Вирус spyware что это такое

Введение

Данная статья посвящена достаточно актуальной в настоящей момент проблеме - проблеме вредоносного программного кода. Еще несколько лет назад ситуация была достаточно простой - существовали прикладные программы (включая операционную систему) и компьютерные вирусы, т.е. программы, способные заражать другие приложения путем внедрения в них своего машинного кода. Однако в последнее время появилось вредоносных множество программ, которые нельзя считать вирусами, т.к. они не обладают способностью к размножению. Для таких программ существует множество категорий: Trojan , Backdoor , Trojan - Downloader , MalWare , SpyWare, Ad w are, Dialer . Классификация зачастую достаточно спорная - производители различного антивирусного ПО относят одну и туже программу к разным категориям. Данная статья является попыткой определить некоторую классификацию данных вредоносных программ и сформулировать критерии, по которым программу можно отнести к категории SpyWare и Adware.

Spy Ware - программы-шпионы

Программой-шпионом (альтернативные названия - Spy, SpyWare, Spy-Ware, Spy Trojan) принято называть программное обеспечение, собирающее и передающее кому-либо информацию о пользователе без его согласия. Информация о пользователе может включать его персональные данные, конфигурацию его компьютера и операционной системы, статистику работы в сети Интернет.

Шпионское ПО применяется для ряда целей, из которых основным являются маркетинговые исследования и целевая реклама. В этом случае информация о конфигурации компьютера пользователя, используемом им программном обеспечении, посещаемых сайтах, статистика запросов к поисковым машинам и статистика вводимых с клавиатуры слов позволяет очень точно определить род деятельности и круг интересов пользователей. Поэтому чаще всего можно наблюдать связку Spy Ware - Adware, т.е. "Шпион" - "Модуль показа рекламы". Шпионская часть собирает информацию о пользователе и передает ее на сервер рекламной фирмы. Там информация анализируется и в ответ высылается рекламная информация, наиболее подходящая для данного пользователя. В лучшем случае реклама показывается в отдельных всплывающих окнах, в худшем - внедряется в загружаемые страницы и присылается по электронной почте.

Однако собранная информация может использоваться не только для рекламных целей - например, получение информации о ПК пользователя может существенно упростить хакерскую атаку и взлом компьютера пользователя. А если программа периодически обновляет себя через Интернет, то это делает компьютер очень уязвимым - элементарная атака на DNS может подменить адрес источника обновления на адрес сервера хакера - такое "обновление" приведет к внедрению на ПК пользователя любого постороннего программного обеспечения.

Шпионское программное обеспечение может попасть на компьютер пользователя двумя основными путями:

1. В ходе посещения сайтов Интернет. Наиболее часто проникновение шпионского ПО происходит про посещении пользователем хакерских и warez сайтов, сайтов с бесплатной музыкой и порносайтов. Как правило, для установки шпионского ПО применяются ActiveX компоненты или троянские программы категории TrojanDownloader по классификации лаборатории Касперского. Многие хакерские сайты могут выдать "крек", содержащий шпионскую программу или TrojanDownloader для ее загрузки;
2. В результате установки бесплатных или условно-бесплатных программ. Самое неприятное состоит в том, что подобных программ существует великое множество, они распространяются через Интернет или на пиратских компакт-дисках. Классический пример - кодек DivX, содержащий утилиту для скрытной загрузки и установки Spy Ware .Gator. Большинство программ, содержащих Spy Ware -компоненты, не уведомляют об этом пользователя;

Точных критериев для занесения программы в категорию "Spy Ware " не существует, и очень часто создатели антивирусных пакетов относят программы категорий "Adware", "Hijacker" и "BHO" к категории "Spy Ware " и наоборот.

Для определенности предлагается ряд правил и условий, при соблюдении которых программу можно классифицировать как Spy Ware . В основу классификации положены проведенные автором исследования наиболее распространенных SpyWare программ:

В данной классификации следует особо отметить тот факт, что программа категории Spy Ware не позволяет удаленно управлять компьютером и не передает пароли и аналогичную им информацию своим создателям - подобные действия специфичны другой категории программ - "Trojan" и "BackDoor". Однако по многим параметрам программы категории Spy Ware являются родственниками троянских программ.

