Шпионские программы – угроза безопасности вашего ПК - Страница 2

SpyWare cookies

Практически все программы для поиска Adware/Spyware программ детектируют и удаляют так называемые «SpyWare cookies» (в некоторых случаях их называют tracking cookies). В качестве теста я проверил свой компьютер при помощи известной программы Ad-Aware SE Personal и она обнаружила и предложила удалить 164 «tracking cookies», причем большинство найденных cookies были созданные известными сайтами, в частности: rambler.ru, list.ru, hotlog.ru, downloads.ru. В результате зачастую в различных конференциях можно читать сообщения примерно такого содержания «…я лечил компьютер и нашел несколько сотен шпионов, которые пропустил мой антивирус …» – а затем анализ показывает, то речь шла о cookies. По поводу cookies можно однозначно сказать – это обычные текстовые файлы, которые не являются программами и не могут выполнять никаких шпионских или троянских действий на компьютере пользователя. Единственная «шпионская» операция, осуществимая при помощи cookies состоит в возможности сайта сохранить на компьютере пользователя некоторые текстовые данные, которые будут переданы при последующем посещении сайта, сохранившего cookie. Рейтинги, счетчики и баннерные рулетки могут использовать cookie для своеобразной «пометки» пользователя. Схема работы этой методики показана на рисунке:

Предположим, что пользователь посещает два сайта, содержащих на своих страницах счетчик одной и той же рейтинговой системы. При посещении сайта A произойдет минимум две операции – загрузка страницы с сайта A (шаг 1) и обращение к сайту рейтинговой системы (шаг 2). В заголовке HTTP ответа рейтинговой системы содержится поле, предписывающее браузеру сохранить cookie для сайта рейтинговой системы – в результате браузер сохраняет cookie в своей базе данных. Затем пользователь посещает сайт B (шаг 3) и происходит повторное обращение к сайту рейтинговой системы (шаг 4), в ходе которого передается cookie, сохраненный на шаге 2. Получив и проанализировав cookie рейтинговая система «узнает» пользователя. Для этого, как правило, в cookie хранится присвоенный пользователю уникальный номер. В результате рейтинговая система может не просто фиксировать факт посещения сайта, но и отслеживать «траекторию» переходов пользователя по сайтам (естественно только по сайтам, страницы которой содержат счетчики этой рейтинговой системы). Кроме того, рейтинговая система может решить ряд интересных статистических задач – например, определить количество уникальных посетителей за определенный период, количество постоянных пользователей, периодичность посещения. Помимо статистических исследований идентификация пользователя при помощи cookie позволяет бороться с «накруткой» посещений или баннерных показов. Важно отметить, что при помощи cookie любой сайт может регистрировать факт повторного посещения, но не может определить никаких персональных данных пользователя (за исключением того случая, когда пользователь сам передал какие-либо данные, заполняя формы регистрации на сайте – но даже в этом случае подобные данные очень редко хранятся непосредственно в cookie – обычно подобные данные заносятся в базу данных на стороне WEB сервера).

Таким образом получается, что на мой взгляд опасность, которая приписывается «шпионским» cookies существенно завышена. Internet Explorer всех версий позволяет отключить прием cookie, в версии 6.0 имеется возможность более тонкой настройки – все cookie делятся на основные (сохраняемые просматриваемой страницей) и сторонние (сохраняемые ресурсами, загружаемыми с других сайтов) и пользователю дается возможность произвести тонкую настройку.

Adware программы и модули

Adware (синонимы AdvWare, Ad-Ware и т.п.) – это приложение, предназначенное для загрузки на ПК пользователя информации рекламного характера для последующей демонстрации этой информации пользователю. Можно выделить две категории AdWare программ:

• Программы, распространяемые по Adware-лицензии. Данные программы воспроизводят рекламу в качестве неявной оплаты за их использование, при этом реклама должна воспроизводится только во время использования программы в контексте ее окон;
• Независимое приложение, предназначенное для воспроизведения рекламы. Такие программы, как правило, маскируются от обнаружения и удаления пользователем и могут существенно досаждать пользователю. Рекламная информация обычно выводится в виде всплывающих окон, хотя известны и широко применяются более экзотические методики демонстрации рекламы – например, внедрение рекламной информации в рабочий стол в виде обоев или с использованием возможностей размещения WEB элементов на рабочем столе;

Можно сформулировать ряд правил, которых должна придерживаться корректная программа, распространяемая по Adware-лицензии:

1. При инсталляции на ПК программа должна предупредить пользователя о том, что является Adware приложением с разъяснением того, что конкретно понимается под термином «Adware». При этом инсталлятор должен предусматривать возможность отказа от установки приложения (а еще лучше – предлагать варианты установки – бесплатный Adware вариант или платный ShareWare вариант). Типовым примером «правильной» инсталляции является менеджер закачек FlashGet, который честно предлагает два варианта установки – Adware или ShareWare (FlashGet приведен в качестве примера не случайно – ряд анти-SpyWare программ по неизвестной причине считают его шпионским ПО и удаляют);

2. Adware модуль должен быть или библиотекой, загружаемой Adware программой во время работы, или неразрывной частью Adware-программы. При этом загрузка Adware-модуля должна естественно происходить при запуске приложения, выгрузка и прекращение работы – при выгрузке приложения из памяти. Недопустимо внедрение Adware-модулей в другие приложения или их установка на автозапуск;

3. Adware-модуль должен воспроизводить рекламную информацию только в контексте вызывавшего его приложения. Недопустимо создание дополнительных окон, запуск сторонних приложений, открытие неких web страниц;

4. Adware-модуль не должен выполнять действий, присущих программам категории SpyWare;

5. Adware-модуль должен деинсталлироваться вместе с установившим его приложением;

Как легко заметить, к Adware приложению в данной классификации предъявляются серьезные требования и практически ни один Adware-модуль не удовлетворяет всем перечисленным требованиям.

TrojanDownloader – программы для несанкционированной загрузки и установки программного обеспечения

Программы из категории Trojan-Downloader (понятие Trojan-Downloader введено лабораторией Касперского) неоднократно упоминались, поэтому следует дать определение для данной категории программ. Trojan-Downloader – это программа (модуль, ActiveX, библиотека …), основным назначением которой является скрытная несанкционированная загрузка программного обеспечения из Интернет. Наиболее известным источником Trojan-Downloader являются хакерские сайты. Сам по себе Trojan-Downloader как правило не несет прямой угрозы для компьютера – он опасен именно тем, что производит неконтролируемую загрузку программного обеспечения. Trojan-Downloader применяются в основном для загрузки вирусов, троянских и шпионских программ. Наиболее известными по моей статистике являются Trojan-Downloader.IstBar, Trojan-Downloader.Win32.Dyfuca, Trojan-Downloader.Win32.Agent и ряд других. Trojan-Downloader.Win32.IstBar и Trojan-Downloader.Win32.Agent поставили своеобразный рекорд по количеству различных модификаций и своей вредоносности – их появление на компьютере приводит к резкому росту трафика и появлению на ПК множества посторонних программ.

Все программы категории TrojanDownloader можно условно подразделить на две категории:

1. Универсальные Trojan-Downloader – могут загружать любой программный код с любого сервера. Настройки могут храниться локально (в отдельном файле, реестре) или загружаться с определенного сайта;

2. Специализированные – предназначены для загрузки строго определенных типов троянских или шпионских программ. Адреса и имена файлов в таком случае жестко фиксированы и хранятся в теле программы.