yashnikov.info: выпуск № 9

Контрразведка

Как бы вы отнеслись к тому, что в вашем доме без вашего согласия установили камеры скрытого наблюдения, подслушивающие устройства, если бы кто-то следил за вами при помощи оптических приборов? Согласитесь, было неприятно, если бы посторонний узнал подробности вашей личной жизни.

Компьютеры стремительно вошли в нашу жизнь. И оказалось, что не все люди к этому готовы. Многие пользователи до сих пор имеют смутное представление о вредоносных и потенциально опасных программах, которые могут фиксировать каждое слово, набранное на клавиатуре, включая номера кредитных карточек, пароли к платным службам и др.

Данные исследования, проведенного The Ponemon Institute survey, говорят о реальности spyware-угрозы. Более восьмидесяти процентов из числа 2000 пользователей Интернета, опрошенных институтом, заявили, что их компьютеры в 2004 году были заражены spyware. При этом 42% не имеют представления о том, как эти программы оказались в их компьютерах, а 8% считают, что они были автоматически загружены во время просмотра сайтов.

Чем опасно заражение компьютера spyware? Помимо снижения быстродействия существует риск кражи конфиденциальной информации, электронная переписка и адреса друзей могут стать общедоступными. Можно потерять и деньги, если "подцепить" дайлера. Шпионские утилиты передают своим создателям номера кредитных карт, пароли и логины для доступа в Сеть.

Убытки, которые могут понести корпорации от действия потенциально опасных программ ещё больше. Весной этого года японский банк Sumitomo едва не лишился 220 млн фунтов стерлингов (около полумиллиарда долларов!). Хакеры использовали riskware-программы. Другой крупный скандал произошёл в Израиле. Там три детективных агентства заказали создание программы-шпиона, которую потом устанавливали разными способами высокопоставленному руководству крупных компаний. Информацию продавали менеджерам конкурентов.

Шпионские утилиты представляют реальную угрозу пользователям. Костин Раю, глава отдела исследований и разработки румынского подразделения "Лаборатории Касперского" отмечает, что риск заражения riskware выше чем, чем даже вирусом. Поэтому в "Антивирусе Касперского" появилась возможность подключения расширенных баз, обеспечивающих защиту компьютера от хакерских, шпионских и adware-программ. В другом популярном российском антивирусе, "Доктор Веб", такой возможности пока нет, но работы в этом направлении ведутся — бета-тестерам уже доступны расширенные базы

Чтобы стать бета-тестером расширенных баз антивируса "Доктор Веб", надо заполнить форму на сайте.

На проблему обратили внимание и законодатели некоторых стран. Палата представителей (нижняя палата конгресса США) проголосовала за два закона — The I-SPY Prevention Act и SPY Act (Securely Protect Yourself Against Cyber Trespass Act), которые предусматривают многомиллионные штрафы и тюремное заключение.

Проблема определений

Термин spyware впервые появился в 1995 году в одной из usenet-конференций. А первым известным antispyware стала программа OptOut Стива Гибсона.

На сегодняшний день большой проблемой является путаность определений, неясно, что можно считать spyware, а что нет. К примеру, дайлеры (программы дозвона) могут как нести опасность, осуществляя дозвон на платные номера (XXXDial), так и пользу, ведя учёт модемных соединений.

Другой пример — FTP-серверы. Множество файлов в Интернете размещены них, но если хакеру удастся установить FTP-сервер на ваш компьютер, то он может получить доступ ко всем вашим файлам.

Регистраторы нажатий клавиш, или кейлоггеры, соберут всю информацию введённую вами. Это плохо, если кейллогер установлен злоумышленником, но может оказаться полезным для ревнивых супругов. Некоторые программы этого класса легально продаются.

Многие потенциально опасные программы распространяются вполне официально. Например, разнообразные "восстановители паролей". Для "забывчивого" пользователя их полезность очевидна, но известно, что ими активно пользуются и преступники.

Порой особенно сложно отличить adware от spyware. Adware — программы, нетребующие денежной оплаты за свое использование. Большинство из них безопасны, лишь показывают рекламные баннеры (ICQ, незарегистрированная версия браузера Opera). Другие отслеживают, какие сайты посетил пользователь и передают информацию создателю. Одной из самых известных adware-утилит является, пожалуй, Cydoor. Эта программа поставляется вместе с некоторыми P2P-клиентами (такими как KaZaA). Кроме того, по данным Computer Associates Spyware Information Center она обнаружена в NetAnts, LimeWire, Babylon, IMesh и многих других программах. Опасность Cydoor состоит в том, что эта программа показывает рекламу, даже когда основное приложение, с которым она была установлена, не запущено. Cydoor не имеет собственного деинсталлятора и не может быть удалена средствами Windows. По данным CA этот компонент может вызывать ошибки и сбои в работе операционной системы. Следует подчеркнуть, что Cydoor распространяется легально. Пользователь сам устанавливает его себе, соглашаясь с лицензионным соглашением.

