Борьба со шпионскими модулями
Характерной особенностью шпионских модулей Spyware является то, что их трудно распознать с помощью штатных антивирусных программ. Поэтому для борьбы с ними рекомендуется использовать специальные утилиты, которые во множестве представлены в Интернете. Однако при этом обязательно нужно учитывать следующее: многие шпионские программы искусно маскируются именно под утилиты для борьбы с ними. Иначе говоря, установив на свой компьютер утилиту для борьбы с Spyware, можно вместо нее заполучить сам шпионский модуль. Поэтому – для распознавания и устранения Spyware рекомендуется либо использовать утилиты известных разработчиков, либо воспользоваться рекомендациями других пользователей, уже столкнувшихся с подобной проблемой ранее.
Может ли пользователь самостоятельно (т. е. без применения специальных утилит) заметить присутствие на компьютере шпионской программы? Да, в некоторых случаях это возможно. Наиболее характерные симптомы, свидетельствующие о проникновении в компьютер программы-шпиона (некоторые из них также относятся и к рекламным модулям Adware, описание которых приводится ниже):
♦ при запуске Internet Explorer по умолчанию начинает открываться совершенно незнакомая веб-страница (а не пустая страница или не та, что была ранее определена пользователем как домашняя страница);
♦ значительно увеличивается исходящий трафик;
♦ наблюдаются сбои в работе операционной системы;
♦ появление неоправданно высоких счетов за телефонную связь (наверняка в компьютер проник шпионский модуль автоматического дозвона);
♦ в Internet Explorer появились незнакомые элементы управления (кнопка, пункт контекстного меню, инструментальная панель и т. п.);
♦ появились незнакомые элементы в списке Избранное, причем удаление их невозможно;
♦ в окне Диспетчер задач на вкладке Процессы видно, что какой-то новый процесс использует ресурсы компьютера почти полностью;
♦ на экране монитора периодически произвольно появляются рекламные окна, причем даже при отсутствии действующего подключения к Интернету;
♦ на рабочем столе появляются незнакомые иконки либо значки, при активизации которых осуществляется автоматический переход на незнакомую веб-страницу.
Кроме этого, для обнаружения Spyware можно провести небольшую "ревизию" содержимого компьютера. В частности, следует проверить содержимое папки Program Files, каталога автозагрузки, а также раздела Установка и удаление программ в Панели управления. Некоторые шпионские программы помещают свой значок в правую часть панели задач (рядом с часами), поэтому при возникновении подозрений нужно посмотреть – не появился ли в панели задач неизвестный значок? Также нужно проверить содержимое подменю Пуск►Все программы – некоторые шпионские модули могут проявиться здесь. В Internet Explorer следует проверить страницу, открываемую по умолчанию, а также папку Избранное.
Далее мы кратко рассмотрим несколько популярных утилит, специально предназначенных для поиска и удаления шпионских модулей. Следует учитывать, что каждую из них необходимо периодически обновлять – по аналогии с антивирусными программами.
Программа Microsoft Antispyware
Одной из популярных программ, используемых для борьбы со шпионскими модулями, является бесплатная утилита Microsoft Antispyware от корпорации Microsoft. Эта утилита работает с операционными системами Windows 2000, Windows XP и Windows 2003 Server. Скачать ее можно как с сайта Microsoft, так и из других источников в Интернете; однако при этом следует учитывать, что предлагаемый к скачиванию дистрибутив достаточно велик – около 6,5 мегабайт.
К достоинствам данной программы можно отнести то, что она успешно блокирует практически любые шпионские модули, которые пытаются проникнуть в компьютер. Поэтому использование Microsoft Antispyware при работе в Интернете позволяет чувствовать себя в относительной безопасности. Слабое место программы – сканирование компьютера на предмет обнаружения Spyware: если в компьютер уже заражен шпионскими модулями, то Microsoft Antispyware не всегда успешно обнаруживает их (особенно это касается малознакомых шпионских модулей).
Программа SpywareBlaster
Достаточно надежную защиту от различного рода шпионских модулей обеспечивает программа SpywareBlaster, разработчиком которой является фирма JavaCoolSoftware. Для домашних пользователей эта утилита распространяется бесплатно, и ее можно без труда найти в Интернете; предлагаемый к скачиванию дистрибутив составляет около 2,5 мегабайт. Данная программа предназначена для использования в операционных системах Windows любой версии, начиная с Windows 95.
