Шпионские войны: spyware и борьба с ним

Статья посвящена spyware - программах-шпионах, обманным путем проникающим на машины пользователей и используемых для кражи конфиденциальной информации. В статье затронуты вопросы возникновения spyware, определению этого понятия, а также механизмам его распространения и методам борьбы с этим опасным явлением.

По данным Earthlink, программы, относящиеся к категории spyware, сегодня установлены почти на 90% компьютеров, подключенных к Сети (есть и более впечатляющие цифры). Причем речь идет не об одном программном агенте на каждый ПК: среднестатистический показатель - 25 "шпионов" на одного пользователя. Больше того! Эксперты предсказывают, что со временем по своей актуальности угроза spyware может обогнать даже спам, а Gartner Group на пороге 2005 года прогнозировала, что шпионское ПО станет даже более серьезной проблемой, чем интернет-черви. О программах - борцах со spyware - писалось уже не раз, а потому очередного обзора "хорошего" софта не будет. Интереснее исследовать "плохой".

Что есть spyware?

По интернет-меркам возраст угрозы довольно солидный: первый случай заражения компьютера "шпионом" зафиксирован еще в 1995 году, а в 1999-м слово "spyware" было впервые употреблено в официальном документе - пресс-релизе по поводу выхода брандмауэра Zone Alarm Personal Firewall. В ноябре того же года первая программа, содержащая шпионский модуль, получила массовое распространение в Сети. Это была бесплатная юмористическая игра Elf Bowling, отсылавшая своему разработчику Nsoft пользовательские данные.

В 2000 году Стив Гибсон, руководитель компании Gibson Research, обнаружил на своем компьютере рекламное ПО, которое перехватывало его личную информацию. Изучив особенности поведения непрошеного гостя, Гибсон понял, что софт работает на фирмы Aureate и Conducent. Результатом тщательного изучения кода стало появление в конце 2000 года первого антишпионского продукта - OptOut (последняя разработка компании - Spyware Free-Certification). А в октябре 2004-го были опубликованы результаты исследования AOL, заставившие интернет-общественность обратить внимание на серьезность проблемы. 89% респондентов, на чьих компьютерах поселился spyware-софт, сообщили, что не знали о его присутствии, а 93% не санкционировали его инсталляцию.

Несмотря на столь богатую историю, официальное определение термина "spyware" появилось только в минувшем октябре. Его автором стала Коалиция по борьбе со шпионским и рекламным ПО (Anti-Spyware Coalition, ASC), членами которой являются многие производители софта. К шпионскому софту отнесли любые программы, устанавливаемые на компьютер без ведома и согласия его владельца или понижающие степень контроля над приватностью, безопасностью системы, деятельностью пользователя (в первую очередь - в интернете) и расходованием системных ресурсов. Также в категорию spyware попали программы, осуществляющие несанкционированный сбор личной информации - главным образом, пароли. Кроме того, spyware чревато еще рядом осложнений. Например, зачастую такие программы захватывают львиную долю памяти и процессорной мощности, что существенно тормозит работу обычного ПО.

В настоящее время ASC работает над стандартизацией шпионского и антишпионского ПО. Уже имеется предварительный вариант стандартов, а до 27 ноября Коалиция собирает комментарии от общественности, с учетом которых будет выработана окончательная версия рекомендаций (она должна выйти в следующем году). Впрочем, многие эксперты считают эту инициативу вредной, полагая, что опубликованными стандартами тут же воспользуются производители spyware, дабы обойти блокировку своего софта. В ASC признают вероятность такого развития событий, однако утверждают, что этот аспект при создании стандартов был учтен. Разработчикам же антишпионского ПО оставляют возможность устанавливать собственные критерии определения spyware.

Ныне к "шпионам" зачастую относят любые программы, выводящие на экран рекламные объявления, даже те, установку которых пользователь санкционировал. Однако следует согласиться, что последний вариант - самый "цивилизованный": человек готов терпеть рекламу, дабы не платить деньги за программу. Продукты, распространяемые по такому принципу, называются adware и в некотором смысле являются альтернативой shareware. Другое дело, что далеко не все производители adware отличаются кристальной честностью, а потому кроме официально разрешенных объявлений вставляют в свой софт и модули, перехватывающие пользовательские данные.

