Также широко распространены шпионские программы из семейства CoolWebSearch, использующие уязвимость в IE. Софт из этой серии выдает рекламные объявления, переписывает результаты поиска в Сети и нарушает связь компьютера с DNS-системой. Согласно исследованию Webroot, по Интернету гуляет 107 представителей семейства CoolWebSearch, которых можно найти на 8,2% проверенных компьютеров (второе место занял Gator с 2,2%).
Другой spyware-продукт по имени DyFuCa (он же Internet Optimizer) при выводе браузером сообщения об ошибке переадресует пользователя на рекламную страницу. Кроме того, DyFuCa делает невозможным доступ к сайтам, защищенным паролями, так как в этом случае браузер использует аналогичный механизм. Программа 180 Solutions (третья по распространенности - 2%) передает рекламодателям информацию о сайтах, посещаемых пользователями, а также выводит на экран pop-up-баннеры. Немало хлопот доставляют и небольшие программы семейства HuntBar (другие названия - WinTools и Adware.
Websearch). Они загружаются на компьютер посредством ActiveX с сайтов, контролируемых злоумышленниками, или же при клике на pop-up-окна, запускаемые другим spyware-софтом. Помимо размещения рекламных объявлений эти программы добавляют инструментальные панели в IE и отслеживают маршрут веб-серфинга.
ПРОГРАММНЫЕ противодействия меры
Антивирусы[Имеются в виду именно программы для борьбы с вирусами, а не специализированные утилиты в комплексах вроде «Антивируса Касперского»] в качестве средства борьбы со spyware отпадают в силу своей низкой эффективности, да и не все производители спешат добавлять шпионов в базу вирусов. Поэтому основой безопасности остается брандмауэр с широким набором фильтров. Он способен предотвратить ряд способов проникновения spyware-модуля на компьютер (прежде всего, через бреши в программном обеспечении), однако не сможет опознать «шпиона», поселившегося на винчестере раньше него. Кроме того, если в настройках разрешить браузеру (например, IE) доступ в Сеть, то брандмауэр окажется бессильным при запуске модуля через службы самого браузера (в IE наиболее часто для этого используется Browser Helper Object).
Действенным оружием в борьбе со «шпионами» является редактор реестра. Как правило, spyware-программы прописываются в определенных ключах, откуда их можно легко вычистить. На основе БД, содержащих определения самых распространенных шпионских модулей, действует такой вид защиты, как spyware-сканеры. Впрочем, известны случаи, когда этот софт, уничтожая вредоносные программы, «зацеплял» вполне нейтральные и даже нужные dll-библиотеки[Бесплатно (и безопасно) проверить, есть ли на вашем компьютере spyware, можно на некоторых сайтах, к примеру на www.pandasoftware.com/products/spyxposer/com/spyxposer_principal.htm . Только запаситесь терпением: сканирование моей системы на P4 с гигабайтом ОЗУ и двумя жесткими дисками суммарным объемом 280 Гбайт заняло больше двух часов. - С.В.].
Обычно в комплекте со сканером поставляется и spyware-монитор для отслеживания попыток того или иного модуля зарегистрироваться в определенных реестровых ключах. Однако антишпионское ПО далеко не всегда удаляет все файлы-компоненты spyware. Мало того, оно уничтожает даже не все программы. Дело в том, что ряд spyware-производителей, в том числе Claria и WhenU, подали в суд на разработчиков антишпионского ПО и потребовали исключить свои модули из списка опасных и подлежащих удалению. Как ни странно, судебная атака была успешной. Причем проигравшие борцы со «шпионами» не имеют права даже известить пользователя о том, что на компьютере сидит spyware-модуль, который программа не может удалить.
Эффективность антишпионских продуктов может быть подтверждена сертификатами, и очень желательно, чтобы выбранная утилита эту сертификацию прошла. Одним из наиболее известных учреждений такого рода является центр West Coast Labs, выдающий сертификат Spyware Checkmark по результатам многоуровневых испытаний программных и аппаратных комплексов на соответствие стандартам качества. Определением критериев качества и тестированием занимается независимая испытательная лаборатория центра.
Есть и еще один надежный способ предохранения от spyware: нужно просто избегать «опасных связей». Так, в июльском исследовании Pew Internet and American Life Project сообщается, что американцы меняют свои интернет-привычки и стараются не заходить на сомнительные сайты. От посещения некоторых ресурсов отказались 48% респондентов, перестали пользоваться P2P-сетями 25%, а 18% сменили так полюбившийся spyware-разработчикам IE на Mozilla Firefox. Правда, уже обнаружен первый (и наверняка не последний) шпионский модуль для «лисички».
Рассматривать законность spyware лучше с позиции законодательства США, где специфические явления интернет-сферы получили хоть какое-то правовое отражение. Да и большинство производителей шпионского ПО базируются именно в этой стране. На первый взгляд распространение программ класса spyware подпадает под специальный закон, известный как Computer Fraud and Abuse Act, в соответствии с которым осуществляется судебное преследование разработчиков вирусов или червей. В законе недвусмысленно сказано, что получение неправомочного доступа к компьютеру (в том числе для «тихой» инсталляции софта) является преступлением. Меж тем далеко не все процессы над представителями spyware-индустрии оканчиваются их осуждением. Многие компании, специализирующиеся на шпионском ПО, работают вполне легально. Специальный же закон о spyware долгое время не мог быть написан по той простой причине, что до 2005 года не существовало четкого определения этому понятию (о чем мы писали чуть выше). Наконец, в минувшем мае американский Конгресс принял сразу два соответствующих законопроекта, и теперь за тайное распространение шпионского ПО предусмотрено наказание в виде тюремного заключения сроком до двух лет и денежного штрафа размером до 3 млн. долларов.
Наиболее частой юридической зацепкой, используемой spyware-компаниями в качестве аргумента защиты, является лицензионное соглашение конечного пользователя (End-User Licence Agreement, EULA). Как правило, люди, приобретая и устанавливая ПО класса shareware/freeware, не читают соглашения. Одна из софтверных компаний однажды написала в EULA своего очередного продукта о выплате крупной суммы каждому позвонившему по определенному номеру, и деньги получили только трое пользователей, а остальные, видимо, не стали утруждать себя чтением сухого текста. Вот как раз в EULA и прописывается (обычно этот момент завуалирован юридическим жаргоном), что вместе с основной программой на компьютер будет инсталлирован тот или иной шпионский модуль. Успешным отражением судебных исков с помощью EULA уже «прославилась» spyware-компания Claria (автор Gator). В упомянутом выше инциденте с игровыми серверами WoW компания Blizzard тоже заявила, что пользователи добровольно соглашались на установку привратника. Кстати, есть примеры, когда «шпионские» фирмы даже переходили в контрнаступление, внося в EULA пункт о незаконности удаления однажды установленного spyware-модуля. Разумеется, никакой ответственности за удаление программы не было предусмотрено, однако такой нехитрый трюк позволял увеличить число «носителей» шпионского ПО среди законопослушных американских компьютеровладельцев.