Рассказав о программах категории Spy Ware стоит акцентировать внимание на неявном слежении за пользователем. Предположим, что у пользователя установлена безобидная программа, загружающая рекламные баннеры один раз в час. Анализируя протоколы рекламного сервера можно выяснить, как часто и как долго пользователь работает в Интернет, в какое время, через какого провайдера. Эта информация будет доступна даже при условии, что программа будет только загружать данные, не передавая никакой информации. Более того, каждая версия программы может загружать рекламу по уникальному адресу, что позволит узнать, какая именно программа загружает рекламу.

Spy Ware cookies

Adware программы и модули

Adware (синонимы AdvWare, Ad-Ware и т.п.) - это приложение, предназначенное для загрузки на ПК пользователя информации рекламного характера для последующей демонстрации этой информации пользователю. Можно выделить две категории AdWare программ:

· Программы, распространяемые по Adware-лицензии. Данные программы воспроизводят рекламу в качестве неявной оплаты за их использование, при этом реклама должна воспроизводится только во время использования программы в контексте ее окон;

· Независимое приложение, предназначенное для воспроизведения рекламы. Такие программы, как правило, маскируются от обнаружения и удаления пользователем и могут существенно досаждать пользователю. Рекламная информация обычно выводится в виде всплывающих окон, хотя известны и широко применяются более экзотические методики демонстрации рекламы – например, внедрение рекламной информации в рабочий стол в виде обоев или с использованием возможностей размещения WEB элементов на рабочем столе;

Можно сформулировать ряд правил, которых должна придерживаться корректная программа, распространяемая по Adware-лицензии:

1. При инсталляции на ПК программа должна предупредить пользователя о том, что является Adware приложением с разъяснением того, что конкретно понимается под термином "Adware". При этом инсталлятор должен предусматривать возможность отказа от установки приложения (а еще лучше - предлагать варианты установки - бесплатный Adware вариант или платный ShareWare вариант). Типовым примером "правильной" инсталляции является менеджер закачек FlashGet, который честно предлагает два варианта установки - Adware или ShareWare (FlashGet приведен в качестве примера не случайно - ряд анти- SpyWare программ по неизвестной причине считают его шпионским ПО и удаляют);
2. Adware модуль должен быть или библиотекой, загружаемой Adware программой во время работы, или неразрывной частью Adware-программы. При этом загрузка Adware-модуля должна естественно происходить при запуске приложения, выгрузка и прекращение работы - при выгрузке приложения из памяти. Недопустимо внедрение Adware-модулей в другие приложения или их установка на автозапуск;
3. Adware-модуль должен воспроизводить рекламную информацию только в контексте вызывавшего его приложения. Недопустимо создание дополнительных окон, запуск сторонних приложений, открытие неких web страниц;
4. Adware-модуль не должен выполнять действий, присущих программам категории Spy Ware ;
5. Adware-модуль должен деинсталлироваться вместе с установившим его приложением;

Как легко заметить, к Adware приложению в данной классификации предъявляются серьезные требования и практически ни один Adware-модуль не удовлетворяет всем перечисленным требованиям.

TrojanDownloader - программы для несанкционированной загрузки и установки программного обеспечения

Программы из категории Trojan-Downloader (понятие Trojan-Downloader введено лабораторией Касперского) неоднократно упоминались, поэтому следует дать определение для данной категории программ. Trojan-Downloader - это программа (модуль, ActiveX, библиотека …), основным назначением которой является скрытная несанкционированная загрузка программного обеспечения из Интернет. Наиболее известным источником Trojan-Downloader являются хакерские сайты. Сам по себе Trojan-Downloader как правило не несет прямой угрозы для компьютера - он опасен именно тем, что производит неконтролируемую загрузку программного обеспечения. Trojan-Downloader применяются в основном для загрузки вирусов, троянских и шпионских программ. Наиболее известными по моей статистике являются Trojan-Downloader.IstBar, Trojan-Downloader.Win32.Dyfuca, Trojan-Downloader.Win32. Agent и ряд других. Trojan-Downloader. Win 32.IstBar и Trojan-Downloader. Win 32. Agent поставили своеобразный рекорд по количеству различных модификаций и своей вредоносности - их появление на компьютере приводит к резкому росту трафика и появлению на ПК множества посторонних программ.