Иногда к spyware относят программы, собирающие данные для так называемого поведенческого таргетинга (молодая отрасль интернет-маркетинга, аккумулирующая информацию о пользовательских предпочтениях - например, анализируя маршрут перемещений по Сети). Делаться это может с разными целями - как для исследования рынка, так и для разработки индивидуального подхода к покупателю в интернет-магазине (вплоть до указания персональной цены на товары). В частности, некоторые антишпионские программы относят к spyware браузерный плагин крупнейшего онлайн-магазина Amazon.com, хотя его установка - дело добровольное.

Инфицирование

Spyware, в отличие от вирусов, само не размножается, а потому "шпионы", заразив одну систему, не смогут перебраться на другие. Распространяются они в Сети либо путем обмана пользователя, либо через программные уязвимости (например, дыры в браузере). При первом варианте пользователь скачивает из интернета какой-то полезный софт, а "в довесок" получает шпионский модуль. Чаще всего носителями spyware являются разнообразные "ускорители интернета". Впрочем, переносчиком может оказаться практически любой софт: так, широко известен случай, когда "шпион" прятался в программе Bonzi Buddi, позиционируемой как детский проводник в мире интернета. Иногда создатели шпионского ПО платят разработчикам shareware-программ за добавление в инсталлятор своего модуля, а порой просто объединяют шпионский дистрибутив с уже готовыми полезными программами. Частенько шпионские модули попадают на компьютер вместе с клиентами пиринговых сетей, а в начале 2005 года фантазия "шпионоводов" стала развиваться в стиле завзятых вирусописателей: в Сети появилась программа SpywareNo, позиционирующаяся как антишпионское ПО, а на деле являющаяся типичным продуктом spyware-индустрии…

Современные браузеры не позволяют "шпионам" самовольно загружаться с сайтов, однако иногда пользователь сам разрешает их установку, потому что загрузочную ссылку нередко маскируют под pop-up-окна, похожие на обычные опросы. Независимо от того, за какой вариант ответа пользователь голосует, своим кликом он запускает установку spyware. С последними версиями Internet Explorer (IE) возможностей для таких манипуляций у распространителей шпионских программ стало гораздо меньше, однако актуальность этот способ заражения еще не потерял - ведь, несмотря на многочисленные предупреждения, старые версии браузеров стоят на множестве компьютеров. Так, IE5 остается основным примерно для 10% интернет-серферов, а уж сколько людей не поставило заплатки на ранние версии IE6 - и говорить не хочется.

Кстати, антишпионское ПО MS Anti-spyware (его презентация прошла в марте нынешнего года) будет интегрировано в готовящуюся к выходу операционную систему Windows Vista, а в следующей версии IE появится "шпионозащищенный" режим. При его активации браузер будет изолирован от других процессов операционной системы и не получит прав на запись за пределами каталога Temporary Internet Files. Это должно снизить риск скрытой установки вредоносных плагинов. Кроме того, по умолчанию будет запрещено большинство объектов ActiveX, а встроенный брандмауэр станет функционально богаче.

Второй популярный метод инфицирования - атаки на бреши в защите браузера или другого сетевого ПО. При загрузке веб-страницы содержащийся в ней программный код инициирует установку spyware. Этот способ известен как drive-by download, и самые удобные дырки для него обнаруживаются в MS Java и старых версиях IE. По данным Webroot, за первое полугодие 2005 года источниками шпионской заразы было 4300 сайтов и 89800 страниц. В группу риска вошли сайты с порнографическим контентом и хранилища warez-софта, а в качестве лазейки широко использовалась дыра в системе защиты от копирования цифрового контента - DRM, используемой Windows Media Player и iTunes. Кстати, некоторые "шпионы" ищут на компьютере жертвы spyware-модули от компаний-конкурентов и безжалостно уничтожают их, но чаще вредоносный софт живет душа в душу.

