наверх

Главная, «Мир ПК», № 05, 2005 968 прочтений

Найти и обезвредить

Приглядитесь к своему персональному компьютеру повнимательнее.

Мэри Ландесман, Ким Леджелис

Приглядитесь к своему персональному компьютеру повнимательнее. Если вы часто пользуетесь Интернетом и не придаете особого значения вопросам безопасности при работе в Сети, весьма вероятно, что на вашем жестком диске скопилось множество нежелательных файлов и программ. Давайте разберемся с «паразитами», которые способны обосноваться на наших ПК.

Незваные гости

Через некоторое время работы в Интернете вы можете обнаружить на жестком диске настоящий постоялый двор: сюда попали и поселились без вашего ведома тысячи гостей (килобайты информации). Некоторые неопасны и просто занимают место, но есть и вредные разновидности. Перечислим их в порядке возрастания риска.

Копии посещаемых ресурсов

В обозревателе сохраняются не только адреса веб-страниц, которые посетил пользователь, но и их копии. Такие файлы могут гостить на жестком диске от нескольких дней до нескольких недель (в зависимости от настройки обозревателя) и в целом никому и ничему не угрожают — за исключением случаев, когда вы не хотите, чтобы другие пользователи компьютера (например, члены семьи) знали, какие именно узлы вы посещаете.

Файлы «cookies»

«Cookies» — это небольшие информационные текстовые файлы, сами по себе не представляющие особой опасности. Однако они могут рассказать другим о ваших путешествиях по Интернету — так же, как «Журнал» и копии веб-страниц. Кроме того, с помощью этих файлов определенные коммерческие узлы собирают информацию о привычках и интересах пользователей буквально по крупицам. Большой беды в этом, пожалуй, нет. Но возможно, вам не хочется афишировать эти сведения. Наконец, есть просто плохо сделанные веб-узлы, где в информационных файлах хранятся данные о доступе пользователя (например, профили, создаваемые при посещении узла).

Вирусы и черви

Пользователям Интернета хорошо известны вирусы и черви. Однако теперь они создаются не только для того, чтобы просто размножаться и время от времени уничтожать данные. Многие из них стали разносчиками шпионских программ, которые внедряются на ПК с целью передать управление разработчику вируса. За исключением тех случаев, когда на компьютере нет никакого антивирусного ПО или межсетевого экрана (крайне опасная ситуация!), вероятность заражения вирусами в наши дни сравнительно невелика. Дело в том, что специальные современные программные продукты весьма эффективно от них защищают, а сами вирусы сравнительно просто устроены. С другой стороны, если вы в течение длительного времени пользуетесь операционной системой Windows XP, возможно, в стандартном модуле восстановления Windows скрыт «спящий» вирус. Слишком тревожиться не стоит — проникший сюда вредитель самостоятельно себя не активирует. Он находится в состоянии «спячки», однако может ожить, если пользователь выполнит восстановление системы.

Рекламные программы

Наш победитель. Утилита CounterSpy лидирует в нахождении и уничтожении программ-шпионов

Теперь мы переходим к особо опасным файлам, борьбе с которыми и посвящена данная статья. Рекламные программы (их принято называть adware) применяются для показа рекламных объявлений в то время, когда пользователь путешествует по Сети. Некоторые из их числа безвредны и не скрываются: они предназначены для сбора денег на бесплатные сервисы, о чем и сообщается в лицензионном соглашении, которое все же следует читать перед установкой ПО. Другие программы действуют тайком: самостоятельно устанавливаются на компьютер, используя для этого «дыры» в веб-обозревателях. Эта разновидность adware наиболее опасна: когда вы открываете обозреватель, автоматически загружается некая страница, чаще всего — порноресурс. Опасность рекламных модулей не стоит недооценивать: недавно проведенное исследование показало, что на 80% персональных компьютеров, подключенных к Интернету, живет по крайней мере один такой «паразит» — работающий, разумеется, без ведома владельца.

Рекламные программы существенно разнятся способами проникновения в вашу систему. Две распространенные поисковые панели — Slotchbar и WinTools — не показывают лицензионного соглашения с конечным пользователем (End User License Agreement, EULA), где обычно оговаривается, что программы могут «подарить» вам дополнительные компоненты. Обе устанавливаются без вашего согласия, и избавиться от них сложнее всего: они используют множественные процессы, заново запускающие друг друга при попытках их удалить. А такие распространенные рекламные программы, как WhenUSearch (поисковая панель) и Bonzi Buddy (программа для Рабочего стола, предлагающая помощь в поиске), предъявляют удобопонимаемое лицензионное соглашение и обеспечивают возможность беспрепятственно удалить их посредством утилиты «Установка и удаление программ», имеющейся в Windows.