Все программы категории TrojanDownloader можно условно подразделить на две категории:

1. Универсальные Trojan-Downloader - могут загружать любой программный код с любого сервера. Настройки могут храниться локально (в отдельном файле, реестре) или загружаться с определенного сайта;
2. Специализированные - предназначены для загрузки строго определенных типов троянских или шпионских программ. Адреса и имена файлов в таком случае жестко фиксированы и хранятся в теле программы.

Dialer

Программы категории Dialer (он-же часто называется "порнозвонилка" от названия Porn - Dialer , присвоенного им в классификации лаборатории Касперского) достаточно широко распространены и предназначены для решения ряда задач, связанных с дозвонкой до заданного сервера и установления с ним модемной связи. Применяются данные программы в основном создателями порносайтов, но страдают от них все - многие программы категории Dialer используют весьма изощренные способы установки (с использованием ActiveX, Trojan-Downloader), причем установка может быть инициирована при посещении практически любого сайта.

Организацию модемного соединения с сервером владельца Dialer может производить несколькими способами:

• Dialer может производить набор номера и установление соединения своими средствами;
• Dialer может создать новое соединение удаленного доступа;
• Dialer может изменить существующие соединения удаленного доступа;

В первых двух случаях Dialer, как правило, всячески привлекает внимание пользователя к себе и созданным им соединением - копирует себя во все доступные места (в папку Program Files, Windows, Windows\System, папку "Пуск" и т.п.), создает ярлыки, регистрирует себя в автозапуске.

Часто кроме решения основной задачи программы типа Dialer выполняют задачи, свойственные программам других категорий ( A dware, Spy Ware , Trojan-Downloader). Некоторые Dialer устанавливают себя на автозапуск, внедряются в другие приложения - например, мне известен Dialer, регистрирующий себя как расширение языка Basic и запускающийся при открытии любого приложения Microsoft Office, использующего скрипты.

Кроме утилит дозвонки к категории Dialer часто относят специализированные утилиты для просмотра порносайтов. Ведут они себя аналогично Dialer, только вместо модемного соединения соединяются с закрытими сайтами по Интернет.

BHO - Browser Helper Object

BHO (альтернативные названия - Browser Helper Object, Browser Plugin, Browser Bar, IE Bar, OE Bar и т.п., в классификации лаборатории Касперского есть категория подкатегория Toolbar, например AdWare.Toolbar.Azesearch) - это расширение браузера или программы электронной почты, как правило выполненное в виде дополнительной панели управления. У BHO есть ряд достаточно опасных особенностей:

• BHO не являются процессам системы - они работают в контексте браузера и не могут быть обнаружены в диспетчере задач;
• BHO запускаются вместе с браузером и могут контролировать события, связанные с работой пользователя в Интернет (по сути, BHO для этого и предназначены);
• BHO обмениваются с сетью, используя API интеграции с браузером. Поэтому, с точки зрения большинства персональных FireWall обмен с Интернет ведет браузер. Как следствие, обнаружить такой обмен и воспрепятствовать ему очень сложно. Ситуация отягощается тем, что многие BHO, входящие в категорию "Spy Ware ", передают информацию после запроса пользователя - это делает практически невозможным обнаружение постороннего обмена с Интернет, т.к. он идет на фоне полезного трафика;
• Ошибки в работе BHO могут дестабилизировать работу браузера и приводить к трудно диагностируемым сбоям в его работе;

Hijacker

Буквальный перевод этого термина звучит как "налетчик", "грабитель", "воздушный пират". Это программа, которая выполняет на компьютере пользователя нежелательные для него действия, преследуя цели своих разработчиков. Производитель многих антивирусных средств относят программы категории Hijacker к троянским программам. Задачей программ класса Hijacker является перенастройка параметров браузера, электронной почты или других приложений без разрешения и ведома пользователя. В зарубежных источниках мне встречалось определение Hijacker - "утилита, которая изменяет настройки браузера без ведома пользователя".

