Pigułka po

System bardzo wolno działa, strona startowa w przeglądarce internetowej została zmieniona, a na Pasku zadań pojawiły się dziwne ikony? Twój komputer jest zarażony spyware'em. Doradzamy, jak pozbyć się "szkodników"

Sytuacja taka może spotkać prawie każdego internautę korzystającego z Windows. Web­root w swoim raporcie „State of Spyware” podaje, że spośród przebadanych na całym świecie 2,36 mln komputerów 81% było zainfekowanych oprogramowaniem szpiegującym i średnio na każdej takiej maszynie było prawie 25 okazów spyware’u. Szansa, że dotyczy to również Ciebie, jest duża, przeczytaj więc ten tekst.

Nie ma przy tym co ukrywać, że przeważnie sami nieświadomie wprowadzamy „szkodniki” do systemu. Klienty FTP, P2P, menedżery pobierania, wygaszacze ekranu i niewielkie gry (główne pole zainteresowania dzieci korzystających z peceta) to podstawowe źródła zarazy. Aplikacje te instalują siebie i dodatkowe „małe co nieco”. Infekcję ułatwia fakt, że najczęściej używana przeglądarka – Internet Explorer – nie jest wzorem bezpiecznej aplikacji. Przyczyniają się do tego zwłaszcza mechanizmy kontrolek ActiveX i BHO (Browser Helper Objects), które normalnie służą zwiększeniu funkcjonalności „Misia”.

Stosowanie innych przeglądarek uwolni nas od ActiveX, ale niebezpieczeństwem wciąż pozostanie JavaScript. Trzeba uważać na otwierające się okna, zapisywane na dysku pliki i przede wszystkim na odwiedzane witryny WWW. Tu grzeszą przede wszystkim panowie, którzy skuszeni wdziękami nie do końca ubranych pań są w stanie kliknąć praktycznie wszystko. Oprócz już wymienionych przykładów możemy się spotkać z tzw. porywaczami przeglądarki (ang. browser hijacker) czy ciasteczkami śledzącymi aktywność użytkownika (ang. tracking cookies).

Ach, mój nieluby!

Postać „szkodnika” bywa różna: od pojedynczego pliku czy biblioteki aż po spyware w postaci rootkita. Od czego więc zacząć? Nie wiedząc dokładnie, z czym mamy do czynienia, najlepiej przed zabraniem się do usuwania „szpiega” wyłączyć przywracanie systemu (umożliwiamy w ten sposób skasowanie ewentualnej kopii „szkodnika”). Mechanizm ten istnieje tylko w Windows Me i XP, więc użytkownicy pozostałych wersji przechodzą od razu do punktu drugiego, czyli uruchomienia Okien w trybie awaryjnym (dla przypomnienia: w czasie startu robimy to klawiszem

[F8]

). Sporo można zdziałać także podczas zwykłej pracy, ale staramy się przedstawić w miarę uniwersalne podejście do problemu, zalecamy więc tryb awaryjny.

Teraz czas na leczenie. Najczęś­ciej stosowanym sposobem pozbywania się niechcianych gości jest instalacja i uruchomienie programu antyszpiegowskiego. Omówimy darmowe aplikacje (Ad-Aware SE Personal, Spybot – Search & Destroy i Windows Defender), ale nie oznacza to, że nie ma komercyjnych produktów, np. Webroot Spy Sweeper, Trend Micro Anti-Spyware, Sunbelt CounterSpy czy XoftSpy.

Pierwszy z wymienionych programów – Ad-Aware SE Personal – ostatnio zyskał jeszcze na popularności po włączeniu do pakietu Google Pack (pack.google.com). Jest darmową wersją komercyjnej aplikacji okrojonej z funkcjonalności. Przede wszystkim brak bieżącego monitorowania stanu systemu. Teraz jednak interesuje nas „pigułka po”, zatem zapobieganie nie ma takiego znaczenia. Program poszukuje w Rejestrze systemu podejrzanych kluczy i wartości wskazujących na obecność spyware’u, wykrywa biblioteki DLL i programy oraz zakładane przez spyware foldery. Zwalcza także śledzące ciasteczka.

Jak rozpoznać obecność programów typu spyware
  • komputer niezbornie startuje (np. pięć minut zamiast jednej) i nagle zaczął wolno pracować,
  • uruchamianie programów i operacje dyskowe zajmują bardzo dużo czasu,
  • strona startowa Internet Explorera została zmieniona, a próby przywrócenia poprzedniego stanu rzeczy kończą się niczym,
  • Internet Explorer zyskał nowe, nieznane nam paski narzędzi,
  • uruchomienie przeglądarki powoduje załadowanie wielu różnych okienek typu pop-up,
  • w Polu systemowym są nieznane ikony lub też pod znanym symbolem kryje się coś obcego,
  • co rusz na ekranie pojawiają się jakieś tajemnicze i natarczywe okienka, które wymuszają reakcję użytkownika,
  • nie działają jakieś aplety z Panelu sterowania,
  • system co chwila „sypie” błędami,
  • na dysku pojawiły się pliki, które nie zostały utworzone lub zapisane przez użytkownika,
  • na liście procesów są nieznane pozycje.
  • Nadal cię nie lubię!