Шпионские программы

«Щиты» (Shields) программы Spy Sweeper позволяют защитить многие уязвимые места Windows

Шпионские программы (spyware) очень опасны — возможно, не меньше, чем вирусы. Их можно разделить на две большие группы: следящие за действиями пользователя с целью получить конфиденциальную информацию (о доступе к счетам интернет-банков, интернет-магазинам, электронным аукционам и т.п.), и те, которые пытаются перехватить управление компьютером, чтобы хакеры могли с его помощью рассылать рекламные сообщения (спам) или атаковать веб-узлы («отказ в обслуживании»). Шпионскую программу, как и рекламную, можно внедрить на компьютер, воспользовавшись уязвимостью обозревателя, но чаще причиной ее появления на вашем ПК служит вирус.

Как же бороться с этой напастью? Журнал PC World протестировал семь антишпионских программных продуктов в ценовом диапазоне от 20 до 40 долл., предлагаемых крупными и мелкими поставщиками: Internet Cleanup компании Allume Systems (бывшая Aladdin Systems), Spyware Eliminator фирмы Aluria Software, ETrust PestPatrol AntiSpyware производства Computer Associates, SpySubtract Pro от InterMute, AntiSpyware компании McAfee, CounterSpy производства Sunbelt Software и Spy Sweeper от компании Webroot Software. Кроме того, были протестированы две популярные бесплатные программы — Ad-Aware SE Personal производства Lavasoft и Spybot Search&Destroy, выпускаемая компанией Safer Networking, а также бесплатная программа, работающая совершенно иначе, но не менее эффективно, — HijackThis от Merijn.org (эти продукты можно найти по адресу http://www.pcworld.com/downloads/ browse/0,cat,1727 ,sortIdx,1,pg,1,00.asp). Последняя программа не была включена в сопоставительные таблицы, поскольку она, в отличие от других протестированных, не сканирует компьютер на предмет обнаружения инфекции. Еще один продукт был протестирован на стадии бета-версии — это новая утилита Windows AntiSpyware компании Microsoft, которая до конца прошлого года под тем же названием выпускалась компанией Giant Software (см. ниже раздел «Бета-обновление: будущая утилита Windows AntiSpyware выглядит победителем»).

Против антишпионских утилит было выставлено 45 рекламных программ и программ-шпионов, мешающих работе ПК. Число создаваемых этими приложениями отдельных файлов и запускаемых ими процессов составило в общей сложности 81, и удаление всех их оказалось серьезной проверкой для тестировавшихся утилит.

Чистка

Для начала был проведен тест, определяющий, насколько эффективно та или иная программа удаляет активные компоненты программ-шпионов. После этого каждое из приложений было проверено с точки зрения защиты в реальном времени (имеющей целью предотвратить первичную установку программы-шпиона).

Утилита CounterSpy компании Sunbelt Software оказалась наиболее умной из всех: она нашла и заблокировала 93% всех работавших процессов, запущенных 45 тестовыми программами-шпионами и рекламными программами. Продукт CounterSpy единственный из протестированных сумел «убить» и удалить из системы обладающую удивительной живучестью программу WinTools. Утилита Spy Sweeper с небольшим отставанием финишировала второй, вычистив 89% всех активных процессов, но оставила программные элементы, ассоциированные как с WinTools, так и со Slotchbar. Самыми неэффективными оказались AntiSpyware фирмы McAfee и Internet Cleanup компании Allume Systems, устранившие всего 33 и 11% активных процессов соответственно.

Программы-шпионы часто «захватывают» исходную страницу браузера пользователя таким образом, что при попытках получить доступ к Интернету или что-либо там найти вы будете переадресованы на порноресурсы или какие-то иные нежелательные сайты. И что хуже всего, отмена подобных автоматических переадресаций в условиях, когда их восстанавливают активные процессы, может оказаться очень непростым делом. Как выяснилось, тестируемые утилиты справляются с исправлением модификаций исходных и поисковых страниц браузера с большим трудом. Утилиты Internet Cleanup, McAfee AntiSpyware, ETrust PestPatrol AntiSpyware компании Computer Associates и SpySubtract Pro фирмы InterMute вообще не смогли обнаружить ни одного такого изменения, а Spyware Eliminator от Aluria Software исправила лишь 7% из их числа. Утилита CounterSpy и здесь лидировала, но всего лишь с 53% удач.

HijackThis засекает все процессы в вашей системе, но прежде чем предпринимать на основе его данных какие-либо действия, вам, возможно, придется посоветоваться с опытным человеком

Browser Helper Objects (буквально означает нечто вроде «вспомогательные объекты для браузера», или «помощники браузера»), сокращенно BHO, — это программы, определенным образом видоизменяющие Internet Explorer и другие браузеры, причем обычно с вполне легитимными и благими целями. Например, панель Google (Google Toolbar) также является BHO. Однако разработчики программ-шпионов и рекламных продуктов употребляют BHO для написания компонентов панелей инструментов, которые загружаются вместе с Internet Explorer и используют средства управления ActiveX для записи и установки BHO на ПК. Благодаря этому злоумышленники получают возможность создавать на наших ПК собственные панели инструментов, как правило, нежелательные. Они ускользают от внимания брандмауэров, испрашивающих разрешения на установку, и беспрепятственно получают доступ к Интернету.

