Spyware

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Spyware (шпионское программное обеспечение, программа-шпион) — программа, которая скрытным образом устанавливается на компьютер с целью сбора информации о конфигурации компьютера, пользователе, пользовательской активности без согласия последнего. Также могут производить другие действия: изменение настроек, установка программ без ведома пользователя, перенаправление действий пользователя.

В настоящий момент существует множество определений и толкований термина spyware. Организация «Anti-Spyware Coalition», в которой состоят многие крупные производители антишпионского и антивирусного программного обеспечения, определяет его как мониторинговый программный продукт, установленный и применяемый без должного оповещения пользователя, его согласия и контроля со стороны пользователя.[источник не указан 168 дней]

Терминология[править | править вики-текст]

Нарушитель (англ. user violator)
пользователь, осуществляющий несанкционированный доступ к информации.
Несанкционированный доступ к информации (англ. unauthorized access to information)
доступ к информации, осуществляемый с нарушением правил разграничения доступа.
Правила разграничения доступа (англ. access mediation rules)
часть политики безопасности, регламентирующая правила доступа пользователей и процессов к пассивным объектам.
Политика безопасности информации (англ. information security policy)
совокупность законов, правил, ограничений, рекомендаций, инструкций и т. д., регламентирующих порядок обработки информации.

Особенности функционирования[править | править вики-текст]

Spyware могут осуществлять широкий круг задач, например:

  • собирать информацию о привычках пользования Интернетом и наиболее часто посещаемые сайты (программа отслеживания);
  • запоминать нажатия клавиш на клавиатуре (кейлоггеры) и записывать скриншоты экрана (screen scraper) и в дальнейшем отправлять информацию создателю spyware;
  • несанкционированно и удалённо управлять компьютером (remote control software) — бэкдоры, ботнеты, droneware;
  • инсталлировать на компьютер пользователя дополнительные программы;
  • использоваться для несанкционированного анализа состояния систем безопасности (security analysis software) — сканеры портов и уязвимостей и взломщики паролей;
  • изменять параметры операционной системы (system modifying software) — руткиты, перехватчики управления (hijackers) и пр. — результатом чего является снижение скорости соединения с Интернетом или потеря соединения как такового, открывание других домашних страниц или удаление тех или иных программ;
  • перенаправлять активность браузеров, что влечёт за собой посещение веб-сайтов вслепую с риском заражения вирусами.

История и развитие[править | править вики-текст]

Согласно данным AOL и National Cyber-Security Alliance от 2005 года 61 % респондентных компьютеров содержали ту или иную форму spyware, из них 92 % пользователей не знали о присутствии spyware на их машинах и 91 % сообщили, что они не давали разрешения на инсталляцию spyware.

К 2006 году spyware стали одним из превалирующих угроз безопасности компьютерных систем, использующих Windows. Компьютеры, в которых Internet Explorer служит основным браузером, являются частично уязвимыми не потому, что Internet Explorer наиболее широко используется, но из-за того, что его тесная интеграция с Windows позволяет spyware получать доступ к ключевым узлам ОС.

До релиза Internet Explorer 7 браузер автоматически выдавал окно инсталляции для любого компонента ActiveX, который веб-сайт хотел установить. Сочетание наивной неосведомлённости пользователя по отношению к spyware и предположение Internet Explorer, что все компоненты ActiveX безвредны, внесло свой вклад в массовое распространение spyware. Многие компоненты spyware также используют изъяны в JavaScript, Internet Explorer и Windows для инсталляции без ведома и/или разрешения пользователя.

Реестр Windows содержит множество разделов, которые после модифицирования значений ключей позволяют программе исполняться автоматически при загрузке ОС. Spyware могут использовать такой шаблон для обхождения попыток деинсталляции и удаления.

Spyware обычно присоединяют себя из каждого местонахождения в реестре, позволяющего исполнение. Будучи запущенным, spyware контролирует периодически, не удалено ли одно из этих звеньев. Если да, то оно автоматически восстанавливается. Это гарантирует, что spyware будет выполняться во время загрузки ОС, даже если некоторые (или большинство) звенья в реестре автозапуска удалены.