Признаки заражения пользователи в основном замечают лишь тогда, когда операционная система (замечу - практически все шпионские модули работают только под Windows) просто кишит spyware-объектами. Работа резко замедляется из-за нехватки ресурсов, частенько происходят системные или программные сбои, наблюдаются трудности с интернет-соединением. Не имеющий в большинстве случаев никакого представления о spyware, пользователь ищет причины неудовлетворительной работы в аппаратном обеспечении, проблемах установки Windows или же полагает, что его компьютер заражен вирусом. Обычный результат "накопления" шпионского ПО - переустановка системы.

Пестрое разнообразие шпионов

Программы, специализирующиеся на показе рекламных объявлений, могут запускать всплывающие окна как по четкому графику (каждые несколько минут), так и при открытии браузера. Кроме того, объявления могут выскакивать, если пользователь заходит на определенные адреса. Эта возможность привлекает рекламодателей, платящих производителям шпионского ПО за показ своих объявлений при посещении серфером той или иной группы сайтов. А некоторые программы даже заменяют имеющуюся на сайте pop-up-рекламу собственной. Показываемые баннеры, естественно, должны привлекать внимание, а потому в них используются анимированные изображения, мерцание и пр. Если на компьютере установлен всего один spyware-модуль, то объявления появляются не слишком часто и их еще можно игнорировать. Но, как уже упоминалось, обычно речь идет о десятках зловредных программ, то инициируемые ими запуски pop-up-окон вызывают крайнее раздражение.

Кстати, не следует думать, что производители шпионского ПО представляют собой маргиналов интернет-сообщества, бойкотируемых крупными и уважаемыми онлайн-деятелями. Производство и распространение spyware - это бизнес, причем прибыльный, а разработчики нежелательных программ получают заказы от довольно известных рекламодателей. В частности, компании WhenU и 180 Solutions, не последние фигуры в spyware-индустрии, сообщали, что среди их клиентов числится даже New York Times. За сам софт денег обычно не платят, но пользователь попадает на сайт заказчика или же что-то у него покупает посредством pop-up-объявлений, а производитель программы-шпиона получает комиссионные. Эта схема называется affiliate marketing и используется такими корпорациями, как eBay, Dell или Mercedes-Benz. Впрочем, рекламодатели "страхуются", заключая договор с рекламным агентством, а уже последнее само выходит на spyware-фирмы.

Некоторые компании и вовсе применяют spyware для защиты своих интернет-проектов. В частности, Blizzard использует в работе игровых серверов World of Warcraft (WoW) специальную программу - так называемого привратника, который каждые 15 секунд загружается на компьютеры четырех с половиной миллионов игроков. Привратник получает список всех dll-файлов, отображенных в адресном пространстве exe-файла игры, использует функцию GetWindowTextA для получения заголовков всех окон в системе, проверяет, нет ли их в черном списке, а также подключается к каждому запущенному процессу и с помощью функции ReadProcessMemory считывает ряд адресов памяти.

Впрочем, некоторые производители шпионского софта не затрудняют себя работой в "грязной рекламе", а просто-напросто похищают у пользователей зараженных компьютеров пароли, имена, чат-сессии (в том числе в интернет-пейджерах), банковские данные и т. д.

Другой распространенный вид shareware - софт, который заражает программы, дозванивающиеся до провайдера. В этом случае дозвон идет по какому-либо международному номеру, что приводит к огромным счетам за телефон. На Западе, где популярность dial-up-подключения сходит на нет, эта угроза теряет актуальность, но в России такие программы по-прежнему представляют серьезную опасность. Одинаково опасны для всех пользователей и шпионские приложения, работающие с cookies.
Стоит также отметить, что пока работа ASC не закончена, говорить об однозначной классификации продуктов spyware преждевременно. Отдельные исследовательские компании пытались группировать шпионские приложения и по схожести программного кода, и по поведению, и по типу проникновения на компьютер, но ни один из этих подходов нельзя назвать полностью удачным. Ведь некоторые творения spyware-индустрии представляют собой целые пакеты программ, каждая из которых действует на своем "участке". К слову, самый известный "комплекс" такого типа - Gator - якобы помогает путешествовать по Сети, а на практике аккумулирует уйму персональной информации и бог знает что с ней делает.

