Что такое шпионские модули (SpyWare)?

По последней статистике, каждый двадцатый компьютер в интернете заражён шпионскими программами, который могут вести запись действий пользователя и запускать рекламные поп-апы (всплывающие окна). Шпионское программное обеспечение представляет собой реальную угрозу для безопасности.

Так называемое «шпионское ПО» обычно поставляется в комплекте с популярными бесплатными программами, например, с файлообменными или музыкальными. Во время их установки незаметно инсталлируется дополнительное ПО. Чаще всего Spyware — это компьютерная программа, которая переправляет информацию с компьютера пользователя третьим лицам без ведома самого пользователя. Установка дополнительного ПО может быть даже упомянуто мелким шрифтом в пользовательском соглашении, которое обычно никто не читает.

Шпионские программы могут записывать все нажатия клавиш на компьютере или вести журнал работы в интернете с целью маркетингового исследования. Некоторые программы изменяют настройки браузера таким образом, что он автоматически загружает определенные сайты, а самые злостные представители класса «spyware» могут даже вносить изменения в системный реестр, так что их невозможно удалить без профессионального антивируса или специальной программы.

Также исследователи определили, что на среднестатистическом компьютере находится 28 программ, которые так или иначе следят за действиями пользователя компьютера. При том, что большая часть spyware вполне безобидна, исследование открыло 300 тысяч разновидностей системных мониторов и троянцев, потенциально могущих стать брешью в безопасности компьютерной системы. Компьютерные специалисты из Вашингтонского университета разработали программу, которая анализирует сетевой трафик и способна идентифицировать активность четырех самых популярных шпионских программ: Gator, Cydoor, SaveNow и eZula. Программа разрабатывалась с научной целью, чтобы проверить, как много зараженных машин сейчас работают в сети. Учёные проанализировали трафик в сети студенческого кампуса и определили, что 5,1% всех подключенных компьютеров генерируют этот паразитный трафик. В целом по университету 69% департаментов и офисов имеют в своём составе хотя бы один заражённый компьютер. Всего было исследовано 31303 компьютеров, подключенных к интернету. Результаты работы опубликованы в научном журнале New Scientist. При этом нужно учитывать, что университетские пользователи в общем более профессионально обращаются с компьютерами, чем обычные интернетчики. То есть в реальности процент зараженных компьютеров может быть гораздо больше 5%, тем более что шпионских программ тоже гораздо больше, чем четыре. Например, база данных популярного антишпионского дистрибутива Lavasoft Ad-aware содержит сигнатуры 9938 шпионских программ (202 семейства в 10 категориях), и эта база пополняется еженедельно.

Некоторые шпионские программы совсем не так безобидны как кажутся. Например, Gator и eZula позволяют удалённому администратору запускать на заражённом компьютере программный код.

Особенно проблематичным видится программы сетей р2р, типа KaZaA. Анализ сотен самых популярных файлов, доступных при помощи KaZaA (в том числе и крэков программ) показал, что 45% из них содержат разные типы вирусов. Мы рекомендуем внимательное относиться к использование р2р программы (KaZaA, eMule и т. п.). Тот факт, что количество атак через сети р2р выросло на 133% за этот год, говорит о том, что распределенные сети — растущая угроза защите.

Spyware привлекают пользователей бесплатностью программ в обмен на возможность следить за своей работой в сети. Уже сейчас трудно провести грань между шпионскими компонентами и вирусами — к примеру, spyware может менять домашние страницы и настройки DNS.

Эксперты не исключают, что spyware находится на 90% компьютеров, подключенных к интернету. Чаще всего spyware устанавливается вместе с фриварными или шареварными программными продуктами, пролезает через дырки в почтовом клиенте или интернет-пейджере. Нередки случаи установки шпионских программ человеком, имеющим физический доступ к заражаемому компьютеру.

После установки в системе Spyware начинает собирать и отправлять конфиденциальную информацию из компьютера всякий раз, когда тот подключается к интернету. В отличие от других приложений, деятельность spyware крайне трудно обнаружить. Именно в этом заключается основная опасность шпионского программного обеспечения.

Теперь подробнее остановимся на основных видах шпионских программ и модулей.
Некоторые сайты в интернете требуют оплату за просмотр своего содержимого. Как правило это порносайты, интернет-магазины, сайты с «халявой» (якобы бесплатными сувенирами, которые будут высланы пользователю, если он скачает и запустит у себя небольшую программу). На таких сайтах обычно применяются два механизма оплаты. Первый — при помощи пластиковой карты, второй — посредством звонка на специальный телефонный номер, оплата за который взимается с пользователя, просматривающего сайт, по особому тарифу и переводится на счет владельца сайта. Как правило, второй способ оплаты на сайтах обозначается как «No credit card» («Без кредитной карты»), или, для введения пользователя в заблуждение, «Free» («бесплатно»). При выборе этого способа оплаты (при нажатии на ссылку «No credit card») на компьютер пользователя загружается и запускается специальная программа, которая разрывает соединение с интернетом через местного провайдера и устанавливает новое соединение посредством звонка на телефон доступа, находящийся за рубежом (это касается модемных пользователей). Просмотр содержимого сайта возможен только через это соединение. В конце месяца пользователь получает счет за международный телефонный разговор.