Отличие от других видов программ[править | править вики-текст]

Adware[править | править вики-текст]

«Adware» — программа, демонстрирующая рекламу с или без согласия пользователя. Такие программы не являются spyware, но могут действовать скрытно.

Многие adware являются spyware по другим причинам: они показывают рекламные заставки, базирующиеся на результатах шпионской деятельности на компьютере пользователя. Примеры: Gator Software от Claria Corporation и Exact Advertising от BargainBuddy. При посещении некоторых веб-сайтов Gator может быть установлен тайным способом, доход от демонстрации всплывающих окон получает сайт и Claria Corporation.

Программы отслеживания[править | править вики-текст]

Широкое распространение spyware бросает тень подозрения на другие программы, отслеживающие посещения страниц веб-сайтов с целью исследований и статистики. Некоторые обозреватели описывают Alexa Toolbar (плагин для Internet Explorer), как spyware, и ряд программ анти-spyware, таких как Ad-Aware, классифицируют его как spyware. Это происходит благодаря участившимся случаям обнаружения у приложений предназначенных для отслеживания недокументированных функций аудита, сбора и передачи информации пользователя. Весьма показательными в этом отношении являются разработки компании Carrier IQ предназначенные для передачи операторам связи метрик с мобильных устройств, но в действительности имеющие посредника в виде мобильной платформы разведки MSIP, а также показанные исследователем Тревором Экхартом факты сбора пользовательской информации (нажатий клавиш мобильного устройства, захват паролей и т. д.) получившие широкое освещение в СМИ.

Вирусы и сетевые черви[править | править вики-текст]

Spyware и adware сходны с вирусами в том, что они злонамеренны по своей природе.

Аналогичным образом, программы, поставляемые в комплекте с бесплатными программами с рекламной поддержкой, являются spyware (поскольку при деинсталляции удаляется только «материнская» программа, а рекламный модуль остаётся). Тем не менее, пользователи добровольно скачивают и устанавливают эти программы. Это представляет дилемму для создателей анти-spyware, чьи инструменты удаления могут безвозвратно привести в неработоспособность нужные пользователю программы. Например, недавние результаты теста показали, что комплектная программа WhenUSave игнорируется Ad-Aware (но удаляется как spyware большинством сканеров), потому что она является частью популярного клиента eDonkey. Для решения этой проблемы Anti-Spyware Coalition работает над постройкой единого мнения внутри индустрии анти-spyware касательно того, что́ является приемлемым поведением программы.

В отличие от вирусов и сетевых червей, spyware обычно не саморазмножается. Подобно многим современным вирусам, spyware внедряется в компьютер преимущественно с коммерческими целями (демонстрация рекламных всплывающих окон, кража персональной информации, например, номеров кредитных карт), отслеживание привычки посещения веб-сайтов или перенаправление адресного запроса в браузере на рекламные или порносайты).

Spyware и cookies[править | править вики-текст]

Анти-spyware часто отмечают cookies как spyware. Хотя куки не всегда злонамеренны по своей сути, многие пользователи возражают против того, чтобы третьи стороны использовали их личную информацию, а также дисковое пространство, в своих деловых интересах, поэтому многие анти-spyware предлагают удалять cookies.

Сфера использования[править | править вики-текст]

Среди возможных применений «потенциально нежелательных технологий» есть как законные, так и мошеннические.