Наиболее часто Hijacker применяется для изменения:

• Стартовой страницы браузера - стартовая страница заменяется на адреса сайта создателей Hijacker;
• Настройки системы поиска браузера (эти настройки хранятся в реестре). В результате при нажатии кнопки "Поиск" открывается адрес, установленный программой Hijacker;
• Префиксов протоколов;
• Уровней и настроек безопасности браузера;
• Реакции браузера на ошибки - мне встречался Hijacker, заменяющий стандартные странички IE, описывающие ошибки типа 404 на собственные;
• Модификации списка адресов ("Избранное") браузера

В чистом виде Hijacker встречается сравнительно редко, т.к. чаще всего по выполняемым действиям программа может быть кроме категории "Hijacker" отнесена к категориям "Trojan","Dialer" или AdWare /Spy Ware .

Trojan - троянская программа

Троянская программа - это программа, которая выполняет действия, направленные против пользователя - собирает и передает владельцам конфиденциальную информацию о пользователе (эту категорию еще называют Trojan-Spy), выполняет несанкционированные или деструктивные действия. Из определения легко заметить, что троянска программа является "родственником" программ из категории SpyWare - разница как правило в том, что Spy Ware не имеют выраженного деструктивного действия и не передают конфиденциальную информацию о пользователе. Однако вопрос об отнесении программы к той или иной категории достаточно спорный (часто получается, что одна антивирусная компания считает некий модуль Adware, другая - троянской программой, третья - вообще игнорирует).

Backdoor - утилита скрытного удаленного управления и администрирования

Backdoor - это программа, основным назначением которой является скрытное управление компьютером. Backdoor можно условно подразделить на следующие категории:

• Backdoor, построенные по технологии Client - Server. Такой Backdoor состоит как минимум из двух программ - небольшой программы, скрытно устанавливаемой на поражаемый компьютер и программы управления, устанавливаемой на компьютер злоумышленника. Иногда в комплекте идет еще и программа настройки;
• Backdoor, использующие для удаленного управления встроенный telnet, web или IRC сервер. Для управления таким Backdoor не требуется специальное клиентское программное обеспечение. К примеру, известны Backdoor, которые подключался к заданному IRC серверу и используют его для обмена со злоумышленником.

Основное назначение Backdoor - скрытное управление компьютером. Как правило, Backdoor позволяет копировать файлы с пораженного компьютера и наоборот, передавать на пораженный компьютер файлы и программы. Кроме того, обычно Backdoor позволяет получить удаленный доступ к реестру, производить системные операции (перезагрузку ПК, создание новых сетевых ресурсов, модификацию паролей и т.п.). Backdoor по сути открывает атакующему "черный ход" на компьютер пользователя. Опасность Backdoor увеличилась в последнее время в связи с тем, что многие современные сетевые и почтовые черви или содержат в себе Backdoor-компоненту, или устанавливают ее после заражения ПК.

В данной статье рассмотрены основные категории вредоносных программ, не являющихся компьютерными вирусами. По статистике в настоящее время SpyWare и AdWare программы причиняют пользователям все больше неприятностей, и для борьбы с ними приходится держать внушительный арсенал специализированных программ. В следующей статье речь пойдет методиках самостоятельного поиска и удаления постороннего программного обеспечения без применения антивирусных программ.

Всё необходимое для обследования
сетей Wi-Fi и спектрального анализа в
одном комплекте!

FAQ по Virus/Spyware/Adware/Malware

В.Мой антивирус сообщает, что ваш продукт заражен вирусом. Это так?
О. Это может быть правдой только в следующих случаях:

Если ваш компьютер "чист", вы скачали наши программы с нашего официального веб-сайта и вы не скачивали никаких программ для взлома, шансы на то, что наши файлы заражены практически отсутствуют. Мы придерживаемся строгих мер в отношении безопасности для обеспечения "чистоты" наших файлов. Кто-то может себе представить себе злоумышленника с дискетой, который под покровом ночной темноты тайно проник в наш офис, включил один из компьютеров, взломал пароль, обошел криптозащиту диска и заразил наши файлы самым злобным вирусом на свете, но это маловероятно. До сих пор такого не случалось, и мы приложим все усилия, чтобы этого не произошло и в дальнейшем.