При тестировании противошпионских программ CounterSpy и Spy Sweeper на предмет обнаружения потенциально нежелательных BHO обе отловили все 100%. Продукты Ad-Aware, ETrust PestPatrol Anti-Spyware, Spybot и SpySubtract справились с 62% BHO, а McAfee AntiSpyware и Spyware Eliminator — с 31%. Программа Internet Cleanup не обнаружила ни одного из BHO и панелей инструментов.

Антишпионский инструмент CounterSpy компании Sunbelt Software показал себя самым мощным из протестированных продуктов. Программа обладает наиболее аккуратным интерфейсом и при наивысшей скорости сканирования показала прекрасные результаты. А 20 долл. за целый год модернизации и технической поддержки — не так уж и много. Не разочарует вас и утилита Spy Sweeper компании Webroot, она почти так же эффективна, как CounterSpy, быстро сканирует и проста в использовании. Соединив любой из этих двух продуктов с программой HijackThis и проявив разумную предосторожность при установке всяких сомнительных «конфеток», вы сможете поддерживать свою систему вполне свободной от spyware.

Бета-обновление: будущая утилита Windows AntiSpyware выглядит победителем

В тот момент, когда положенные в основу этой статьи тесты подходили к концу, Microsoft выпустила бета-версию новой утилиты Windows AntiSpyware. Программа, ранее принадлежавшая компании Giant Software (оная была приобретена корпорацией Microsoft в декабре 2004 г.), в тестах показала просто отличные результаты. Правда, в ней использованы более свежие файлы сигнатур, чем те, что лежат в основе работы других программ. Поэтому данную новинку нельзя напрямую сопоставлять с другими антишпионскими утилитами. Тем не менее, похоже, что когда Windows AntiSpyware будет готова к выходу в свет, она станет первоклассным продуктом. Эта программа сумела обнаружить 91% рекламных программ и шпионов в тестовом наборе, включая 96% процессов, которые были активны в памяти, 67% модификаций исходных и поисковых страниц, 100% BHO и панелей инструментов, 95% добавлений в Реестр и 100% всяких других элементов наподобие меню и кнопок, добавленных к программам. На сканирование 2,7 Гбайт данных этой утилите потребовалось менее 3 мин. Мониторинг в реальном времени, обеспечиваемый AntiSpyware, позволил блокировать инфекции, предотвращая изменения исходной и поисковых страниц, идентифицируя неизвестные процессы в памяти, исключая несанкционированное редактирование файла Hosts и предотвращая критические изменения ключей Реестра. Программа AntiSpyware способна автоматически возвращать страницы к виду, заданному в браузере по умолчанию. Можно также настроить исходные и поисковые страницы на свой вкус, выбрав опции Advanced Tools ( Browser Hijack Restore ?«Дополнительный сервис ? Восстановление браузера после переадресации»). Это более эффективный способ справляться с «программами-погонщиками», чем предлагаемый утилитой Spy Sweeper компании Webroot, восстанавливающей только те настройки страниц, что имели место при первой ее установке.

Кроме того, Windows AntiSpyware отличается интуитивно понятным интерфейсом. По набору функций и раскладке кнопок он похож на CounterSpy, где также используются разработанные Giant Software приемы работы с сигнатурами spyware. Однако, в отличие от CounterSpy, утилита AntiSpyware при сканировании автоматически игнорирует информационные файлы, что порадует пользователей, предпочитающих автоматическую регистрацию на сайтах и их персонализацию, обеспечиваемые «пирожками».


Глоссарий

Вас сбивают с толку всякие выражения типа «BHO» и «файл Hosts»? В таком случае вот начальные сведения о жаргоне, используемом при разговорах на темы, связанные с защитой от программ-шпионов.

Рекламные программы, или adware, журнал PC World определяет как поддерживаемые рекламодателями программы, которые — сколь бы противными и надоедливыми они вам ни казались — играют все-таки по правилам. Такие программы при их установке выводят на экран четко обозначенное лицензионное соглашение конечного пользователя (End User Licensing Agreement, EULA), не устанавливают других приложений, явно не спросив на то разрешения, и обеспечивают наличие эффективной программы своего удаления в имеющейся в Windows утилите «Установка и удаление программ».

BHO — (от англ. Browser Helper Objects) «вспомогательные объекты для браузера»; обычно не переводится. Так называются небольшие программы, с помощью которых происходит дополнительная индивидуальная настройка браузера Internet Explorer, в том числе изменение его интерфейса. Разработчики рекламных программ и программ-шпионов часто используют BHO для создания всяких компонентов, загружаемых вместе с Internet Explorer при каждом его запуске.