Законные виды применения[править | править вики-текст]

  • Tracking Software (программы отслеживания) широко и совершенно законно применяются для мониторинга персональных компьютеров.
  • Adware может открыто включаться в состав бесплатного и условно-бесплатного программного обеспечения. Пользователь соглашается на просмотр рекламы, чтобы иметь какую-либо дополнительную возможность (например — пользоваться данной программой бесплатно). В таком случае наличие программы для показа рекламы должно явно прописываться в соглашении конечного пользователя (EULA).
  • Программы удалённого контроля и управления могут применяться для удалённой технической поддержки или доступа к собственным ресурсам, которые расположены на удалённом компьютере.
  • Дозвонщики (диалеры) могут давать возможность получить доступ к ресурсам, нужным пользователю (например — дозвон к Интернет-провайдеру для подключения к сети Интернет).
  • Программы для модификации системы могут применяться и для персонализации, желательной для пользователя.
  • Программы для автоматической загрузки могут применяться для автоматической загрузки обновлений прикладных программ и обновлений ОС.
  • Программы для анализа состояния системы безопасности применяются для исследования защищённости компьютерных систем и в других совершенно законных целях.
  • Технологии пассивного отслеживания могут быть полезны для персонализации веб-страниц, которые посещает пользователь.

Защита цифровых авторских прав[править | править вики-текст]

Некоторые технологии защиты от копирования являются spyware. В 2005 году было обнаружено, что Sony BMG Music Entertainment использовало руткиты в своей технологии защиты от копирования XCP. Подобно spyware, их было не только трудно обнаружить и деинсталлировать, но к тому же они были настолько некачественно написаны, что большинство попыток удалить их приводило компьютер в состояние отказа функционирования.

Начиная с 25 апреля 2006 года, приложение от Windows Genuine Advantage Notifications (Microsoft) инсталлировалось на многих компьютерах как «критическое обновление безопасности». В то время как главной целью этого сознательно не поддающегося деинсталляции приложения являлось подтверждение того, что копия Windows на машине приобретена и инсталлирована легально, оно также инсталлировало программу, которая обвинялась в ежедневных «звонках домой», подобно spyware. Это приложение можно было удалить с помощью программы RemoveWGA.

Телефонное мошенничество[править | править вики-текст]

Создатели spyware могут совершать мошенничество на телефонных линиях с помощью программ типа «диалер». Диалер может перенастроить модем для дозвона на дорогостоящие телефонные номера вместо обычного ISP. Соединение с этими не вызывающими доверия номерами идёт по международным или межконтинентальным тарифам, следствием чего являются непомерно высокие суммы в телефонных счетах. Диалер неэффективен на компьютерах без модема или не подсоединённых к телефонной линии.

Личные взаимоотношения[править | править вики-текст]

Spyware используются для скрытного отслеживания электронной активности партнёров в интимных отношениях, обычно для раскрытия случаев неверности. По крайней мере один из пакетов программ, Loverspy, был специально разработан для таких целей.

Некоторые образцы[править | править вики-текст]

Ниже приведены распространённые spyware, которые демонстрируют разнообразие варианты поведения. Отметим, что так же как и для вирусов, для spyware исследователи дали имена, которые могут отличаться от тех, которые придумали их создатели. Spyware могут быть сгруппированы в семьи, основанные не на общем программном коде, а на сходном поведении. Например, ряд программ, распространяемых Claria Corporation, известны под общим названием Gator. Подобным образом, программы, которые часто инсталлируются вместе, могут быть описаны как части единого пакета spyware, даже если они функционируют отдельно.