Также широко распространены шпионские программы из семейства CoolWebSearch, использующие уязвимость в IE. Софт из этой серии выдает рекламные объявления, переписывает результаты поиска в Сети и нарушает связь компьютера с DNS-системой. Согласно исследованию Webroot, по интернету гуляет 107 представителей семейства CoolWebSearch, которых можно найти на 8,2% проверенных компьютеров (второе место занял Gator с 2,2%).

Другой spyware-продукт по имени DyFuCa (он же Internet Optimizer) при выводе браузером сообщения об ошибке переадресует пользователя на рекламную страницу. Кроме того, DyFuCa делает невозможным доступ к сайтам, защищенным паролями, так как в этом случае браузер использует аналогичный механизм. Программа 180 Solutions (третья по распространенности - 2%) передает рекламодателям информацию о сайтах, посещаемых пользователями, а также выводит на экран pop-up-баннеры. Немало хлопот доставляют и небольшие программы семейства HuntBar (другие названия - WinTools и Adware.

Websearch). Они загружаются на компьютер посредством ActiveX с сайтов, контролируемых злоумышленниками, или же при клике на pop-up-окна, запускаемые другим spyware-софтом. Помимо размещения рекламных объявлений эти программы добавляют инструментальные панели в IE и отслеживают маршрут веб-серфинга.

Методы борьбы со spyware

Основой борьбы со spyware является хороший брандмауэр с широким набором фильтров. Он способен предотвратить ряд способов проникновения spyware-модуля на компьютер (прежде всего, через бреши в программном обеспечении), однако не сможет опознать "шпиона", поселившегося на винчестере раньше него. Кроме того, если в настройках разрешить браузеру (например, IE) доступ в Сеть, то брандмауэр окажется бессильным при запуске модуля через службы самого браузера (в IE наиболее часто для этого используется Browser Helper Object).

Действенным оружием в борьбе со "шпионами" является редактор реестра. Как правило, spyware-программы прописываются в определенных ключах, откуда их можно легко вычистить. На основе БД, содержащих определения самых распространенных шпионских модулей, действует такой вид защиты, как spyware-сканеры. Впрочем, известны случаи, когда этот софт, уничтожая вредоносные программы, "зацеплял" вполне нейтральные и даже нужные dll-библиотеки.

Бесплатно (и безопасно) проверить, есть ли на вашем компьютере spyware, можно на некоторых сайтах, к примеру, здесь. Только запаситесь терпением: сканирование моей системы на P4 с гигабайтом ОЗУ и двумя жесткими дисками суммарным объемом 280 Гбайт заняло больше двух часов.

Обычно в комплекте со сканером поставляется и spyware-монитор для отслеживания попыток того или иного модуля зарегистрироваться в определенных реестровых ключах. Однако антишпионское ПО далеко не всегда удаляет все файлы-компоненты spyware. Мало того, оно уничтожает даже не все программы. Дело в том, что ряд spyware-производителей, в том числе Claria и WhenU, подали в суд на разработчиков антишпионского ПО и потребовали исключить свои модули из списка опасных и подлежащих удалению. Как ни странно, судебная атака была успешной. Причем проигравшие борцы со "шпионами" не имеют права даже известить пользователя о том, что на компьютере сидит spyware-модуль, который программа не может удалить.

Эффективность антишпионских продуктов может быть подтверждена сертификатами, и очень желательно, чтобы выбранная утилита эту сертификацию прошла. Одним из наиболее известных учреждений такого рода является центр West Coast Labs, выдающий сертификат Spyware Checkmark по результатам многоуровневых испытаний программных и аппаратных комплексов на соответствие стандартам качества. Определением критериев качества и тестированием занимается независимая испытательная лаборатория центра.

Есть и еще один надежный способ предохранения от spyware: нужно просто избегать "опасных связей". Так, в июльском исследовании Pew Internet and American Life Project сообщается, что американцы меняют свои интернет-привычки и стараются не заходить на сомнительные сайты. От посещения некоторых ресурсов отказались 48% респондентов, перестали пользоваться P2P-сетями 25%, а 18% сменили так полюбившийся spyware-разработчикам IE на Mozilla Firefox. Правда, уже обнаружен первый (и наверняка не последний) шпионский модуль для "лисички".