Погонщики (англ. Hijackers) — программы, вносящие в систему изменения с целью насильственно перенаправить пользователя не на те веб-сайты, адреса которых были им указаны. Часто погонщики переадресовывают пользователя на порнографические сайты.

Файл Hosts (англ. Hosts file) — текстовый файл, соотносящий имена веб-сайтов с конкретными IP-адресами. Записи в файле Hosts имеют приоритет перед запросами удаленного сервера доменных имен (DNS), с которым обычно имеет дело интернет-провайдер. Модификации файла Hosts могут заставить пользователя оказаться не на том сайте, на который он рассчитывал, или не дать ему посетить какой-то конкретный ресурс.

Процессы — любые исполняемые программы, использующие время, память или иные ресурсы ЦПУ.

Реестр (Windows) — база настроек, используемых Windows для управления аппаратной частью и программным обеспечением системы, а также для учета различных пользовательских предпочтений. Модификации Реестра могут привести к загрузке нежелательных программ, помешать программам работать надлежащим образом или изменить определенные пользователем настройки браузера.

Программы-шпионы (англ. spyware) — программы, устанавливаемые тайком в пользовательскую систему для слежения за интернет-активностью пользователя и часто выдающие рекламу на основе результатов такого слежения.


Изгоняем паразитов

Копии посещаемых ресурсов

Откройте окно «Свойства обозревателя» и найдите раздел «Журнал» (аналогичное окно или пункт меню есть во всех обозревателях). Здесь можно удалить ссылки на страницы, которые вы посещали ранее. Затем в разделе «Временные файлы Интернета» удалите копии веб-страниц, хранящихся на жестком диске.

Файлы «cookies»

Как и в предыдущем случае, достаточно проверить настройки обозревателя, обычно находящиеся в меню «Конфиденциальность». Здесь можно удалить файлы «cookies», хранящиеся на компьютере. Надо учесть, что в результате при следующем посещении некоторых веб-узлов вам, возможно, придется снова ввести пароль.

Вирусы и черви

В борьбе с этой нечистью антивирусные программы очень эффективны — конечно, если постоянно следить за обновлением антивирусных баз. Кроме того, необходимо своевременно обновлять веб-обозреватель. Стоит также подумать о персональном межсетевом экране — единственном действенном средстве защиты от червей, проникающих по Сети.

Рекламные и шпионские программы (adware и spyware)

Рекламные программы, явным образом прописывающие свои намерения, поставляются с программой-деинсталлятором и часто могут быть легко удалены из системы. Поэтому для начала поищите в списке утилиты «Установка и удаление программ» (она находится в Панели управления Windows) официальный деинсталлятор.

Программы-шпионы устанавливаются тайком, и удалить их без специальных инструментов почти невозможно. Для борьбы с ними требуется ПО, входящее, например, в состав многофункциональных пакетов для обеспечения безопасности при работе в Интернете (одной антивирусной программы недостаточно).

Подробнее о программах, помогающих избавиться от рекламных и шпионских модулей, читайте в статье.

Смена или модернизация браузера

Можно защититься от значительной части шпионских программ, перейдя с Internet Explorer на какой-либо альтернативный браузер, скажем, Mozilla Firefox. Однако практически во всех программах имеются уязвимые места, к тому же есть риск столкнуться с проблемами на тех немногих веб-сайтах, которые неправильно работают с иными, нежели IE, браузерами.

Те, кто не хочет переходить на другой браузер, в последних версиях IE (начиная с шестой) для лучшей защиты от программ-шпионов по умолчанию могут задать некоторые настройки безопасности. Своевременная установка новых версий IE и «заплаток», а также осторожность при установке всяких неизвестных программ поможет вам увернуться от программ-шпионов.

В организованном журналом PC World Консультационном центре по проблемам spyware (PC World Spyware Help Center, см. http:// www.pcworld.com/resource/spyware/0,00.asp) можно исследовать программы перед их инсталляцией. Решив-таки установить какую-либо новую программу, внимательно прочтите лицензионные соглашения: возможно, вас там предупреждают об установке дополнительных утилит.


При подготовке материала были использованы статьи: Mary Landesman. Spyware Stoppers. PC World, апрель 2005 г., с. 70 и Kim Legelis Незваные гости. Symantec, апрель 2005 г.

Страница 1 2

Комментарии


10/05/2016 №05

Купить выпуск

Анонс содержания
«Мир ПК»

Подписка:

«Мир ПК»

на месяцев

c

Средство массовой информации - www.osp.ru. Свидетельство о регистрации СМИ сетевого издания Эл.№ ФС77-62008 от 05 июня 2015 г. Выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором)