В современном мире, помимо вирусных и прочих угроз, широко развивается рынок программного обеспечения двойного назначения, или так называемого spyware. Для борьбы с этим вредоносным ПО существует несколько видов программных продуктов, доступных и на украинском рынке.
Outpost Personal Firewall Pro 3.0, по мнению экспертов, является одним из лучших продуктов в своей области |
Кроме специализированных решений для предотвращения инфицирования компьютеров программами spyware, их обнаружения и последующего восстановления работоспособности системы, для более эффективной борьбы могут быть использованы и дополнительные инструменты, такие как сетевые экраны и антивирусы.
Защитные комплексы
К числу брандмауэров, обладающих дополнительными механизмами для борьбы со spyware, можно отнести Kerio Personal Firewall (www.kerio.com/kpf_home.html) и Outpost Personal Firewall Pro 3.0 (www.agnitum.ru/products/outpost). Первый из этих продуктов, имеющий функцию обнаружения вредоносного ПО, к сожалению, с 31 декабря 2005 г. выпускаться не будет. Компания-разработчик, Kerio Inc., обеспечит поддержку пользователей своего продукта, но прекращает дальнейшую модернизацию его свойств и функций. Outpost Personal Firewall Pro 3.0, по мнению экспертов, является одним из лучших продуктов в своей области. Поддержка модуля Anti Spyware появилась в версии 3.0.
Ad-Aware Personal может искать spyware в реестре, на диске, в оперативной памяти |
Специализированное ПО для поиска и борьбы со spyware
Продукты этой категории обладают специальными механизмами поиска и удаления шпионских модулей.
Ad-Aware Personal Разработчик Lavasoft
Дистрибутив: http://www.lavasoft.ru/support/download/
Продукт создавался как специализированный инструмент для борьбы с вредоносным ПО (номеронабиратели, рекламное ПО, трояны и т.д.).
Программа производит поиск spyware в реестре, на диске, в оперативной памяти. Это решение существует в версиях Ad-Aware Personal (бесплатная), Ad-Aware SE Professional Edition, Ad-Aware SE Plus.
Ad-Aware SE Professional Edition включает браузер процессов Process-Watch, который позволяет просматривать, сканировать и анализировать процессы, запущенные в системе.
Microsoft AntiSpyware — мощный, бесплатно распостраняемый механизм для поиска программ-шпионов |
Microsoft AntiSpyware
В декабре 2004 г. компания Microsoft приобрела компанию GIANT Company Software, чей пакет для борьбы со шпион-ским и рекламным ПО теперь будет выходить по маркой Microsoft AntiSpyware. Сейчас эта технология доступна в виде открытой бета-версии по адресу www.microsoft.com/spyware.
Она предлагает такие функции:
• System Explorers — позволяет просматривать и изменять системные параметры, настройка которых в других обстоятельствах часто затруднена или невозможна;
• Browser Hijack Restore — обеспечивает возврат в исходное состояние настроек браузера, подвергшегося электронной атаке;
• Tracks Eraser — защита конфиденциальности, удаляющая следы деятельности пользователя в приложениях и системных службах, таких как Adobe Acrobat Reader, Microsoft Windows Common Dialog и Google Toolbar.
Как недостаток следует отметить, что Microsoft AntiSpyware обновляется ежемесячно (каждый второй вторник месяца), а новые потенциально опасные программы появляются гораздо чаще: по нескольку штук в день.
eTrust PestPatrol Anti-Spyware
Разработчик www.pestpatrol.com
SpywareBlaster позволяет блокировать установку вредоносного ПО, но не сможет обнаружить его до проявления активности |
Утилита способна обнаруживать не только spyware/adware, включая spyware-cookies, но и сканеры портов, потенциально опасные скрипты, Java-апплеты и спам-мейлеры. PestPatrol блокирует работу р2р-клиентов, поисковиков “креков” и генераторов ключей.