Многие программы очень сложно отнести к какому-то классу. CommonName.g (в терминологии "Лаборатории Касперского") не является вредоносной и поначалу была квалифицирована как AdWare. Но позже она была переведена в разряд троянов, поскольку скрывает от пользователя своё присутствие в системе с помощью драйвера, который устанавливается как драйвер — фильтр файловой системы, а также перехватывает необходимые для сокрытия своего присутствия системные сервисы из KeServiceDescriptorTable. В блоге "Лаборатории Касперского" антивирусный аналитик компании Юрий Машевский подчёркивают, что это характерно для Rootkit-поведения. Эксперты в области безопасности отмечают и такую тенденцию, как интеграция рекламных программ и классического вируса. Win32.Bube, используя уязвимости браузера MS Internet Explorer и Microsoft Virtual Machine, загружается на компьютер пользователя, а затем дописывает свое тело к файлу Explorer.exe. На следующем этапе производится загрузка в компьютер пользователя adware-программ.

На рынке представлено около 400 антишпионских утилит. Далеко не все из них справляются с поставленной задачей, некоторые причиняют вред. В этом обзоре представлены наиболее популярные и известные программы.

Microsoft AntiSpyware beta

Продукт компании Microsoft базируется на технологиях и разработках фирмы Giant AntiSpyware, которую софтверный гигант купил в 2004 году. Дистрибутив весит около 7 Мб и распространяется бесплатно. Однако чтобы его загрузить с официального сайта, необходимо пройти проверку легальности установленной копии Windows.

MS AntiSpyware имеет приятный интерфейс. В главном окне программы отображена ключевая информация: дата последней проверки и её результаты, дата обновления, какие модули включены. Данные, требующие внимания пользователя, выделены красным шрифтом и сразу бросаются в глаза.

Функционально Microsoft AntiSpyware beta имеет модульную структуру и содержит три главных компонента: Spyware Scan служит для проверки системы по требованию, Real-time Protection обеспечивает постоянную защиту компьютера от шпионских утилит (фактически является аналогом антивирусного монитора), Microsoft AntiSpyware Update — утилита обновления баз. Кроме того, в состав программы входит ряд других инструментов, о которых будет рассказано ниже.

Анти-шпионский сканер Microsoft Spyware Scan может работать в двух режимах. Умная проверка (intelligent quick scan) занимает совсем немного времени и позволяет обнаружить, по словам разработчика, более 99% известных spyware-угроз. Для большей уверенности стоит провести сначала полную проверку системы. Пользователю предоставляется возможность выбора дисков и папок для сканирования, а также определить, нужно ли проверять память и запущенные процессы. Стоит также отметить пункт Deep scan folders для более тщательной проверки.

Постоянную защиту компьютера обеспечивают агенты безопасности (Security Agents). В программе предусмотрено три вида агентов.

Application Agents проводят наблюдения за контрольными точками, которые могут иметь потенциальную опасность для установленных приложений. Таких агентов аж 17 штук и следят они за Автозагрузкой (контролируется реестр), надстройками к браузеру Internet Explorer (Browser Helper Object) и плагинами к нему (запрет установки без разрешения пользователя), приложениями ActiveX, дополнительными панелями инструментов к IE, его настройками безопасности, за списком доверенных сайтов, за тем, чтобы без разрешения пользователя не менялась стартовая страница, поисковый URL и др.

Второй вид агентов — Internet Agents. Они осуществляют надзор за Интернет-соединениями. Интернет-агенты препятствуют работе дозвонщиков, тем самым сохраняя в целости карман диалапщика, контролируют доступ к WiFi-сети, следят за тем, чтобы с компьютера пользователя не рассылался спам, выполняют другую контрразведывательную работу.

Самая многочисленная категория агентов — System Agents. Они следят за настройками системы. Например, за тем, чтобы вредоносная программа не изменяла контекстное меню Windows, не блокировала доступ к элементам Панели управления, не модифицировала файлы system.ini, Win.ini, Host. Microsoft AntiSpyware также борется с троянами, которые запускаются из директории Windows.

Microsoft предлагает пользователям стать участниками сообщества SpyNet. В случае согласия, системные агенты, обнаруживая потенциальные угрозы, передают сведения о них серверам SpyNet, что, в конечном счёте, должно повысить оперативность обновления баз.

