Безопасность и Internet - статьи

       

Восполняя пробелы: программы-антишпионы


Спору нет, межсетевые экраны и антивирусные сканеры играют значительную роль в защите компьютерной системы. Однако иногда они пропускают программы, порожденные специфическим спросом, а именно программы-шпионы. Впрочем, в эту категорию входят не только обычные сканеры мыши и клавиатуры, но и, например, "угонщики браузера" — род adware (программ для распространения рекламы), задачей которого является изменение записей системного реестра без ведома пользователя так, чтобы вместо обращения к домашней странице или стандартному поисковому серверу (например, при ошибочном вводе URL) браузер переходил на страницу с рекламной информацией.

Многие такие "угонщики", называемые также программами принудительной загрузки, используя недостаточную защиту системы, часто самоинсталлируются при посещении веб-страницы. Например, печально известная утилита Surfbar (она же Junkbar и Pornbar) использует тот факт, что Internet Explorer допускает загрузку исполняемых файлов на компьютер пользователя. Затем она заменяет начальную страницу браузера на www.surferbar.com, заваливает рабочий стол сотней-другой ссылок на порносайты и устанавливает панель с еще несколькими десятками ссылок того же рода. Другие программы-"угонщики" спрашивают разрешения на начало работы, но таким способом, чтобы обманом вынудить пользователя согласиться.

"Чистые" программы-шпионы прослеживают использование интернета — обычно для того, чтобы определить, какие что пользователь делает в онлайне, и предложить ему соответствующую рекламу. Как правило, программы-шпионы сопровождают условно-бесплатные и бесплатные программы. Часто настоящая стоимость таких "бесплатных" программ скрыта в их лицензионном соглашении: не читая его, пользователь соглашается на удаленный мониторинг своего компьютера службами, собирающими маркетинговые данные или рассылающими направленную рекламу. Разные страны сейчас разрабатывают законы против такой деятельности, однако пока что лучшей защитой являются сканеры-антишпионы.

Мы исследовали пять специальных "антишпионских" пакетов:


  • Auria Spyware Eliminator,
  • InterMute SpySubtract Pro 2,
  • Lavasoft Ad-aware 6 Plus,
  • Network Associates McAfee AntiSpyware,
  • Spybot Search & Destroy.


Также были рассмотрены возможности по "отлову" программ-шпионов с помощью антивирусных сканеров и других утилит, входящих в состав следующих пакетов:


  • Network Associates McAfee Internet Security Suite 6,
  • Panda Platinum Internet Security 3,
  • Symantec Norton Internet Security 2004,
  • Trend Micro PC-cillin Internet Security 2004.


К сожалению, даже лучшие из них распознают едва больше половины из всех предложенных им образцов шпионских утилит. В настоящее время лучшей стратегией является использование сразу нескольких сканеров.

Сканер Norton идентифицировал лишь две из предложенных семи шпионских утилит, PC-cillin и Panda — по одной. При установке антивирусов на уже инфицированный компьютер был обнаружен исполняемый файл, порождавший инфекцию Surfbar, но удалить уже установленную панель ссылок и пиктограммы порносайтов, а также вернуть на место первоначальную домашнюю страницу не удалось. Утилита McAfee Privacy Service точно распознает попытки изменить реестр и настоятельно советует пользователю не поддаваться на провокации, но не обнаруживает в оперативной памяти процессы, порождающие эти действия. Таким образом, не успеет пользователь отразить одну атаку, как накатывает следующая, и его жизнь превращается в сплошную череду предупреждений и отказов, до тех пор пока он наконец не решит, что лучше один раз инфицировать компьютер, чем постоянно отрываться от дел.

Таблица - эффективность сканеров шпионских программ

В отличие от антивирусов, обнаруживающих инфицированные путем сравнения их с сигнатурами злонамеренных программ из базы данных, антишпионские сканеры опираются главным образом на ключи системного реестра. Самые надежные результаты в тестах показали Spybot Search & Destroy и Lavasoft Ad-aware 6 Plus, но Spybot лучше удалял поврежденные файлы и восстанавливал значения реестра.

Сканер McAfee AntiSpyware обнаружил три из семи инфекций — Gator, Huntbar и MyFast Access, — но полностью удалить смог только две последние. Слабее всех оказался InterMute SpySubtract Pro 2, обнаруживший только один образец программы-шпиона — широко известную панель Gator.

Хорошую защиту в реальном времени обеспечивает компонент Ad-watch из Lavasoft Ad-aware 6 Plus. Он преграждал путь всем "угонщикам браузеров", пытавшимся изменить параметры доступа к интернету. (Правда, Ad-watch не входит в распространяемую бесплатно упрощенную версию Ad-aware.)

К сожалению, как выяснилось, ни один из протестированных сканеров не обеспечивает 100-процентного распознавания и удаления инфекции. Лучше всего справляются с задачей Spybot Search & Destroy и Lavasoft Ad-aware 6 Plus. В Ad-aware лучше организован мониторинг шпионских утилит и удобнее интерфейс, зато Search & Destroy лучше находит и чистит инфицированные файлы.


Содержание раздела