W wielu przypadkach autorzy modułów szpiegujących starają się zebrać o nas jak najwięcej informacji, a sposób ich postępowania jest często niezwykle wyrafinowany. A jak cenne są to dane, pokazują polskie i światowe rankingi malware’u, w których konie trojańskie zaczęły “wygrywać” z robakami internetowymi. Obecnie prym wiedzie trojan Downloader.GK wykorzystujący do gromadzenia danych – podobnie jak inne spyware’y – kontrolki ActiveX.
Kim oni są?
Określenie spyware, odnoszące się do aplikacji gromadzących i przesyłających dane o użytkowniku bez jego wiedzy i przyzwolenia, wymyślił znany ekspert od spraw bezpieczeństwa Steve Gibson z Gibson Research Corporation. Sama idea spyware’u powstała zaś na bazie licencji adware, sposobu działania trojanów oraz ukrytych funkcji w programach znanych jako easter eggs. Pionierem w tworzeniu modułów szpiegujących jest działająca do dziś firma Radiate (dawniej: Aureate). Obecnie mechanizmy służące do automatycznego określania profilu użytkownika na podstawie generowanego przez niego ruchu w Sieci i wyświetlania dostosowanych do jego preferencji reklam są niemal powszechne. Opublikowane w połowie tego roku wyniki badania firm EarthLink i Webroot Software (producent Spy Sweepera) pokazały, że blisko co trzeci badany komputer był zainfekowany różnego typu oprogramowaniem szpiegującym. Co więcej, większość użytkowników zarażonych pecetów nie była świadoma istnienia i zagrożenia ze strony malware’u.
Tutaj trzeba zaznaczyć, że wskutek wzrostu liczby odmiennie działających modułów szpiegujących znaczenie pojęcia spyware nieco się zmieniło i odnosi się tylko do konkretnej grupy aplikacji. Powszechniej natomiast używa się ogólniejszej nazwy malware, określającą wszelkiego typu złośliwe oprogramowanie (patrz: $(LC111486: Rodzaje malware’u)$).
Wybrane aplikacje rozpowszechniane z modułami spyware |
Programy P2P Kazaa, Grokster, Morpheus, Audiogalaxy, BearShare, iMesh, Limewire Menedżery pobierania plików GetRight (wcześniejsze wersje), Go!Zilla, FlashGet, Download Accelerator Programy antyspyware’owe Spyware Nuker, WarNet, AdProtector, SpyAssault, SpyBar, ZeroSpyware, SpyBlast, Spyware Annihilator, Spyware BeGone, Spyware Crusher Inne CuteFTP, BuddyPhone, Spam Buster, Powerzip 2000 Dodatki przeglądarki WWW Alexa Toolbar, EasyBar, MySearch, UCmore, HotBar, IEHelper, Fastseeker |
Co może szpieg?
Dla przeciętnego użytkownika peceta zagrożenie ze strony malware’u to zwykle coś odległego i wręcz nierealnego. Tak jednak nie jest. Trzeba niestety przyjąć do wiadomości fakt, że nieuczciwym firmom zależy na informacjach o naszych zainteresowaniach czy gustach.
Moduły wspomnianej firmy Radiate/Aureate są jednymi z najczęściej spotykanych. “Tajniak” zainstalowany wraz ze starszą wersją GetRighta lub CuteFTP może przekazać do serwera firmy na przykład imię i nazwisko użytkownika, odczytane z Rejestru systemowego, listę zainstalowanych programów, adresy stron WWW, serwerów FTP, informacje o pobieranych z Sieci plikach czy adres IP komputera. W przypadku gdy firma korzystająca z usług malware’u za pośrednictwem szpiega otrzyma zwrotny adres DNS, może w przybliżeniu określić okolicę zamieszkania użytkownika. Powyższe dane nie są, rzecz jasna, zbierane w celach kolekcjonerskich. Informacje te zostaną najprawdopodobniej sprzedane, i to wielokrotnie.