Впрочем, справедливости ради стоит отметить, что весь этот набор вредоносного ПО обнаруживает и “Антивирус Касперского” с расширенными базами (а сейчас по умолчанию пользователю загружаются именно расширенные базы антивируса).
К достоинствам следует также отнести мощный анализатор работающих приложений, содержимого папки “Автозагрузка”, а также cookies. Кроме характеристик каждой запущенной программы, тут же можно посмотреть и ссылки на неё в реестре.
SpywareBlaster
Разработчик: Javacool Software LLC
Дистрибутив: http://ct7support.com/downloads/javacool/s3100/spywareblastersetup31.exe
Данное программное обеспечение позволяет блокировать:
eTrust PestPatrol Anti-Spyware — один из самых мощных коммерческих “охотников” за spyware |
• автоматическую установку вредоносных программ на базе ActiveX;
• потенциально опасные сайты интернета.
Эта программа — монитор, а не сканер. Она позволит блокировать установку вредоносного ПО, но не сможет обнаружить его до проявления активности.
Вместе с тем следует отметить, что данная программа может использоваться для ограничения доступа к определённым сайтам в сети Интернет.
Наиболее эффективное решение проблемы со spyware — задействовать целый комплекс программных продуктов:
• Во-первых, ПО, которое применяет эвристические механизмы защиты против программ-шпионов. Оно обеспечивает защиту непрерывно и не использует сигнатурные базы.
• Во-вторых, антивирусное ПО, использующее постоянно обновляемые сигнатурные базы.
• И в-третьих, персональный firewall, контролирующий выход в интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь.
Автор — консультант отдела аналитики компании “БМС Консалтинг”. Связаться с ним можно по почте: Vladimir_Bezmaly@bms-consulting.com
PrivacyKeyboard блокирует работу программ-шпионов без использования сигнатурных баз. Данная программа имеет в своем составе модули, обеспечивающие:
• защиту от перехвата нажатий клавиш клавиатуры;
• защиту от перехвата текста из окон;
• защиту от снятия изображения рабочего стола;
• защиту от снятия изображения активных окон.
Для собственной защиты от внешнего разрушительного воздействия программ-шпионов PrivacyKeyboard имеет систему контроля целостности и другие защитные функции.
Разработчиком данной программы является ООО “Центр информационной безопасности” (г. Запорожье, Украина). Доступна бесплатная версия для ознакомления, скачать которую можно по адресу: www.bezpeka.biz/download.html.
Классификация Spyware
Spyware — термин собирательный. В англоязычной литературе сначала пользовались терминами whiteware (ПО, разрешённое к применению), blackware — запрещённое ПО, greyware — так называемое “серое” ПО, которое может содержать как разрешённые, так и запрещённые функции, в зависимости от использования.
В настоящее время под термином “spyware” чаще всего понимают “условно опасное ПО”, к которому относятся:
1. Программы дозвона;
2. Программы для скачивания файлов из интернета;
3. Серверы-посредники;
4. Серверы telnet и web;
5. Программы мониторинга;
6. IRC-клиенты;
7. PSW-утилиты;
8. Утилиты удалённого администрирования;
9. “Глупые шутки”;
10. Рекламные коды.
Некоторые популярные приложения могут содержать модули для скрытого сбора информации о пользователе. Этим страдают, например, GoZilla, Net Sonic, Aureate, Cydoor, DoubleQuick, EverAd, OnFlow, CuteFTP, GetRight и пр.
Проблем можно избежать, если:
1. Не пользоваться правами Администратора при работе с интернетом.
2. Не посещать сомнительные сайты.
3. Осторожно использовать программы, взятые из сомнительных источников, а лучше не пользоваться ими совсем!
4. Использовать альтернативный браузер. Дело не в том, плох или хорош IE. Беда в том, что он широко распространён и, следовательно, большинство spyware-модулей создано с учётом его специфики.
5. Своевременно обновлять операционную систему.
6. Не забывать создавать резервные копии важных документов.