  • CoolWebSearch. Группа программ, использующая уязвимости в Internet Explorer. Перенаправляет трафик на рекламу на веб-сайтах, включая coolwebsearch.com. Выдаёт всплывающие рекламные окна, переписывает результаты поисковых запросов и изменяет файл hosts инфицированного компьютера для перенаправления DNS на эти веб-сайты.
  • HuntBar, также WinTools или Adware.Websearch. Инсталлируется совместно с загрузкой ActiveX с партнёрских сайтов или посредством всплывающих окон, выдаваемых другой spyware (пример того, как одна spyware может инсталлировать ещё больше spyware). Эти программы добавляют панели инструментов для Internet Explorer, отслеживают привычку посещения веб-сайтов, перенаправляют партнёрские ссылки и выдают всплывающие рекламные окна.
  • Internet Optimizer, также известный как DyFuCa. Перенаправляет в Internet Explorer страницы с ошибками на рекламу. Когда пользователь вводит нерабочую ссылку или набирает неправильный URL, то видит страницу с рекламой. Однако, поскольку охраняемые паролями веб-сайты (HTTP Basic authentication) используют такой же механизм, как ошибки HTTP, Internet Optimizer делает невозможным для пользователя доступ к веб-сайтам с парольной защитой. Internet Optimizer классифицируется как Browser Helper Object и загружается всякий раз при запуске Internet Explorer. Internet Optimizer не задерживается файрволами и антивирусными программами, поскольку рассматривается как легитимная часть приложения. Internet Optimizer также классифицируется как загрузчик, то есть программа, способная загружать, инсталлировать и запускать другие программы без ведома пользователя.
  • Zango (прежде 180 Solutions). Передаёт детальную информацию рекламодателям о веб-страницах, посещаемых пользователем. Также меняет HTTP-запросы со ссылок на веб-сайты партнёрских рекламодателей, которые, в свою очередь, дают возможность нечестных доходов для 180 Solutions. Открывает всплывающие окна, перекрывающие веб-страницы компаний-конкурентов.
  • Trojan.Zlob (англ.) или просто Zlob. Загружается на компьютер через кодек ActiveX и докладывает на сервер такую информацию, как история поиска, веб-сайты, которые вы посещали, и даже нажатия клавиш. Недавно[когда?] выяснилось, что Zlob способен аннулировать установки роутеров.

Юридические вопросы[править | править вики-текст]

Вопреки утверждениям потребителей, изготовители spyware заявляют, что пользователи на самом деле дают согласие на инсталляцию. Spyware, поставляемое в комплекте с дистрибутивом, может быть упомянуто в деловой лексике пользовательского соглашения (EULA). Многие по привычке игнорируют прочтение и вникание в смысл этого документа и просто нажимают кнопку «Согласен».

До настоящего времени судебная система не решила, ответственны ли рекламодатели за spyware, показывающее их рекламу. Во многих случаях компании, чья продукция появлялась в рекламах, инициированных spyware, не ведут дела с фирмой-изготовителем spyware напрямую. Скорее, они заключают договор с рекламным агентством, которое, в свою очередь, заключает контракт с третьей стороной, которой платят за количество «всплываний». Некоторые ведущие фирмы, такие как Dell, Mercedes-Benz расторгли контракты со своими рекламными агентствами, использовавшими spyware в целях показа рекламы.

В 2003 году Gator (ныне Claria Corporation) подал в суд на веб-сайт PC Pitstop за описание их продукции как spyware. PC Pitstop согласился не использовать термин spyware, но продолжал описывать ущерб, причиняемый продуктами Gator. В результате прецедента другие антивирусные и анти-spyware компании используют для обозначения таких продуктов другие термины, такие как «потенциально нежелательные программы» или «grayware».

Методы лечения и предотвращения[править | править вики-текст]

Если угроза со стороны spyware становится более чем назойливой, существует ряд методов для борьбы с ними. Среди них программы, разработанные для удаления или блокирования внедрения spyware, также как и различные советы пользователю, направленные на снижение вероятности попадания spyware в систему.

Тем не менее, spyware остаётся дорогостоящей проблемой. Когда значительное число элементов spyware инфицировало ОС, единственным средством остаётся сохранение файлов данных пользователя и полная переустановка ОС.

Меры по предотвращению заражения[править | править вики-текст]

  • Использование браузеров, отличных от Internet Explorer — Opera, Mozilla Firefox и др. Хотя нет совершенно безопасного браузера, Internet Explorer представляет бо́льший риск по части заражения из-за своей обширной пользовательской базы.
  • Использование файрволов и прокси-серверы для блокировки доступа к сайтам, известным как распространители spyware.
  • Использование hosts-файла, препятствующего возможности соединения компьютера с сайтами, известным как распространители spyware. Однако spyware легко могут обойти этот тип защиты, если производят соединение с удалённым хостом по IP-адресу, а не по имени домена.
  • Скачивание программ только из доверенных источников (предпочтительно с веб-сайтов производителя), поскольку некоторые spyware могут встраиваться в дистрибутивы программ.
  • Использование антивирусных программ с максимально «свежими» вирусными базами.

