Najlepszy na szpiega

Zdradliwe programy mogą przeniknąć do komputera w okamgnieniu - niestety później nie będzie łatwo je usunąć. Ale, nie musisz poddawać się szpiegowskim programom, które spowalniają twój komputer i naruszają prywatność. Sprawdziliśmy nowe i mocne narzędzia do obrony przed intruzami.

Zdradliwe programy mogą przeniknąć do komputera w okamgnieniu - niestety później nie będzie łatwo je usunąć. Ale, nie musisz poddawać się szpiegowskim programom, które spowalniają twój komputer i naruszają prywatność. Sprawdziliśmy nowe i mocne narzędzia do obrony przed intruzami.

Jeszcze niedawno największym wrogiem internautów były wirusy rozprzestrzeniające się pocztą elektroniczną lub poprzez strony WWW. Chociaż wirusy i robaki wciąż stanowią duże zagrożenia dla przechowywanych w komputerach danych, nowa zaraza, zwana popularnie spyware, poważnie zakłóca nam spokój.

Termin "spyware" określa legalne, lecz uciążliwe programy, którym użytkownik pozwolił (może bezwiednie) zainstalować się w komputerze, lub te, które zainstalowały się same, bez pozwolenia. Aplikacje obu typów mogą penetrować zasoby twojego komputera, spowalniać połączenie z Internetem, szpiegować, jakie strony WWW odwiedzasz, a nawet wymuszać na przeglądarce otwieranie określonych witryn. Spyware często modyfikuje przeglądarkę internetową, zmieniając stronę główną czy dodając własną wyszukiwarkę, która podczas próby wyszukiwania informacji przekierowuje użytkownika na strony z pornografią czy inną niechcianą zawartością. Co gorsza, usunięcie tych modyfikacji może być trudne, jeśli są monitorowane i wprowadzane ponownie przez aktywne procesy.

Adware to spyware?

Teoretycznie programy adware powinny instalować się wyłącznie za twoją zgodą, w praktyce natomiast robią to po cichu podczas instalacji innego oprogramowania (zwykle bezpłatnego) albo wykorzystując luki w przeglądarce bądź systemie.

Powstaje pytanie, czy tego typu aplikacje-intruzy uznać należy za oprogramowanie reklamowe (adware) czy szpiegowskie (spyware)? Różni eksperci udzielą różnych odpowiedzi, bo różne są definicje słowa "spyware".

Spy Sweeper firmy Webroot jest jednym z niewielu programów, który usuwa agresywną odmianę spyware'u look2me.

Spy Sweeper firmy Webroot jest jednym z niewielu programów, który usuwa agresywną odmianę spyware'u look2me.

Część specjalistów tak nazywa narzędzia, które kradną hasła i inne informacje osobiste. Inni za spyware uznają program instalujący się bez twojej wiedzy i zgody. Dlatego też ta sama aplikacja może być uznana za adware bądź spyware - zależnie od okoliczności, w jakich znalazła się w twoim komputerze.

Bez względu na nomenklaturę, reklamowi goście, którzy dla ciebie są problemem, dla innych stanowią świetne źródło dochodów. Branża adware zarabia potężne pieniądze, choć nikt nie wie dokładnie, ile - szacunki mówią o 200 milionach do 2 miliardów dolarów rocznie. Zdaniem inwestorów, programy reklamowe zadomowiły się na dobre, a walka o prywatność użytkownika w Internecie jest przegrana.

Oczywiście twórcy programów i ich fundatorzy są tylko częścią owej nowej branży: miliony dolarów pochodzą przecież także od reklamodawców i brokerów, którzy dla nich pracują. Z tych środków finansowane są reklamy w wyszukiwarkach internetowych, oprogramowanie dystrybuowane wraz z adware, jak również wielka sieć firm partnerskich.

Długa, kręta droga

Ścieżka, którą adware i spyware podąża do twego peceta, jest zagmatwana. Wielu pośredników bierze w niej udział, inkasując za to odpowiednią prowizję, a przy okazji utrudniając namierzenie właściwego winowajcy.

