….z krainy deszczowców

Nieświadomą ofiarą spyware’u może stać się każdy internauta. W tym miejscu z pewnością wielu Czytelników uśmiechnie się z niedowierzaniem… Nie będzie jednak w moim twierdzeniu przesady, jeśli powiem, że wystarczy wejść na stronę WWW lub pośpiesznie kliknąć OK, nie przeczytawszy – choćby pobieżnie – licencji, aby informacje o nas i zasobach naszego dysku wyciekły do firm, dla których taki towar jest smacznym kąskiem.

W wielu przypadkach autorzy modułów szpiegujących starają się zebrać o nas jak najwięcej informacji, a sposób ich postępowania jest często niezwykle wyrafinowany. A jak cenne są to dane, pokazują polskie i światowe rankingi malware’u, w których konie trojańskie zaczęły “wygrywać” z robakami internetowymi. Obecnie prym wiedzie trojan Downloader.GK wykorzystujący do gromadzenia danych – podobnie jak inne spyware’y – kontrolki ActiveX.

Kim oni są?

Określenie spyware, odnoszące się do aplikacji gromadzących i przesyłających dane o użytkowniku bez jego wiedzy i przyzwolenia, wymyślił znany ekspert od spraw bezpieczeństwa Steve Gibson z Gibson Research Corporation. Sama idea spyware’u powstała zaś na bazie licencji adware, sposobu działania trojanów oraz ukrytych funkcji w programach znanych jako easter eggs. Pionierem w tworzeniu modułów szpiegujących jest działająca do dziś firma Radiate (dawniej: Aureate). Obecnie mechanizmy służące do automatycznego określania profilu użytkownika na podstawie generowanego przez niego ruchu w Sieci i wyświetlania dostosowanych do jego preferencji reklam są niemal powszechne. Opublikowane w połowie tego roku wyniki badania firm EarthLink i Webroot Software (producent Spy Sweepera) pokazały, że blisko co trzeci ba­da­ny komputer był zainfekowany różnego typu opro­gra­mo­waniem szpiegującym. Co więcej, więk­­szość użytkowników zarażonych pecetów nie była świadoma istnienia i zagrożenia ze strony malware’u.

Tutaj trzeba zaznaczyć, że wskutek wzrostu liczby odmiennie działających modułów szpiegujących znaczenie pojęcia spyware nieco się zmieniło i odnosi się tylko do konkretnej grupy aplikacji. Powszechniej natomiast używa się ogólniejszej nazwy malware, określającą wszelkiego typu złośliwe oprogramowanie (patrz: $(LC111486: Rodzaje malware’u)$).

Wybrane aplikacje rozpowszechniane z modułami spyware
Programy P2P
Kazaa, Grokster, Morpheus, Audiogalaxy, BearShare, iMesh, Limewire
Menedżery pobierania plików
GetRight (wcześniejsze wersje), Go!Zilla, FlashGet, Download Accelerator
Programy antyspyware’owe
Spyware Nuker, WarNet, AdProtector, SpyAssault, SpyBar, ZeroSpyware, SpyBlast, Spyware Annihilator, Spyware BeGone, Spyware Crusher
Inne
CuteFTP, BuddyPhone, Spam Buster, Powerzip 2000
Dodatki przeglądarki WWW
Alexa Toolbar, EasyBar, MySearch, UCmore, HotBar, IEHelper, Fastseeker

Co może szpieg?

Dla przeciętnego użytkownika peceta zagrożenie ze strony malware’u to zwykle coś odległego i wręcz nierealnego. Tak jednak nie jest. Trzeba niestety przyjąć do wiadomości fakt, że nieuczciwym firmom zależy na informacjach o naszych zainteresowaniach czy gustach.