Программы анти-spyware[править | править вики-текст]

Программы, такие как Ad-Aware (бесплатно для некоммерческого использования, дополнительные услуги платные) от Lavasoft и Spyware Doctor от PC Tools (бесплатное сканирование, удаление spyware платное) стремительно завоевали популярность как эффективные инструменты удаления и, в некоторых случаях, препятствия внедрению spyware. В 2004 году Microsoft приобрела GIANT AntiSpyware, переименовав её в Windows AntiSpyware beta и выпустив её как бесплатную загрузку для зарегистрированных пользователей Windows XP и Windows Server 2003. В 2006 году Microsoft переименовал бета-версию в Windows Defender который был выпущен для бесплатной загрузки (для зарегистрированных пользователей) с октября 2006 года и включён как стандартный инструмент в Windows Vista.

Некоторые другие анти-spyware:

Многие антивирусные фирмы (например, Symantec, McAfee и Sophos) позже пришли к решению добавлять функцию анти-spyware в существующие антивирусные продукты. Вскоре многие выразили нежелание добавлять анти-spyware, цитируя пункты судебных исков от авторов spyware к владельцам веб-сайтов и программ, описывающих их продукт как spyware. Однако, недавние версии антивирусных продуктов для дома и бизнеса от этих ведущих фирм всё-таки включают функцию анти-spyware, хотя подход и отличается от такового к вирусам: так, например, Symantec AV употребляет название «расширенные угрозы» и предлагает защиту в режиме реального времени. ZoneLabs также выпустила свою программу анти-spyware. Это вырисовывает тенденцию антивирусных компаний предпринимать направленные действия по отношению к spyware.

Программы анти-spyware могут бороться со spyware двумя способами.

  1. Обеспечение защиты в режиме реального времени, препятствующей инсталляции spyware на вашем компьютере. Похожим образом работают антивирусные сканеры доступа.
  2. Выявление и удаление spyware, уже успевшего внедриться в систему. Этот тип анти-spyware намного более прост и популярен. В таких программах вы можете установить график сканирования и очистки. Сканируются реестр, папка Windows и инсталлированные программы, после чего выдаётся отчёт о найденных угрозах, позволяющий вам выбирать, что́ вы хотите удалить.

Ранние версии анти-spyware были направлены главным образом на их нахождение и удаление. SpywareBlaster от Javacool Software был одним из первых, предложивших защиту в режиме реального времени, блокируя инсталляцию базирующихся на ActiveX и других spyware.

Подобно антивирусным программам, анти-spyware требуется регулярное обновление базы данных. Как только выпускаются новые образцы spyware, разработчики анти-spyware обнаруживают их и оценивают, создавая сигнатуры, позволяющие программе находить и удалять угрозу. Таким образом, от анти-spyware без источника регулярных обновлений пользы мало. Некоторые производители обеспечивают услуги службы обновления после регистрации, в то время как другие позволяют обновляться бесплатно. Обновления могут устанавливаться автоматически по расписанию, или перед сканированием, или вручную.

Если spyware не была заблокирована и смогла инсталлироваться, то она будет сопротивляться попыткам остановки запуска или деинсталляции. Некоторые spyware работают в паре: когда сканер анти-spyware или пользователь прерывает один запущенный процесс, другой возрождает «убиваемую» программу. Таким же образом некоторые spyware определяют попытку удаления ключей реестра и немедленно добавляют их снова. Обычно запуск инфицированной ОС в безопасном режиме позволяет анти-spyware с бо́льшей вероятностью удалить «упорные» spyware.

Новое поколение spyware (хорошим примером является Look2Me от NicTechNetworks) запускается, скрываясь среди критических системных процессов и запускается даже в безопасном режиме. Если не существует процесса, который можно безболезненно прервать, то spyware намного труднее обнаружить и удалить. Иногда они даже не оставляют никаких признаков существования на диске.