HijackThis dostarczy informacji o wszystkich procesach w komputerze, ale wybranie podejrzanych obiektów wymaga doświadczenia.

HijackThis dostarczy informacji o wszystkich procesach w komputerze, ale wybranie podejrzanych obiektów wymaga doświadczenia.

Zwykle rzecz wygląda następująco: reklamodawca wynajmuje brokera albo agencję reklamową do zakupu powierzchni reklamowej. Broker bądź agencja kupuje następnie powierzchnię od firm adware, takich jak Claria czy WhenU.

Twórcy adware mają wiele sposobów na umieszczenie swoich programów w twym komputerze. Możesz je "złapać" bezpośrednio od producenta, gdy pobierasz jego oprogramowanie, np. wygaszacz ekranu Claria ScreenScenes czy aplikację Gator eWallet. Możesz też być zmuszony do pobrania adware w celu uzyskania dostępu do gier internetowych czy innych treści WWW - przykładem jest Zango.com, witryna prowadzona przez firmę 180solutions.

Wiele firm adware ma również sieci partnerów pomagających w dystrybucji i promocji tego oprogramowania. Integratorzy łączą adware w pakiety z innymi programami, np. narzędzie do wymiany plików BearShare zainstaluje się wraz z adware Save firmy WhenU.

Walka z nadgorliwcami

Firmy adware najczęściej nie tolerują nadgorliwych partnerów, anulując kontrakty w wypadku skarg użytkowników i wykrycia nadużyć. Niektóre prowadzą wewnętrzne dochodzenie, mające ujawnić wszelkie przejawy nieuczciwego postępowania partnerów, inne zamierzają w ogóle zrezygnować z usług partnerskich.

Firma 180solutions postanowiła wynająć tropicieli nieuczciwych partnerów, a 20 milionom użytkowników wysłała informację o tym, że mają zainstalowane jej oprogramowanie adware, podając jednocześnie instrukcje usunięcia aplikacji. Co więcej, w sierpniu ub. roku firma pozwała siedmiu byłych dystrybutorów za rozprowadzanie jej adware za pomocą sieci pecetów-zombie (takie komputery były zainfekowane koniem trojańskim pozwalającym partnerom przejąć nad nimi kontrolę).

CoolWebSearch umieszcza łącza do reklamodawców na każdej odwiedzanej przez ciebie stronie. Właściciele witryny nie mają wpływu na odnośniki.

CoolWebSearch umieszcza łącza do reklamodawców na każdej odwiedzanej przez ciebie stronie. Właściciele witryny nie mają wpływu na odnośniki.

Mimo że firmy adware starają się eliminować czarne owce wśród partnerów, niektóre z nich wciąż działają w sposób nie do przyjęcia dla wielu użytkowników.

Najlepszym tego przykładem jest CoolWebSearch (CWS), którego wszystkie 40 odmian dostaje się do peceta za pomocą "doczepianej" instalacji bądź wykorzystania luk w zabezpieczeniach. CWS nie ma EULA, a nawet strony WWW (właściciele domeny coolwebsearch.com zamieścili oświadczenie, w którym odżegnują się od jakichkolwiek powiązań z programem CWS), natomiast reklamy CWS nie mają oznaczeń.

Właściwie nikt nie wie, kto stoi za CWS, ponieważ serwery tej sieci rozrzucone są po całym świecie, a domeny zostały zarejestrowane z nieprawdziwymi danymi kontaktowymi.

CWS wstawia własne łącza do stron WWW wyświetlanych w IE. Kliknięcie któregoś z tych łączy CWS przenosi do "portali wyszukiwania" - witryn przypominających z wyglądu strony z wynikami wyszukiwania Google czy MSN Search - zawierających reklamy znanych firm. Warianty CWS dodają też zakładki do listy Ulubionych IE, umieszczają na pulpicie skróty do stron pornograficznych i kasyn, zmieniają stronę domową i/lub ustawienia zabezpieczeń przeglądarki. Co gorsza, program usilnie opiera się próbom usunięcia go z peceta, wykorzystując metody zbliżone do wirusowych.