Moduły wspomnianej firmy Radiate/Aureate są jednymi z najczęściej spotykanych. “Tajniak” zainstalowany wraz ze starszą wersją GetRighta lub CuteFTP może przekazać do serwera firmy na przykład imię i nazwisko użytkownika, odczytane z Rejestru systemowego, listę zainstalowanych programów, adresy stron WWW, serwerów FTP, informacje o pobieranych z Sieci plikach czy adres IP komputera. W przypadku gdy firma korzystająca z usług malware’u za pośrednictwem szpiega otrzyma zwrotny adres DNS, może w przybliżeniu określić okolicę zamieszkania użytkownika. Powyższe dane nie są, rzecz jasna, zbierane w celach kolekcjonerskich. Informacje te zostaną najprawdopodobniej sprzedane, i to wielokrotnie.

Do zbierania danych o internautach zaangażowano także spam. W odpowiednio spreparowanym e-mailu można umieścić odnośniki do plików graficznych przechowywanych na serwerze nadawcy. Mają one unikatową nazwę, przypisaną do każdego adresata, i bardzo często są “przezroczyste” dla odbiorcy. Po otrzymaniu listu z intrygującym tytułem wystarczy go otworzyć, a program pocztowy obsługujący format HTML pobierze ukryty plik. W ten sposób spam-szpieg przekaże swojemu nadawcy informację, nie tylko o tym, że nasze konto funkcjonuje, lecz także o tym, co nas interesuje i o jakich porach korzystamy z Internetu. Wystarczy sporadycznie odbierać i “przeklikiwać” takie przesyłki, aby podać na tacy nadawcom takiej poczty własny profil internauty. Jak ustrzec się przed tego typu “wywiadem”? Powinniśmy tak skonfigurować program pocztowy, aby odbierane wiadomości wyświetlały się bądź w trybie tekstowym, bądź w HTML-u, ale wyłącznie z grafikami w postaci załączników.

Kolejnym mechanizmem wykorzystywanym do szpiegowania są cookies. Internauta, odwiedzając portal lub duży serwis informacyjny, otrzymuje indywidualny numer zapisywany na własnym dysku w postaci “ciasteczka”. Dzięki temu jest rozpoznawany podczas kolejnych wizyt na stronie. W ten sposób opiekun serwisu WWW może prowadzić statystyki dotyczące oglądalności i popularności poszczególnych sekcji, działów, artykułów, newsów etc. Aby spersonalizować takie dane, wystarczy zbudować profil internauty i pobrać jego personalia, np. w drodze konkursu lub zakupów w sieciowym sklepie danego portalu czy serwisu. Warto więc usuwać pliki cookie z poziomu przeglądarki albo za pomocą specjalizowanego programu, np. prezentowanego tu PestPatrola.

Konfigurując przeglądarkę, warto też wyłączyć pobieranie wspomnianych kontrolek ActiveX. To kolejna furtka, przez którą może się do systemu wdzierać nie tylko spyware, ale i trojany czy dialery.