Do zbierania danych o internautach zaangażowano także spam. W odpowiednio spreparowanym e-mailu można umieścić odnośniki do plików graficznych przechowywanych na serwerze nadawcy. Mają one unikatową nazwę, przypisaną do każdego adresata, i bardzo często są “przezroczyste” dla odbiorcy. Po otrzymaniu listu z intrygującym tytułem wystarczy go otworzyć, a program pocztowy obsługujący format HTML pobierze ukryty plik. W ten sposób spam-szpieg przekaże swojemu nadawcy informację, nie tylko o tym, że nasze konto funkcjonuje, lecz także o tym, co nas interesuje i o jakich porach korzystamy z Internetu. Wystarczy sporadycznie odbierać i “przeklikiwać” takie przesyłki, aby podać na tacy nadawcom takiej poczty własny profil internauty. Jak ustrzec się przed tego typu “wywiadem”? Powinniśmy tak skonfigurować program pocztowy, aby odbierane wiadomości wyświetlały się bądź w trybie tekstowym, bądź w HTML-u, ale wyłącznie z grafikami w postaci załączników.
Kolejnym mechanizmem wykorzystywanym do szpiegowania są cookies. Internauta, odwiedzając portal lub duży serwis informacyjny, otrzymuje indywidualny numer zapisywany na własnym dysku w postaci “ciasteczka”. Dzięki temu jest rozpoznawany podczas kolejnych wizyt na stronie. W ten sposób opiekun serwisu WWW może prowadzić statystyki dotyczące oglądalności i popularności poszczególnych sekcji, działów, artykułów, newsów etc. Aby spersonalizować takie dane, wystarczy zbudować profil internauty i pobrać jego personalia, np. w drodze konkursu lub zakupów w sieciowym sklepie danego portalu czy serwisu. Warto więc usuwać pliki cookie z poziomu przeglądarki albo za pomocą specjalizowanego programu, np. prezentowanego tu PestPatrola.
Konfigurując przeglądarkę, warto też wyłączyć pobieranie wspomnianych kontrolek ActiveX. To kolejna furtka, przez którą może się do systemu wdzierać nie tylko spyware, ale i trojany czy dialery.
Dane techniczne i podstawowe funkcje programów antyspyware’owych | ||||||||
Ad-aware 6 Pro | Ad-aware 6 Personal | PestPatrol 4.4 | Spy Sweeper 3 | Spybot S&D 1.3 | X-Cleaner | Spy Subtract Pro 2.03 | Spy Cleaner Lite 8.0.5 | |
Producent | Lavasoft | Lavasoft | PestPatrol | Webroot Software | Patrick M. Kolla | Xblock | InterMute | Spy Cleaner |
http:// | www.lavasoftusa.com/ | www.lavasoftusa.com/ | www.pestpatrol.com/ | www.webroot.com/ | security.kolla.de/ | www.xblock.com/ | www.intermute.com/ | www.topdownloads.net/ |
Cena | 39,95 USD | freeware | 39,95 USD | 29,95 USD | freeware | freeware | 29,95 USD | freeware |
Polska wersja językowa | – | + | – | – | + | – | – | – |
Parametry testowanych aplikacji | ||||||||
Ocena skuteczności | 87 | 87 | 84 | 83 | 61 | 57 | 48 | 17 |
Czas skanowania (Rejestr, pamięć, zasoby dysku) | 3:21 s | 3:16 s | 21:47 s | 1:55 s | 3:52 s | 6:54 s 1) | 1:11 s | 1:03 s |
Liczba wykrytych szpiegów 2) | 11 procesów, 453 klucze i 52 wartości Rejestru, 301 plików | 11 procesów, 453 klucze i 52 wartości Rejestru, 301 plików | 2744 ślady spyware’u | 38 modułów spyware | 412 rozpoznanych problemów | 23 moduły spyware | 2 procesy, 1234 wpisy w Rejestrze, 14 odnośników URL, 9 cookies, 130 plików | 5 procesów, 161 wpisów w Rejestrze, 28 cookies, 66 plików |
Problemy z usuwaniem wykrytych szpiegów | – | – | – | – | – | + | + | + |
Liczba plików pozostałych po przeskanowaniu systemu znaleziona przez program antywirusowy 3) | 17 plików | 17 plików | 24 pliki | 22 pliki | 34 pliki | 27 plików | 39 plików | 51 plików |