Pańskie oko

Oprogramowanie spyware staje się coraz sprytniejsze. Najnowsze zagrożenia lepiej od poprzedników wykorzystują luki w przeglądarkach, śledzą wędrówki w Sieci i kradną dane. Dobre wieści są takie, że niszczyciele spyware również ewoluują.

Wiele produktów antyszpiegowskich nie tylko stara się usunąć znany spyware, lecz również uchronić twój komputer przed jeszcze niezidentyfikowanymi szpiegami. W tym celu monitoruje obszary systemu będące zwykle celem złośliwych programów, przygląda się podejrzanym działaniom i zatrzymuje je. Reaguje na działania typowe dla instalacji adware'u i spyware'u: dodanie kluczy uruchomieniowych do rejestru i plików do folderu autostartu Windows, zmianę strony głównej i wyszukiwania przeglądarki, czy modyfikację pliku Hosts. Spyware może modyfikować plik Hosts po to, aby przekierować cię do pewnych witryn (np. serwerów adware) albo uniemożliwić dostęp do innych (np. firm antywirusowych). Plik ten może przechowywać informacje o adresach stron WWW wraz z odpowiadającymi im adresami IP. Podejrzane programy często próbują go zmodyfikować, aby uniemożliwić wejście na strony WWW poświęcone bezpieczeństwu, np. na strony producentów oprogramowania antywirusowego.

Stały monitoring

Program Zango raczej nie jest mile widziany, ale licencja wyraźnie informuje, czego użytkownik może się spodziewać. Widok przekierowania w przeglądarce WWW na strony reklamowe nie powinien zaskakiwać.

Program Zango raczej nie jest mile widziany, ale licencja wyraźnie informuje, czego użytkownik może się spodziewać. Widok przekierowania w przeglądarce WWW na strony reklamowe nie powinien zaskakiwać.

Usuwanie spyware z zainfekowanego komputera to bardzo ważna sprawa, ale zapobieganie infekcji jest jeszcze bardziej pożądane. Bardzo skuteczny jest w tym Spybot. Używając dołączonego modułu Resident TeaTimer, ostrzega za każdym razem, gdy jakiś program próbuje modyfikować kry-tyczne obszary rejestru. Powstrzymuje nawet procesy spyware mogące wczytywać same siebie do pamięci. Do ich ostatecznego usunięcia potrzebny jest jeszcze tylko prosty zabieg restartu komputera.

Inna droga do sukcesu

HijackThis, nie jest typowym skanerem spyware i adware. Generuje raport o wszystkich aktywnych procesach, wpisach do rejestru dotyczących uruchamiania programów, zawartości folderów startowych, BHO oraz usług znalezionych w Windows. Analizując ten raport, możesz zlokalizować podejrzane i niechciane elementy, a następnie usunąć je. Chociaż rozpoznanie na tej podstawie podejrzanych elementów wymaga doświadczenia i cierpliwości, program jest wystarczająco łatwy w obsłudze nawet dla początkujących użytkowników. Mniej doświadczeni mogą wysłać plik z raportem na różne internetowe fora dyskusyjne i poprosić o pomoc w zidentyfikowaniu niepożądanych procesów.

Użyliśmy programu HijackThis w połączeniu z apletem Dodaj lub usuń programy w Panelu sterowania. Zaskoczyło nas, że wiele aplikacji adware i spyware miało własne moduły deinstalacyjne dostępne z poziomu wspomnianego apletu. Aby skutecznie użyć tych deinstalatorów, trzeba wiedzieć, do których programów się odnoszą, a nie zawsze łatwo to stwierdzić. Korzystając z deinstalatorów oraz informacji dostarczonych przez HijackThis - który identyfikuje i kasuje aktywne komponenty nieusunięte przez program odinstalowujący - osiągnęliśmy bardzo dobry rezultat. Zlikwidowaliśmy wszystkie aktywne komponenty adware i spyware, którymi zainfekowaliśmy komputer.


Zobacz również