В. Я уверен, что мой компьютер "чист", но почему мой антивирус говорит, что ваша программа заражена вирусом?
О. . Это называется "ложное срабатываение". Антивирусы не идеальны. Каждый антивирус производил, производит и будет производить ложные срабатывания; это просто неизбежно. Он сканирует файл, находит похожий на вирус шаблон и сообщает вам об этом. Мы сталкивались с этим десятки раз. Обычно мы сразу связываемся с производителями антивируса и просим их исправить эту ошибку. Обычно на это уходит день или два. Для продвинутых пользователей (новички, пожалуйста, пропустите этот фрагмент): как-то раз антивирус нашел вирус в нашей DLL, но проблема состояла в том, что DLL не содержала ничего, кроме ресурсов BMP для отображения в панели инструментов IE. Никакого исполняемого кода. Никаких точек входа. Довольно забавно :) И нас даже не поблагодарили за это сообщение.

Более того, наши программы имеют цифровую подпись (см. иллюстрацию ниже о том, как проверить наличие подписи в файле установки). Сертификат цифровой подписи выдается VeriSign. Перед выдачей сертификата VeriSign сверяет контактную информацию каждого производителя программного обеспечения. Вы в самом деле полагаете, что мы распространяем зараженные программы и подписываем их, тем самым ясно выдавая себя за преступников?

В. Я все еще вам не верю, вы пытаетесь меня обмануть.
О. Ладно, хорошо. Отошлите зараженный файл производителю антивируса. Пусть они его проверят. Они его проверят и скажут вам, что это была ложная тревога. На самом деле мы будем вам очень признательны - это поможет нам сэкономить массу времени на разъяснения вышеописанного нашим пользователям. Производители антивируса также будут вам очень признательны, поскольку вы поможете им усовершенствовать их продукт.

В. Моя программа anti-adware (направленная против программ, содержащих рекламу) сообщает, что ваш продукт содержит рекламу. Это так?
О. Полнейший вздор. Вы знаете, мы уже очень давно находимся в бизнесе программного обеспечения; мы обслуживаем более половины компаний из списка Fortune 500 и сотни правительственных и правоохранительных организаций по всему миру. Поверьте, у нас есть более интересные и прибыльные занятия, чем показывать вам тупую рекламу он-лайн казино и тем самым подрывать собственную репутацию.

В. Моя программа anti-spyware (направленная против шпионских программ) сообщает, что ваш продукт шпионский. Это так?
О. Опять ерунда, но это более интересная тема. Давайте уделим этому несколько минут вашего и нашего времени. Как вы знаете, spyware - это вид мошеннических программ, которые захватывают контроль над некоторыми действиями компьютера с целью извлечения выгоды для третьих лиц без ведома владельца данного компьютера. Мы никогда не делали spyware и никогда не собираемся. На самом деле, наши программы по мониторингу сети помогают обнаруживать и идентифицировать spyware. Целый ряд производителей anti-spyware, например Lavasoft (они делают AdAware) используют наши программы в своей повседневной работе. Тем не менее, нам известны случаи, когда наши программы были идентифицированы как "spyware". Тому есть различные причины:

• Простая человеческая ошибка (см. выше про "ложные срабатывания"). Пример: программа Acronis Privacy Expert идентифицировала CommView for WiFi как spyware. Предпринятые действия: ошибка была немедленно исправлена после того, как мы сообщили о ней Acronis.
• Производители Antispyware стараются поразить ваше воображение огромным числом spyware, которое они могут обнаружить. Они говорят не подумав, поскольку, по их мнению, будет "круто" заявить на своем сайте: "мы может обнаружить 50,000 видов шпионских программ". Так, к примеру, новичок, устроившийся на лето немного подработать, находит что-то более серьезное чем калькулятор Windows, он заносит это в базу данных. Мы видели antispyware-программу, которая идентифицировала текст про анархию как опасного "паразита". Без шуток. Простой ASCII-текст. На самом деле. Просто TXT-файл. Пример: программа PestPatrol идентифицировала Essential Nettools и CommView как вредоносное программное обеспечение. Они исправили эту ошибку, но только после того, как наш юрист написал им официальное письмо с объяснениями, где они ошиблись и почему они проиграют это дело в суде.
• Программы Antispyware - это оружие против конкурентов. Предположим, что вы разрабатываете сетевой анализатор и программу antispyware. И вы хотите, чтобы все пользовались только вашим анализатором, а не анализатором конкурентов. И что же вы сделаете? Правильно! Вы добавите анализатор вашего конкурента в базу данных шпионских программ. Неплохо, не так ли? Конечно неплохо, и некоторые компании этим промышляют. Пример: CounterSpy от Sunbelt Software идентифицировал CommView, CommView for WiFi и CommView Remote Agent как "опасные утилиты" и рекомендовала их немедленное удаление. CounterSpy НЕ ОБНАРУЖИЛ сетевой анализатор LanHound от by Sunbelt Software. Он также не обнаружил Microsoft Network Monitor (никто не хочет быть ответчиком в суде с Microsoft). Что сделано: они переместили наши программы из категории "опасных утилит" в категорию "Потенциальных IT-рисков" и сменили уровень опасности с "высокого" на "низкий", когда мы сообщили об этой проблеме. "Потенциальный IT-риск" от профессиональных IT-инструментов? Каково? Ну ладно. Если они еще не поняли, что история "нехорошая", то нам скорее всего не удастся их в этом убедить. Самое смешное, что этот трюк ничем не помог LanHound. Разработка и продажа LanHound была остановлена.