Существует несколько разновидностей подобных программ (они называются «звонилками» от английского слова «dialer»). Многие из них являются законным (с точки зрения владельца сайта) способом получения оплаты и никак не скрывают своих действий. При загрузке и установке их на компьютер выдается запрос на подтверждение пользователем этих действий. При этом подобные программы не вносят никаких изменений в конфигурацию системы и используются только для доступа к данному сайту. Другие «звонилки» могут устанавливаться на компьютер без явного запроса на подтверждение. Они могут создавать новое соединение для удаленного доступа, делая его используемым «по умолчанию» для того, чтобы пользователь каждый раз подключался к интернету посредством международного звонка. Возможен вариант, когда «звонилка» постоянно находится в памяти компьютера, подобно вирусу, и инициирует международный звонок даже тогда, когда компьютер просто включен, но пользователю не требуется соединение с интернетом. Некоторые программы изменяют реестр Windows таким образом, чтобы пользователь при открытии стартовой страницы в интернете или попытке перехода на любую другую страницу всегда попадал на сайт, заданный автором программы.

Естественно, что для пользователей ООО «Персональные Системы Связи» казалось бы, такая программа не может принести вреда, так как модемное подключение не используется, ООО «ПСС» — это подключение по выделенной линии, однако, dialer сильно мешает работе VPN подключения, применяемого для соединения с сетью нашими абонентами.

Adware. Это программное обеспечение, предоставляемое в пользование бесплатно. Создатели программы зарабатывают деньги на размещении рекламы в рабочем интерфейсе программы. Зачастую такие программы собирают и переправляют «на родину» персональную информацию о пользователе компьютера: пол, возраст, покупательские предпочтения и другую некритичную информацию. Нередко модуль Adware устанавливается без ведома пользователя или вопреки желанию пользователя, работая в скрытом режиме.
Adware cookies. В отличие от обыкновенных cookies, которые используются для облегчения работы с сайтом, «рекламные cookies» устанавливаются на компьютер для извлечения той же самой личной информации о пользователе (пол, возраст, круг интересов, покупки и т. п.). Эта информация собирается в глобальные базы данных и продается заинтересованным фирмам.

Системные мониторы. Эти программы следят за всем, что пользователь делает за своим компьютером: что набирает на клавиатуре, какие приложения запускает, куда отправляет письма и многое другое. Чаще всего системные мониторы никак не выдают своего присутствия. Вся накопленная шпионом информация до поры до времени хранится на компьютере жертвы в зашифрованном файле. Некоторые программы способны самостоятельно пересылать этот файл по электронной почте своему «хозяину». Системные мониторы чаще всего устанавливаются на компьютер после открытия пользователем сомнительного вложения, пришедшего по почте или вместе с бесплатными программами неизвестного происхождения.

Трояны. Это самые опасные представители шпионской диаспоры. Фактически, трояны также классифицируются как вирусы. Трояны могут не только красть информацию с компьютера, но и уничтожать данные на жестком диске. Некоторые трояны открывают злоумышленникам полный доступ к вашей компьютерной системе (именно поэтому эти программы и стали так называть). Трояны, как и системные мониторы, распространяются по почте или с вместе другими компьютерными программами.

Учёные считают, что единственный способ защитить компьютеры от заражения шпионскими программами — это повышать компьютерную грамотность пользователей, а также проверять систему с помощью специального антишпионского ПО.

По материалам электронных СМИ.

Обращаем Ваши внимание на то, что Dr. Web, AVP, Norton Security и другие распространённые антивирусные комплексы, зачастую не в состоянии определить, что на Вашем компьютере работает шпионские программы или dialer. Многие сетевые специалисты рекомендуют также использовать программу класса сетевой экран (Брэндмауэр или FireWall), однако работа с такими программами требует определённых навыков, очень часто получается так, что неумелое использование Брэндмауэра приводит к полному ограничению доступа в сеть.

Мы настоятельно рекомендуем всем пользователям установить современное антивирусное ПО, а также программу, направленную на борьбу с шпионскими программами, которые Вы можете найти в сети (например, бесплатные Ad-Aware или SpyBot).
Выбор — использовать ли также дополнительно сетевой экран (Брандмауэр или FireWall), мы оставляем за пользователями, напоминая о необходимости досконального изучения подобной программы, для избежания проблем с доступом в сеть.

Общий итог:
Программа-Антивирус — обязательна к установке
Программа-антишпион — обязательна к установке
Брэндмауэр FireWall — рекомендуется ТОЛЬКО опытным пользователям.