Программа отличается эргономичным и в то же время простым и интуитивно понятным пользовательским интерфейсом, в котором большинство параметров настраиваются путем установки/снятия соответствующих флажков либо переключателей. Среди всего многообразия параметров работы программы особо следует отметить возможность блокировки настроек домашней страницы (в результате чего уже ни один шпионский модуль не сможет изменить, например, адрес страницы, загружаемой по умолчанию). Также в программе реализована возможность создания "отката" для настроек интернет-обозревателя (кстати, данная утилита поддерживает работу не только с Internet Explorer, но и с другими популярными интернет-обозревателями – в частности, Netscape, Mozilla, и др., за исключением обозревателя Opera). В данном случае достаточно зафиксировать текущие настройки интернет-обозревателя (причем можно сохранить несколько различных конфигураций настроек), и при необходимости вернуться к ним в любой момент (обычно – при возникновении подозрений на то, что в настройки интернет-обозревателя без участия пользователя внесены нежелательные изменения).
Кроме упомянутых выше, программа SpywareBlaster имеет еще ряд интересных возможностей.
Программа AVZ
Еще одна полезная утилита для борьбы с "компьютерным мусором" – программа AVZ, которая также распространяется бесплатно. Многие пользователи считают одной из лучших программ для поиска и удаления не только программ-шпионов, но и различных рекламных модулей (более подробно о рекламных модулях и методах борьбы с ними рассказывается ниже, в соответствующем разделе). Кстати, помимо борьбы со шпионскими и рекламными модулями, эта программа успешно борется и с некоторыми вирусами.
Русскоязычный интерфейс программы прост и понятен пользователю. Основные параметры настройки сгруппированы на трех вкладках: Область поиска, Типы файлов и Параметры поиска. Для каждого типа вредоносного объекта, который был обнаружен в процессе сканирования (вирус, программа-шпион и др.), можно указать, каким образом с ним поступить: удалять, выдать только отчет, и др. Кроме этого, можно настроить сканирование на выборочный поиск вредоносных программ – например, искать и удалять только шпионские модули, а все остальное игнорировать.
В нижней части интерфейса ведется протоколирование процесса сканирования. Полученный протокол при необходимости можно сохранить в отдельном файле для последующего изучения.
Подробнее о клавиатурных шпионах
Несмотря на то, что в разделе "Шпионские модули Spyware и борьба с ними" мы уже упоминали о клавиатурных шпионах, на них имеет смысл остановиться подробнее. В первую очередь это обусловлено тем, что клавиатурные шпионы являются одними из самых коварных из всего многообразия шпионских модулей и программ.
Что это такое – клавиатурный шпион?
В общем случае клавиатурному шпиону можно дать следующее определение:
Клавиатурный шпион – это программа либо устройство, с помощью которого осуществляется постоянное наблюдение за всеми нажатиями клавиш на клавиатуре (а во многих случаях – и за всеми щелчками мыши) с целью получения информации обо всех набираемых пользователем текстах. Зачем это нужно? Ответ на данный вопрос у каждого злоумышленника свой: одному нужно перехватывать чужие почтовые сообщения, другому – получить номера кредитных карт, третьему – взломать пароли, четвертому – украсть у разработчика исходные тексты еще не вышедшей программы, а пятому – все вместе взятое, и еще что-нибудь.
Характерной особенностью клавиатурных шпионов является то, что они могут выступать не только в виде внедренного в компьютер вредоносного программного обеспечения, но и в виде отдельных устройств. Такие устройства обычно устанавливаются между клавиатурой и системным блоком и, поскольку имеют весьма небольшие размеры, могут долго оставаться незамеченными. Однако чтобы установить такое устройство, необходим доступ к компьютеру в отсутствие пользователя. Поэтому на домашних компьютерах такой вид клавиатурных шпионов встречаются редко, чаще – на офисных и рабочих компьютерах, а также на компьютерах "общественного пользования": в студенческих аудиториях, на почте, в интернет-клубах и др. Чтобы своевременно обнаружить такой "сюрприз", рекомендуется почаще обращать внимание на то, не появилось ли новое устройство между клавиатурой и системным блоком.
Достаточно широко распространены в настоящее время так называемые перехватывающие клавиатурные шпионы. Такие шпионы в большинстве случаев представляют собой программу, состоящую из исполняемого файла с расширением *.ехе, и dll-библиотеки, с помощью которой осуществляется управление процессами записи информации. Перехватывающий клавиатурный шпион без проблем запоминает практически любой набранный текст: документы, письма, исходные коды программ (данная возможность нередко используется для кражи исходников еще не вышедших программ), номера кредитных карт, пароли (в том числе и самозаполняющиеся) и т. д.