В заключение можно отметить, что, к сожалению, классическая antispyware не очень эффективна. При обнаружении spyware в основном используются контрольные суммы файлов, и, иногда, сигнатуры (шаблоны байт). В мире современного программного обеспечения, когда упаковщики в EXE, включая полиморфные не очень редки, каждая новая версия файла может полностью отличаться от предыдущей. Другими словами, если ваша antispyware-программа обнаружит SomeDangerousPest 2.0.0.7, то это еще не значит, что она обнаружит версию 2.0.0.8 той же самой программы. Вести актуальную базу данных по spyware практически невозможно. Программы antispyware являются лишь малой частью арсенала безопасности наряду с брандмауэрами, антивирусами, системами обнаружения вторжений, мерами физической безопасности и, самое важное, здравым смыслом.

Заполняем пробелы – расширяем горизонты!

С понятием компьютерного вируса наверняка знакомы даже новички, которые только начинают осваивать азы компьютерной грамотности.

Spyware – вредоносные шпионские программы для компьютера – НЕ относятся к обычным вирусам, это отдельный тип противоправного вмешательства в компьютерную систему пользователя.

И большинство антивирусных продуктов содержат отдельные программные разделы для работы со Spyware.

Чем же отличаются шпионские программы Spyware от обычных компьютерных вирусов – к примеру, от троянов или сетевых червей?

Компьютерный вирус, как правило, наносит вред операционной системе, программному обеспечению и данным пользователя. Этим, по большому счету, и отличаются Spyware.

В отличии от вирусов, шпионские программы для компьютера не наносят вреда – ни системе, ни программам, ни пользовательским файлам. Однако пользователь, если на его компьютер внедрена шпионская программа, вряд ли сможет рассчитывать на всю производительность своей машины – Spyware задействует какое-то количество оперативной памяти, и от этого компьютер может частенько зависать и подтормаживать.

Но это техническая сторона Spyware, а какова же суть шпионских программ?

Шпионские программы для компьютера – что это такое?

Задачей шпионских программ, как видим из самого названия, является периодический сбор информации о пользователях:

• это и содержимое жесткого диска,
• и список посещаемых интернет-сайтов,
• и контакты электронной почты,
• и другая информация личного характера, которую можно использовать для каких-то меркантильных целей, к сожалению, часто во вред хозяину такой информации.

Вся собранная шпионскими программами информация отправляется тем, кто их создает – разработчикам Spyware. Это может быть их электронный адрес, интернет-сервер или любое иное пространство в Интернете, на котором собранная шпионскими программами информация будет храниться, дожидаясь своего хозяина.

В большинстве случаев пользователи не подозревают, что они находятся под наблюдением – шпионские программы, как правило, работают незаметно, поскольку их разработчики заинтересованы в продолжительном получении нужной им информации.

Возникает вопрос – зачем такая информация нужна разработчикам программ-шпионов? Информацию используют в разных целях – это может быть безобидный сбор информации для статистики о посещаемости сайтов, но может быть и сбор данных с целью воровства денег с кредитных карточек и электронных кошельков.

Чаще всего это происходит во время инсталляции в систему сторонних приложений.

К примеру, вы нашли в Интернете бесплатную программу, а она по умолчанию устанавливается только со встроенной в нее шпионской программой. Причем, если ваш антивирус шпионский модуль обнаружит и удалит, то основная программа не запустится.