Ad-Aware SE Personal

Программа Ad-Aware фирмы Lavasoft является признанным лидером среди средств борьбы со шпионскими и рекламными утилитами. Доступны три версии этого антишпиона: бесплатная Ad-Aware SE Personal, размером в 2,8 Мб, а также платные Ad-Aware Plus, Ad-Aware Professional и Ad-Aware Enterprise, обладающие чуть большими возможностями и гибкими настройками.

Обновления к Ad-Aware появляются чаще, чем у многих конкурентов, практически еженедельно. Поэтому после установки рекомендую обновить базы. Сделать этом можно двумя способами: воспользоваться встроенным апдейтером (кнопка WebUpdate на панели инструментов) либо вручную скачать Zip-архив и распаковать его в папку Program Files\Lavasoft\Ad-Aware SE Personal\).

Интерфейс программы от версии к версии остаётся практически неизменным. А если установить ещё и модуль русского языка, то ориентироваться среди настроек новичку будет ещё проще.

В программе предусмотрено несколько режимов проверки системы: Smart system scan (быстрая проверка), полная проверка системы, сканирование с указанием различных параметров (проверять ли в архивах, в реестре, среди активных процессов, файл Hosts, избранное IE; допускается выбор дисков и папок для проверки), а также сканирование с использование ADS (Alternate Data Streams).

В ходе проверки отображается общая информация о количестве запущенных процессов, распознанных или проигнорированных объектов. Об обнаружении шпиона Ad-Aware сигнализирует миганием паучка. О подозреваемом программа предоставляет пользователю весьма обширные сведения — кто создатель, тип (папка, файл), категория, степень опасности и т.д. Остаётся лишь отметить разведчиков-злодеев галочками и удалить, либо поместить в карантин. Если же среди подозреваемых окажутся ошибочно обвинённые программы, их следует внести в игно-лист.

Функционал Ad-Aware SE можно расширить за счёт аддонов — подключаемых модулей. Аддоны разработчиком поделены на две категории: инструменты (Tools) и расширения (Extensions). Первые могут работать без проведения сканирования. Например, плагин VX2 Cleaner служит для выявления различных вариантов вредоносной программы VX2. Расширения же предоставляют информацию о найденных объектах.

В отличие от Microsoft AntiSpyware Ad-Aware SE Personal не обеспечивает постоянную защиту компьютера. Однако заплатив $26.95 можно приобрести версию SE Plus, снабженную модулем Ad-Watch и лишённую этого недостатка.

SpyBot - Search & Destroy 1.4

SpyBot (5 Мб, Freeware) заслуженно считается одной из лучших программ подобного класса.

Программа имеет пожалуй самый удобный интерфейс. Предусмотрены два режима работы: стандартный, созданный для начинающего пользователя, и расширенный, предоставляющий широкие возможности по настройке. В дистрибутив входит файл русского языка, так что не придётся искать русификатор.

Очень удобно устроено обновление. Запустив штатный апдейтер, пользователь в итоге может получить не только информацию о наличии новых сигнатур (будет указан также их размер), но и сведения о доступности обновленного языкового файла, измененного хэлпа, скинов и т.д. Остаётся отметить галками, что загружать, а в чём необходимости нет. Например, базы обновить конечно же надо, а вот справку можно будет и попозже. Допускается и выбор сервера, с которого программа будет качать обновления.

Один из наиболее полезных модулей — "Иммунизация". Он предотвращает закачку и установку шпионских модулей не только в Internet Explorer, но и в Opera. Норвежский браузер конечно не настолько уязвим как IE. Одна из причин этому — отсутствие поддержки ActiveX, но её можно подключить, если воспользоваться сторонними разработками. SpyBot - Search & Destroy следит настройками профилей пользователей и препятствует использованию этой лазейки шпионскими утилитами.

В состав программы входит ряд полезных инструментов. Например, "Удаление файлов" позволяет безвозвратно удалить любой файл. При помощи "Списка процессов" можно не просто увидеть список процессов, но и получить подробную информацию о каждом из них, включая сведения об открытых приложением сетевых соединениях. Инструмент "Резидент" блокирует в Internet Explorer загрузку известных вредоносных программ. Также хотим отметить "Автозагрузку". С её помощью пользователь может узнать о программах, которые загружаются вместе с операционной системой. Выделив какой-либо элемент из списка, в правом окне можно получить его подробное описание (имя файла, его расположение, для чего используется). Правда информация предоставляется на английском языке и она доступна не ко всем программам.

Среди других возможностей SpyBot выделим поддержку командной строки и интеграцию с планировщиком Windows. Задания можно добавлять прямо из окна программы. Всё это позволяет полностью автоматизировать защиту компьютера от шпионских утилит.

Уважаемые читатели! Эту статью вы всегда можете прочитать на моём сайте. Там же вы можете оставить свои комментарии