите вкладку «Процессы» и составьте список всех процессов, запущенных на машине. Поскольку машина работает в безопасном режиме, все эти процессы должны быть связаны с операционной системой Windows. Теперь загрузите Windows в обычном режиме и снова проверьте процессы. Запишите все процессы, которые в настоящее время выполняются, а затем вычеркните все процессы, которые также выполнялись в безопасном режиме. То, что у вас осталось, — это список процессов Windows более высокого уровня, дополнительных приложений (таких как антивирусное программное обеспечение) и шпионских программ. Если в списке остались какие-либо процессы, которые вы узнали, их также следует вычеркнуть из списка.
Теперь перейдите на http://www.liutilities.com/products/wintaskspro/processlibrary/ или на http://www.processlibrary.com/ и изучите все процессы, оставшиеся в вашем списке. Библиотеки процессов довольно новые, поэтому вы можете не найти все в своем списке, но он должен дать вам хорошее представление о том, какие процессы принадлежат Windows, а какие потенциально являются шпионскими программами.
После того, как вы выяснили, какие процессы являются потенциальными шпионскими программами, я рекомендую загрузить утилиту StartupList (http://www.spywareinfo.com/~merijn/downloads.html). Эта утилита покажет вам все программы, которые запускаются при загрузке Windows.. Затем вы можете использовать эту информацию для удаления подозреваемого шпионского ПО из вашей системы.
Иммунизация вашего компьютера
Теперь, когда я рассказал о некоторых методах удаления шпионских программ из вашей системы, давайте поговорим о профилактике. Есть несколько хороших шагов, которые вы можете предпринять, чтобы сделать многие типы шпионских программ неэффективными.
Первое, что я рекомендую, это установить Windows XP Service Pack 2 (при условии, что вы используете Windows XP). Пакет обновления исправляет ряд брешей в безопасности Internet Explorer, а также предоставляет долгожданный блокировщик всплывающих окон. Что еще более важно, он содержит новый менеджер надстроек, который позволяет вам видеть, какие программы были связаны с Internet Explorer, и при необходимости отключать эти программы. Отличная статья обо всех новых функциях безопасности Windows XP Service Pack 2 размещена по адресу: http://www.updatexp.com/windows-xp-service-pack-2.html. Актуальный пакет обновления можно загрузить с: http: //www.microsoft.com/windowsxp/sp2/default.mspx
Следующим шагом, который я рекомендую сделать, является настройка зон безопасности Internet Explorer для блокировки вредоносных сайтов. Internet Explorer позволяет классифицировать веб-сайты как надежные, с ограниченным доступом, локальные интрасети или Интернет. Если вы поместите ссылку на веб-сайт в категорию «Ограниченные сайты», Internet Explorer не помешает вам посетить этот сайт, но не позволит этому сайту нанести вред вашему компьютеру, если вы его посетите.
Spybot Search and Destroy содержит функцию иммунизации, в которой он добавляет довольно много вредоносных сайтов в список запрещенных сайтов на случай, если вас взломают и вы случайно попадете на один из этих сайтов. Еще один бесплатный инструмент, который работает еще лучше, — Spyware Blaster. Этот инструмент содержит список тысяч сайтов, которые можно добавить в список запрещенных сайтов. Spyware Blaster не очищает от программ-шпионов. Его цель - предотвратить инфекции в первую очередь. Существует даже функция, позволяющая заблокировать домашнюю страницу Internet Explorer, чтобы ее нельзя было изменить. Вы можете загрузить Spyware Blaster по адресу: http://www.javacoolsoftware.com/spywareblaster.html.
Наконец, большинство шпионских программ предназначены для передачи информации о вас или о вашем компьютере на какой-либо сервер в Интернете. Брандмауэр Windows имеет большое значение для предотвращения «звонков домой» шпионских программ, но есть и другие вещи, которые вы можете сделать.
Моя рекомендация номер один — отключать модем, когда он не используется. Некоторые модули шпионского ПО включают программы дозвона, которые молча заставляют ваш модем набирать номера 1-900 или звонить в другие страны. Конечным результатом является возмутительный счет за телефон. Вы можете предотвратить это, просто отсоединив шнур модема, когда модем не используется.
Другой вариант — установить блокировщик шпионского ПО (http://www.spyblocker-software.com/spyblocker/sb.shtm). Хотя установка блокировщика шпионского ПО не заменяет отключение модема, оно не позволяет шпионскому ПО передавать информацию о вас или вашем компьютер для шпионских серверов, пока вы в сети. Я никогда не использовал этот продукт сам (пока), но он получил очень положительные отзывы.
Вывод
В этой статье я попытался дать вам много полезной информации о том, как удалить и предотвратить заражение шпионским ПО. Вы можете получить гораздо больше информации по темам, которые я обсуждал, посетив http://www.firewallguide.com/spyware.htm.