Objawy niekompletnego usunięcia szpiegów (pop-upy, spowolnienie systemu, procesy w tle itp.) | sporadyczne pop-upy, próby instalacji aplikacji z Sieci | sporadyczne pop-upy, próby instalacji aplikacji z Sieci | sporadyczne pop-upy | sporadyczne pop-upy | TV broadcast, pop-upy, paski IE, próby instalacji aplikacji z Sieci | pop-upy, próby instalacji aplikacji z Sieci | liczne pop-upy, próby instalacji aplikacji z Sieci, procesy w tle | liczne pop-upy, paski IE, próby instalacji aplikacji z Sieci, procesy w tle |
Szybkość i stabilność pracy systemu i aplikacji po czyszczeniu | dobra | dobra | bardzo dobra | średnia 4) | średnia | średnia | słaba | bardzo słaba |
Funkcjonalność | ||||||||
Monitorowanie pamięci, procesów, menu Start itp. | + | – | + | + | + | – | + | – |
Blokowanie nieautoryzowanych zmian w ustawieniach Autostartu, strony startowej, pliku hosts itp. | + | – | + | + | + | – | + | – |
Aktualizacja programu/możliwość jej automatyzacji | +/+ | +/- | +/+ | +/+ | +/+ | +/+ | +/- | -/- |
Harmonogram skanowań | – | – | – | + | + | – | – | – |
Kwarantanna i możliwość cofnięcia zmian | + | + | + | + | + | – | + | + |
Definowanie działania w przypadku znalezienia szpiega | – | – | + | – | – | – | + | -/+ |
Sugestia działania dot. wykrytych elementów | – | – | – | – | + | – | – | – |
Określanie zasobów do skanowania | + | + | + | + | – | – | + | + |
Predefiniowane typy skanowań | + | + | – | – | – | – | + | – |
Ustawienia użytkownika dotyczące skanowań | + | + | – | – | + | – | + | – |
Wykluczenia | -/+ | – | + | + | + | – | + | + |
Dostęp do Autostartu/aktywnych procesów systemu | -/+ | -/- | +/+ | +/+ | +/+ | +/- | -/- | -/- |
Określanie poziomu wykorzystania zasobów przez aplikację | + | – | – | – | + | – | – | – |
Ochrona hasłem ustawień programu | – | – | – | + | – | – | – | – |
Statystyki/raporty | -/+ | -/+ | -/+ | -/+ | -/+ | -/- | -/+ | -/+ |
Inne | linia komend, szybkie sprawdzanie systemu po starcie | linia komend, szybkie sprawdzanie systemu po starcie | linia komend, analiza aktywnych procesów i wskazanych plików | – | download directory, lista zainstalowanych wtyczek ActiveX, BHO | On-Screen Keyboard – wprowadzanie haseł myszą (ochrona przed keyloggerami) | SpySleuth – mechanizm sprawdający z czym zainstalował się dany moduł spyware | – |
Ergonomia | ||||||||
Ogólna ergonomia aplikacji | bardzo dobra | bardzo dobra | bardzo dobra | bardzo dobra | dobra | średnia | dobra | średnia |
Ostrzeganie o ew. problemach po kasowaniu | – | – | + | – | + | – | + | – |
Szczegółowe informacje o znalezionych modułach | + | + | + | + | + | + | + | – |
Okno statusu | + | + | – | – | – | – | – | – |
Informowanie użytkownika o próbach nieautoryzowanych zmian w systemie | + | – | + | + | + | – | + | – |
Możliwość uruchamiania aplikacji z systemem | + | + | + | + | + | – | + | – |
Dostęp do opcji programu przez ikonę w zasobniku | – | – | + | + | + | – | + | – |
Pomoc kontekstowa/opcje pod prawym przyciskiem myszy | -/- | -/- | -/+ | +/- | +/- | -/- | +/+ | -/- |
Jakość Pomocy | bardzo dobra | bardzo dobra | bardzo dobra | bardzo dobra | bardzo dobra | słaba | bardzo dobra | średnia |
Narzędzia dodatkowe | ||||||||
Obsługa plug-inów | + | + | – | – | – | – | – | – |
Inne narzędzia i moduły | – | – | – | – | niszczarka plików, spr. spójności wpisów Rejestru | niszczarka plików, generator haseł | niszczarka plików | – |
+ – tak; – – nie; +/- – częściowo; 1 – w wersji darmowej nie można dokładnie skanować Rejestru, dostępna opcja Quickly Scan for Malware; 2 – wyniki podano na podstawie raportów programów (dokładny opis procedury – patrz: s. 114); 3 – Kaspersky Anti-Virus Personal 5.0 z rozszerzonymi bazami wykrywającymi spyware; 4 – konieczność ingerencji w ustawienia sieciowe | ||||||||