Dane techniczne i podstawowe funkcje programów antyspyware’owych
Ad-aware 6 ProAd-aware 6 PersonalPestPatrol 4.4Spy Sweeper 3Spybot S&D 1.3X-CleanerSpy Subtract Pro 2.03Spy Cleaner Lite 8.0.5
ProducentLavasoftLavasoftPestPatrolWebroot SoftwarePatrick M. KollaXblockInterMuteSpy Cleaner
http://www.lavasoftusa.com/www.lavasoftusa.com/www.pestpatrol.com/www.webroot.com/security.kolla.de/www.xblock.com/www.intermute.com/www.topdownloads.net/
Cena39,95 USDfreeware39,95 USD29,95 USDfreewarefreeware29,95 USDfreeware
Polska wersja językowa++
Parametry testowanych aplikacji
Ocena skuteczności8787848361574817
Czas skanowania (Rejestr, pamięć, zasoby dysku)3:21 s3:16 s21:47 s1:55 s3:52 s6:54 s 1)1:11 s1:03 s
Liczba wykrytych szpiegów 2)11 procesów, 453 klucze i 52 wartości Rejestru, 301 plików11 procesów, 453 klucze i 52 wartości Rejestru, 301 plików2744 ślady spyware’u38 modułów spyware412 rozpoznanych problemów23 moduły spyware2 procesy, 1234 wpisy w Rejestrze, 14 odnośników URL, 9 cookies, 130 plików5 procesów, 161 wpisów w Rejestrze, 28 cookies, 66 plików
Problemy z usuwaniem wykrytych szpiegów+++
Liczba plików pozostałych po przeskanowaniu systemu znaleziona przez program antywirusowy 3)17 plików17 plików24 pliki22 pliki34 pliki27 plików39 plików51 plików
Objawy niekompletnego usunięcia szpiegów (pop-upy, spowolnienie systemu, procesy w tle itp.)sporadyczne pop-upy, próby instalacji aplikacji z Siecisporadyczne pop-upy, próby instalacji aplikacji z Siecisporadyczne pop-upysporadyczne pop-upyTV broadcast, pop-upy, paski IE, próby instalacji aplikacji z Siecipop-upy, próby instalacji aplikacji z Sieci liczne pop-upy, próby instalacji aplikacji z Sieci, procesy w tleliczne pop-upy, paski IE, próby instalacji aplikacji z Sieci, procesy w tle
Szybkość i stabilność pracy systemu i aplikacji po czyszczeniu dobradobrabardzo dobraśrednia 4)średniaśredniasłababardzo słaba
Funkcjonalność
Monitorowanie pamięci, procesów, menu Start itp.+++++
Blokowanie nieautoryzowanych zmian w ustawieniach Autostartu, strony startowej, pliku hosts itp.+++++
Aktualizacja programu/możliwość jej automatyzacji+/++/-+/++/++/++/++/--/-
Harmonogram skanowań++
Kwarantanna i możliwość cofnięcia zmian+++++++
Definowanie działania w przypadku znalezienia szpiega++-/+
Sugestia działania dot. wykrytych elementów+
Określanie zasobów do skanowania++++++
Predefiniowane typy skanowań+++
Ustawienia użytkownika dotyczące skanowań++++
Wykluczenia-/++++++
Dostęp do Autostartu/aktywnych procesów systemu -/+-/-+/++/++/++/--/--/-
Określanie poziomu wykorzystania zasobów przez aplikację++
Ochrona hasłem ustawień programu+
Statystyki/raporty-/+-/+-/+-/+-/+-/--/+-/+
Innelinia komend, szybkie sprawdzanie systemu po starcielinia komend, szybkie sprawdzanie systemu po starcielinia komend, analiza aktywnych procesów i wskazanych plikówdownload directory, lista zainstalowanych wtyczek ActiveX, BHOOn-Screen Keyboard – wprowadzanie haseł myszą (ochrona przed keyloggerami)SpySleuth – mechanizm sprawdający z czym zainstalował się dany moduł spyware
Ergonomia
Ogólna ergonomia aplikacjibardzo dobrabardzo dobrabardzo dobrabardzo dobradobraśredniadobraśrednia
Ostrzeganie o ew. problemach po kasowaniu+++
Szczegółowe informacje o znalezionych modułach+++++++
Okno statusu++
Informowanie użytkownika o próbach nieautoryzowanych zmian w systemie+++++
Możliwość uruchamiania aplikacji z systemem++++++
Dostęp do opcji programu przez ikonę w zasobniku++++
Pomoc kontekstowa/opcje pod prawym przyciskiem myszy-/--/--/++/-+/--/-+/+-/-
Jakość Pomocybardzo dobrabardzo dobrabardzo dobrabardzo dobrabardzo dobrasłababardzo dobraśrednia
Narzędzia dodatkowe
Obsługa plug-inów++
Inne narzędzia i modułyniszczarka plików, spr. spójności wpisów Rejestruniszczarka plików, generator hasełniszczarka plików
+ – tak; – – nie; +/- – częściowo; 1 – w wersji darmowej nie można dokładnie skanować Rejestru, dostępna opcja Quickly Scan for Malware; 2 – wyniki podano na podstawie raportów programów (dokładny opis procedury – patrz: s. 114); 3 – Kaspersky Anti-Virus Personal 5.0 z rozszerzonymi bazami wykrywającymi spyware; 4 – konieczność ingerencji w ustawienia sieciowe
Więcej:bezcatnews