Еще один путь таких программ в систему – напрямую из Интернета.

Операционную систему от них защищает брандмауэр – буфер, в котором блокируются попытки проникновения программ-шпионов. Брандмауэр встроен в Windows, он активируется, когда на компьютере нет антивируса. В антивирусных пакетах, кроме прочих утилит, как правило, предусмотрен собственный брандмауэр.

Рассмотрим ниже самые распространенные виды шпионских программ.

1. Кей-логгеры

Кей-логгеры – пожалуй, самые опасные шпионские программы, использующиеся злоумышленниками для получения пин-кодов, паролей, логинов и других конфиденциальных данных, необходимых для доступа к кредитным картам, к электронным (в том числе, банковским) счетам, а также к прочим пользовательским аккаунтам в Интернете.

Целью кей-логгеров также может быть другая секретная информация, пользовательская переписка – все то, что мошенники могут использовать для своих корыстных целей.

Кей-логгеры – это так называемые клавиатурные шпионы, они собирают и отправляют своему разработчику информацию обо всех нажатиях на клавиши клавиатуры на конкретном компьютере. Кей-логгеры или прописываются программой (это программные кей-логгеры), или подсоединяются к компьютеру в качестве дополнительного аппаратного устройства (аппаратные кей-логгеры).

Обнаружить аппаратный кей-логгер, который, как правило, имеет размер меньше спичечного коробка, не сложно. Это можно сделать с помощью внешнего осмотра компьютера: не подключены ли к различным выходам системного блока какие-то подозрительные устройства.

Присутствие аппаратного кей-логгера видно из анализа данных диспетчера устройств Windows. Существуют также специальные программы, диагностирующие все оборудование компьютера – это, например, SiSoftware Sandra или AIDA64.

Обнаружить и нейтрализовать программный кей-логгер можно с помощью запуска специальных программ типа Anti-Spyware. Как правило, они включены состав антивирусных пакетов в качестве отдельных утилит. Но программы Anti-Spyware также можно устанавливать и запускать отдельно – например, программа Anti-keylogger.

100% защита от клавиатурных кей-логеров вряд ли существует. Тем не менее использование экранной клавиатуры все-таки я бы советовала взять за привычку при вводе паролей, например, для доступа в интернет-банкинг.

2. Сканеры жесткого диска

Сканеры жесткого диска – это шпионские программы, которые разрабатываются для изучения содержимого жестких дисков на компьютере пользователя.

Что интересует сканеров жесткого диска? Какие хранятся файлы в папках, какие программы установлены – любая пользовательская информация, которая может пригодиться разработчику шпионской программы.

3. Экранные шпионы

Экранные шпионы – это программы, которые собирают информацию о том, чем именно пользователь занимается на компьютере. Через заданные промежутки времени такие экранные шпионы делают скриншоты, затем отсылают их по назначению – либо разработчику, либо напрямую заказчику.

Разработку и внедрение экранных шпионов, в большинстве случаев, заказывают корпорации – например, руководство таким образом может осуществлять контроль офисных сотрудников, периодически просматривая, чем персонал занимается в рабочее время.

4. Прокси-шпионы

5. Почтовые шпионы

Почтовые шпионы – эти шпионские программы собирают информацию о контактах пользователя в электронной почте.

Информация, как правило, собирается в адресных книгах, почтовых клиентах, органайзерах и подобной программной среде. Затем все эти данные отправляются разработчику шпионской программы, а использует он все это для рассылки спама.

Другой функцией, которую могут обеспечивать почтовые шпионы, является замена содержимого электронных писем.

Почтовые шпионы вставляют в письма пользователей-жертв рекламные блоки, ссылки и прочий материал, предназначенный для достижения целей разработчика.

Как говорится, если есть яд, то найдется и противоядие. Как уж упоминалось выше, для противодействия шпионским программам на рынке софта предусмотрены специальные защитные программы типа Anti-Spyware. Их главной задачей является распознавание программ-шпионов и блокировка их работы.

Вот некоторые из программ типа Anti-Spyware (защита от шпионских программ):

• SpywareBlaster,
• Microsoft Antispyware,
• XoftSpySE Anti-Spyware,
• AVZ,
• а также прочие.