    Drugie narzędzie to Spybot – Search & Destroy. Walczy ze szkodliwym oprogramowaniem (spyware, adware, niektóre dialery, keyloggery, blokuje kontrolki ActiveX, usuwa konie trojańskie) z podobną skutecznością jak konkurent, ale ponieważ programy te posługują się różnymi bazami, to warto system sprawdzić za pomocą obu. Przydatna może być informacja, że Spybot S&D można uruchomić z linii komend. Dodatkiem jest rezydentny program pilnujący niektórych zmian w Rejestrze. Niestety, nie działa on najlepiej, zatem i ochrona jest nieco złudna.

    Trzeci gracz jest na boisku znacznie krócej niż pozostali: Windows Defender (pod starą nazwą Microsoft AntiSpyware) zadebiutował w 2005 roku i oficjalnie wciąż jest w wersji beta (premiera planowana jest na lato). Aplikacja jest dostępna za darmo, ale wyłącznie dla legalnych użytkowników Okien (konieczna weryfikacja autentyczności systemu). Od dwóch pozostałych odróżnia ją przede wszystkim to, że non stop działa w tle i monitoruje system. Trzeba przyznać, że o ile w zwalczaniu tego, co już w Windows siedzi, Defender jest zbliżony do konkurentów, to w zapobieganiu ma zdecydowaną przewagę.

    Niezależnie od tego, którego „sprzątacza” użyjemy, to pracę z nimi koniecznie trzeba rozpocząć od ich aktualizacji (w Ad-Aware baza ma około roku!). Ad-Aware i Spybot mogą być aktualizowane offline za pomocą wcześniej pobranych plików. Defender wymaga natomiast łącza internetowego – to jego ewidentna wada. Po doprowadzeniu baz do porządku trzeba wykroić nieco czasu i dokładnie przeskanować system. W zależności od rozmiaru dysku i szybkości komputera może to zająć od kilku minut do nawet kilku godzin (przeciętnie około pół godziny). Cel jest jeden: znaleźć i usunąć to, co szkodzi.

    Lot na Tempelhof

    Jedną z odmian oprogramowania szpiegującego są porywacze przeglądarek. Najbardziej popularnym narzędziem do walki z nimi jest HijackThis. Narzędzie to nie wymaga instalacji; bezpośrednio po uruchomieniu skanuje system i wszystkie potencjalne zagrożenia wyświetla na liście (jest skutecznym tropicielem „szkodników”). HijackThis o niczym sam nie decyduje – użytkownik samodzielnie wskazuje to, co wydaje mu się podejrzane, więc potrzebne są w równym stopniu wiedza i rozwaga, bo niechcący możemy wyrzucić nie to, co trzeba. Przewidziano jednak, że i początkujący użytkownicy mogą zechcieć posłużyć się programem. Przede wszystkim możliwe jest przygotowanie kopii zapasowej plików w celu jej ewentualnego przywrócenia. Poza tym zapisywany jest log z pracy aplikacji, który można przesłać np. na forum internetowe, gdzie bardziej doświadczeni użytkownicy pomogą w jego interpretacji. Po uruchomieniu HijackThis najpierw klikamy przycisk None of the above ,

    just start the program

    , a później wybieramy Config, gdzie na zakładce Main skonfigurujemy program do własnych potrzeb.

    Bez pornografii

    Inną pomocą w zwalczaniu porywaczy jest CWShredder. Jej ostrze wymierzone jest w moduły CoolWebSearch (inaczej CoolWWWSearch czy YouFindAll). To jedna z najpopularniejszych odmian spyware’u. Efektem jego działania jest dodawanie do Ulubionych odsyłaczy do stron reklamowych i wstawianie reklam jako strony startowej przeglądarki. Wyrugowanie CWS nie należy do najprostszych zadań, dlatego też posługujemy się CWShredderem. Podobnie jak HijackThis, nie wymaga on instalacji – po uruchomieniu przeprowadzamy aktualizację (

    Check For Update

    ), a następnie klikamy na przycisk Fix. W czasie pracy aplikacji nie mogą być uruchomione dwa programy: Windows Media Player i Internet Explorer. Narzędzie nie usuwa niczego samo – czeka na reakcję użytkownika.

    Close

    Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.