Новейшие spyware обладают особыми контрмерами против известных антивирусных программ и могут препятствовать им в запуске или инсталляции, или даже деинсталлировать их. Примером spyware, использующего все три метода, является Gromozon. Для того, чтобы остаться незаметным, он использует переменный поток данных. Встроенный руткит скрывает его даже от переменнопоточных сканеров и активно сдерживает запуск известных руткит-сканеров.

Фальшивые анти-spyware[править | править вики-текст]

Злонамеренные программисты выпускают значительное количество фальшивого анти-spyware, и широко распространённые всплывающие окна предупреждают вас, «насколько ваши компьютеры заражены», предлагая приобрести продукты, удаляющие spyware (которые этого не делают, а в худшем случае могут добавить ещё больше spyware).Такого рода программы (например, Titan Shield), часто инсталлируют троян для загрузки пробной (trial) версии.

Главная цель производителей этих продуктов — продать своё изделие. Неоднократно могут появляться диалоговые окна от Windows с сообщением: «WARNING! Your computer is infected with spyware! Buy … (название программы) to remove it!» Как правило, нажатие кнопки OK диалогового окна перенаправляет браузер на порносайт. Иногда, даже нажатие верхней кнопки X для закрывания окна может привести к такому же эффекту или даже активировать инсталляцию. Нажатием Alt+F4 можно обойти этот трюк. Некоторые программы, подобно SpyAxe, автоматически загружают пробную версию без какого-либо вмешательства пользователя.

Часто появляются отчёты о результатах «сканирования» и количестве найденных угроз, что должно убедить пользователя в необходимости инсталляции данной программы.

Почти все известные анти-spyware определяют наличие фальшивых программ, которые уже успели установиться на вашей системе. Тех, которые инсталлируются с помощью трояна, многие анти-spyware способны «задержать» ещё до попытки внедрения. Однако, часто удаление агрессивных фальшивых анти-spyware нового поколения требует использования инструментов, таких как HijackThis, совмещённых с методикой удаления вручную, поскольку может пройти некоторое время, прежде чем изготовители анти-spyware изучат новые появившиеся угрозы и автоматизируют процесс их обнаружения и удаления. Однако использование HijackThis без помощи специалиста может привести в случайному удалению действительно необходимых компонентов Windows, что может привести к отказу системы в целом. Поэтому рекомендуется прибегать к помощи консультантов на тематических форумах.

Стремительно разросшееся количество фальшивых или обманных антивирусных продуктов послужило поводом для серьёзного беспокойства. Такие продукты часто выдают себя за анти-spyware, антивирусы или чистильщики реестра и иногда выдают всплывающие окна с предложением инсталляции.

Пользователям рекомендуется не инсталлировать никаких бесплатных программ, утверждающих, что они являются анти-spyware, если не будет достаточно доказательств, что эта программа легитимна.

Некоторые известные представители фальшивых анти-spyware:

  • Advanced Cleaner
  • AlfaCleaner
  • AntiSpyCheck 2.1
  • AntiSpyStorm
  • AntiSpywareBot
  • AntiSpywareExpert
  • AntiSpywareMaster
  • Antivermins
  • AntiVirGear
  • AntiVirus Gold
  • AntiVirusXPPro2009
  • Awola 6.0
  • Brave Sentry
  • BestsellerAntivirus
  • Cleanator
  • ContraVirus
  • Disk Knight
  • Doctor Antivirus
  • DriveCleaner
  • EasySpywareCleaner
  • errorsafe
  • IE Antivirus
  • IEDefender
  • InfeStop
  • MacSweeper
  • MalwareAlarm
  • Malware Bell 3.2
  • MalwareCore
  • MalCrush 3.7
  • PAL Spyware Remover
  • PC Antispy
  • PC-Antispyware
  • PC Clean Pro
  • PCPrivacytool
  • PCSecureSystem
  • Perfect Cleaner
  • Pest Trap
  • PSGuard

См. также[править | править вики-текст]

Ссылки[править | править вики-текст]