Юридические аспекты

Рассматривать законность spyware лучше с позиции законодательства США, где специфические явления интернет-сферы получили хоть какое-то правовое отражение. Да и большинство производителей шпионского ПО базируются именно в этой стране. На первый взгляд распространение программ класса spyware подпадает под специальный закон, известный как Computer Fraud and Abuse Act, в соответствии с которым осуществляется судебное преследование разработчиков вирусов или червей. В законе недвусмысленно сказано, что получение неправомочного доступа к компьютеру (в том числе для "тихой" инсталляции софта) является преступлением. Меж тем далеко не все процессы над представителями spyware-индустрии оканчиваются их осуждением. Многие компании, специализирующиеся на шпионском ПО, работают вполне легально. Специальный же закон о spyware долгое время не мог быть написан по той простой причине, что до 2005 года не существовало четкого определения этому понятию (о чем мы писали чуть выше). Наконец, в минувшем мае американский Конгресс принял сразу два соответствующих законопроекта, и теперь за тайное распространение шпионского ПО предусмотрено наказание в виде тюремного заключения сроком до двух лет и денежного штрафа размером до 3 млн. долларов.

Наиболее частой юридической зацепкой, используемой spyware-компаниями в качестве аргумента защиты, является лицензионное соглашение конечного пользователя (End-User Licence Agreement, EULA). Как правило, люди, приобретая и устанавливая ПО класса shareware/freeware, не читают соглашения. Одна из софтверных компаний однажды написала в EULA своего очередного продукта о выплате крупной суммы каждому позвонившему по определенному номеру, и деньги получили только трое пользователей, а остальные, видимо, не стали утруждать себя чтением сухого текста. Вот как раз в EULA и прописывается (обычно этот момент завуалирован юридическим жаргоном), что вместе с основной программой на компьютер будет инсталлирован тот или иной шпионский модуль. Успешным отражением судебных исков с помощью EULA уже "прославилась" spyware-компания Claria (автор Gator). В упомянутом выше инциденте с игровыми серверами WoW компания Blizzard тоже заявила, что пользователи добровольно соглашались на установку привратника. Кстати, есть примеры, когда "шпионские" фирмы даже переходили в контрнаступление, внося в EULA пункт о незаконности удаления однажды установленного spyware-модуля. Разумеется, никакой ответственности за удаление программы не было предусмотрено, однако такой нехитрый трюк позволял увеличить число "носителей" шпионского ПО среди законопослушных американских компьютеровладельцев.

В борьбу со spyware включились законотворцы регионального уровня. В частности, в текущем году в штате Вашингтон принят закон, согласно которому правонарушителем считается любой человек, который, не являясь владельцем или оператором компьютера, пытается установить на нем ПО, изменяющее параметры настройки браузера, отслеживающее нажатия клавиш, отключающее защитное ПО и т. д. В законе предусмотрено наказание в виде тюремного заключения сроком до трех лет. А вот против инициативы штата Юта - закона Spyware Control Act - выступила spyware-компания WhenU. В своем иске она отметила, что он нарушает конституционное право компаний на рекламную деятельность, не защищая при этом конфиденциальность интернет-пользователей.

А во Флориде spyware стало причиной семейного скандала, докатившегося до суда. В феврале 2005-го жительница штата, заподозрив супруга в неверности, установила на его компьютер следящую программу. Муж обнаружил spyware и недолго думая подал в суд на жену за вмешательство в свою частную жизнь. Тщетно адвокаты супруги пытались убедить судью, что речь идет о родственных отношениях пары, что у жены есть возможность посмотреть содержимое файлов на компьютере мужа, что это всего лишь естественное любопытство, наконец. Безжалостный судья классифицировал произошедшее как "негласный перехват информации" и признал женщину виновной. Это, кстати, уже не первый случай интернет-шпионажа в супружеской жизни.
Так что, если у кого-то из читателей появится соблазн проверить верность своих "половинок" с помощью современных программных средств, заставьте их сначала подписать EULA. На всякий случай.

 

Автор: Родион Насакин

По материалам журнала "Компьютерра"

08.12.2005

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru